Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Redirections intempestives d'URL


marven
 Share

Messages recommandés

Bonjour,

 

J’espère être dans la bonne section pour poster mon soucis.

Depuis un moment mes navigateurs webs ne m'obéissent plus.

Lorsque j'effectue une recherche sur google via chrome, IE ou Firefox (les dernières versions),

les résultats de la recherche s'affichent normallement, par contre lorsque je clic sur un résultat, je suis systématiquement redirigé vers d'autres sites (je ne peux vous donner d'exemples) ça change à chaque fois.

Ceci est mon PC de bureau tournant sur 7Pro - C'est un vostro 400 - x86 - lié à un domaine 2003 Serveur.

On utilise le système antivirus Trend

C'est mon 2ème serveur qui fait office de Serveur DNS - donc les postes clients sont config en ip auto (une vingtaine)

Je précise que nous sommes 2 à avoir ce même soucis sur ce domaine.

 

J'ai déjà fais pas mal de manip en tant qu'admin du réseau (scan avec tous les ad-adaware, spybot et autre malwarebytes)

Je viens de faire un scan avec WORT dont le rapport est + bas + HijackThis dont vous trouverez le rapport + bas

 

Je vous remercie par avance de votre aide.

 

 

===== Rapport WareOut Removal Tool =====

 

version 3.6.2

 

analyse effectuée le 09/01/2012 à 8:49:59,63

 

Résultats de l'analyse :

========================

 

~~~~ Recherche d'infections dans C:\ ~~~~

 

~~~~ Recherche d'infections dans C:\Program Files\ ~~~~

 

~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~

 

~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~

 

~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~

 

~~~~ Recherche d'infections dans C:\Users\YT\AppData\Roaming\ ~~~~

 

~~~~ Recherche d'infections dans C:\Users\YT\Bureau\ ~~~~

 

~~~~ Recherche de détournement de DNS ~~~~

 

~~~~ Recherche de Rootkits ~~~~

 

_______________________________________________________________________

 

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-01-09 08:52:25

Windows 6.1.7601 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error

_______________________________________________________________________

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

System REG_SZ

 

~~~~ Recherche d'infections dans C:\Users\YT\AppData\Local\Temp\ ~~~~

 

~~~~ Recherche d'infections dans C:\Users\YT\Start Menu\Programs\ ~~~~

 

~~~~ Nettoyage du registre ~~~~

 

~~~~ Tentative de réparation des entrées suivantes: ~~~~

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

 

