Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Malware - redirection de site web persistante


Messages recommandés

bonjour,

 

Je suis confronté à un petit soucis d’éradication de malware sur la machine d'une amie..

Le souci premier était que en allant sur un site de karaoké viet habituel celui ci redirige automatiquement sur youtube.com de mêem que un autre site du meme genre.. les site sont diepkhuc.com par exemple. Le probleme se fait uniquement sur se pc là et sur tout les navigateurs.

 

j'ai pourtant il me semble désinfecter correctement mais le problème est toujours présent malgré les nombreuses suppression de malware trouver.

 

 

j'ai passer un coup d'ATF, puis ensuite ADWcleaner j'ai aussi passé un coup d'AD-Remover qui a trouver des choses que n'avais pas vu adwcleaner.

après ceci j'ai passé un coup de malwarebyte qui a fait aussi du ménage. ccleaner pour viré les choses inutile au démarrage et autres..

 

toutes les mises à jours sont faites java, flash, adobe et vérification avec SXCU.

Toutes les mises à jour sauf.. le SP1 qui refuse de s'installer..et d'après les nombreux commentaire sur le net... personne y est parvenu sans réinstallé windows.

 

Donc après avoir fais tous ceci, en relançant les différent scan tout est clean avec Mbam, adwcleaner, ad-remover aucun malware trouver.

 

Je lance alors ensuite un ZHPDIAG pour une dernière vérif dont voici le rapport sur dl.free car cijoint le site s'affiche pas au boulot.. :

 

Free - Envoyez vos documents

 

je vois plein de truc pas très jolie.. mais là je préfère avoir quelques conseil svp

 

Pour le proxy c'est normal j'ai fais sa pendant mes heures de boulot alors c'est le proxy du boulot.

yahoo qui se lance au démarrage aussi c'est normal ainsi que PalTalk messenger.

 

 

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir

 

Fait ceci pour les restes vacants.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M2 - MFEP: prefs.js [updatusUser - vn54c8sv.default\{28387537-e3f9-4ed7-860c-11e69af4a8a0}] [] Wincore Mediabar v4.5.0.01 (.Visicom Media Inc..)

M2 - MFEP: prefs.js [updatusUser - vn54c8sv.default\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}] [] Wincore Mediabar v4.6.1.01 (.Visicom Media Inc..

O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll dll (.not file.)

O42 - Logiciel: Wincore MediaBar - (.Musiclab, LLC.) [HKLM] -- Wincore MediaBar => Infection PUP (PUP.iMesh)

O42 - Logiciel: iLivid - (.Bandoo Media Inc..) [HKLM] -- iLivid

O42 - Logiciel: iLivid - (.Bandoo Media Inc..) [HKLM] -- {8D15E1B2-D2B7-4A17-B44B-D2DDE5981406}

[HKLM\Software\BearShareMediabarTb]

[HKLM\Software\iMeshMediabarTb]

[HKLM\Software\ilivid]

O43 - CFD: 16/01/2012 - 16:10:21 - [121,341] ----D C:\Program Files (x86)\iLivid

O43 - CFD: 16/01/2012 - 16:10:21 - [121,341] ----D C:\Program Files (x86)\iLivid

O69 - SBI: prefs.js [boulanger - vn54c8sv.default] user_pref("extensions.3499ur3ur4hsssasasds3332s.scode", "\n(function(){var bdomains={\"premiumreports.info\":1,\"search.babylon.co[...]

O87 - FAEL: "{B8CD85F6-C0C7-437F-8F9C-1B6ECC77EBFF}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\dtUser.exe

O87 - FAEL: "{D7134C2F-81C0-4B8A-B733-CD413C703FF0}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\dtUser.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]

[HKLM\Software\WOW6432Node\BearShareMediabarTb]

[HKLM\Software\WOW6432Node\ilivid]

[HKLM\Software\WOW6432Node\iMeshMediabarTB]

C:\Users\boulanger\AppData\LocalLow\searchqutoolbar

M2 - MFEP: prefs.js [updatusUser - vn54c8sv.default\[email protected]] [] Incredibar Toolbar v1.5.0 (.Incredibar.)

P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) -- (.not file.)

O2 - BHO: (no name) [64Bits] - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} Clé orpheline

O2 - BHO: (no name) [64Bits] - {02478D38-C3F9-4efb-9B51-7695ECA05670} Clé orpheline

O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Search) - http://mystart.incredibar.com

 

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Bernard,

 

Merci pour le coup de main :P

 

voici le rapport :

 

Lien CJoint.com 3DmuAmNqyR2

 

En faites e viens de m'apercevoir que au boulot.. je me suis tromper de lien j'allais sur cijoint au lieu de cjoint.. lol

 

le pc n'as pas redémarrer, et la redirection se fait toujours :chpas:

Lien vers le commentaire
Partager sur d’autres sites

oh alors ceci et après dis moi.

 

 

Pour Internet Explorer:

Démarrer IE-->>Outils-->>Options Internet-->>Onglet avancé-->>REINITIALISER

Pour FireFox :

Démarre FireFox --> Outil Options --> Onglet général --> Restaurer la configuration par défaut

Lien vers le commentaire
Partager sur d’autres