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

 

~~~~ Vérification: ~~~~

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

System REG_SZ

_________________________________

 

développé par Pc-System.fr || Optimisez votre système !

_________________________________

 

--------------------------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:32:32, on 09/01/2012

Platform: Unknown Windows (WinNT 6.01.3505 SP1)

MSIE: Internet Explorer v9.00 (9.00.8112.16421)

Boot mode: Safe mode with network support

 

Running processes:

C:\Windows\Explorer.EXE

C:\Windows\system32\ctfmon.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Windows\explorer.exe

C:\Windows\explorer.exe

C:\Users\YT\Desktop\HiJackThis.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Windows\system32\NOTEPAD.EXE

C:\Windows\system32\DllHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.1.5/index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.5/index.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:55838

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)

O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\Client Server Security Agent\bho\1003\TmIEPlg.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [innoSetupRegFile.0000000001] "C:\Windows\is-LTVBG.exe" /REG /REGSVRMODE

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [ASuite.exe] C:\Program Files\Aastra\Office Suite\Suite.exe

O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Google Update] "C:\Users\YT\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [DotSpirit Backup] "C:\Program Files\DotSpirit Backup\DotSpirit_Backup.exe"

O4 - Startup: EvernoteClipper.lnk = C:\Program Files\Evernote\Evernote\EvernoteClipper.exe

O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe

O8 - Extra context menu item: Add to Evernote 4.0 - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)

O9 - Extra 'Tools' menuitem: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O15 - Trusted Zone: ConsonanceWeb

O15 - Trusted Zone: Groupe ATI

O15 - Trusted Zone: Orange : téléphones, forfaits, Internet, actualité, sport, video

O15 - Trusted Zone: http://solutionfile.trendmicro.com

O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Détection de dispositifs) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab

O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab

O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC2A} (Encrypt Class) - https://192.168.0.10:4343/SMB/console/html/root/AtxEnc.cab

O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC44} (Encrypt Class) - https://192.168.0.10:4343/SMB/console/html/root/AtxEnc.cab

O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED3C} (Console d'administration de Security Server) - https://192.168.0.10:4343/SMB/console/html/root/AtxConsole.cab

O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBEDCC} (Console d'administration de Security Server) - https://192.168.0.10:4343/SMB/console/html/root/AtxConsole.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXSAS.local

O17 - HKLM\Software\..\Telephony: DomainName = XXXXSAS.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXXXSAS.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXXXSAS.local

O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\Client Server Security Agent\bho\1003\TmIEPlg.dll

O20 - AppInit_DLLs: C:\PROGRA~1\GOOGLE\GOOGLE~1\GOOGLEDESKTOPNETWORK3.DLL C:\PROGRA~1\GOOGLE\GOOGLE~1\GO36F4~1.DLL

O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

O23 - Service: DokanMounter - Unknown owner - C:\Program Files\Dokan\DokanLibrary\mounter.exe

O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe

O23 - Service: OIP Update Service (OipUpdateService) - Aastra Telecom Schweiz AG - C:\Program Files\Aastra\UpdateSvc\OipUpdateService.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe

O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmPfw.exe

O23 - Service: Service proxy Trend Micro Client/Server Security Agent (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmProxy.exe

 

--

End of file - 10277 bytes

Lien vers le commentaire
Partager sur d’autres sites

J'ai oublié de préciser : les dernière MAJ windows ne veulent pas s'installer. Au démarrage du PC j'ai un message me disant : Echec de l'installation des MAJ - Annulation des modifications - redémarrage du système.

Donc là-dessus le PC redémarre normalement et me propose d'installer les maj windows dispo, mais qui vont échouer de nouveaux si je les lance.

 

Je précise également que les analyses et anti-virus ont été passés en mode sans échec avec prise en charge réseaux.

et je suis administrateur du poste.

Lien vers le commentaire
Partager sur d’autres sites

J'ai du nouveau !

 

J'ai vu sur un autre forum qu'un utilisateur avait réussi à se débarrasser de ces redirections avec Roguekiller.

 

Je l'ai installé et visiblement cela fonctionne !

 

J'ai du mal à croire qu'un rogue s'était installé et je ne vois pas le rapport avec les URL sur lesquelles j'étais renvoyé.

Toujours est-il que je ne suis plus redirigé. Par contre le programme m'indique que ma MBR est infectée :chpas:

j'ai donc fait toutes les étapes du programme. Et en le relançant j'ai toujours ce même message en rouge dans la fenêtre de résultat INFECTION MBR DETECTEE ! Voir ici => Copie message

 

le log est ici :

 

RogueKiller V6.2.2 [31/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: YT [Droits d'admin]

Mode: Recherche -- Date : 09/01/2012 10:46:07

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[bLACKLIST] d3d10_1.dll -- C:\Windows\system32\d3d10_1.dll -> UNLOADED

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] c31c189e363f387854fcfa3967eb2972

[bSP] b0f256072005c314742108053c81553b : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo

1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 10737 Mo

2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 21084160 | Size: 104860 Mo

3 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 225890089 | Size: 204416 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 07e52481368ae5cdc84a4583d9d6d359

[bSP] e53b7c316d41ad539ebc4ddf06c225ee : MaxSS MBR Code!

Partition table:

0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo

1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 10737 Mo

2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 21084160 | Size: 104860 Mo

3 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 225890089 | Size: 204416 Mo

 

Termine : << RKreport[3].txt >>

RKreport[2].txt ; RKreport[3].txt

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Marven,

 

Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'avoir été pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet… ;)

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Bonjour,

 

Merci de ta réponse Dylav.

En fait j'ai trouvé la solution vendredi en suivant cette démarche lien CCM

J'ai réussi en scannant mon poste avec TDSKiller

J'avais un rootkit dans la MBR

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Le problème semble avoir trouvé sa solution.

Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].

Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ;-)) Pour cela, modifier.gif votre premier message :-)

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...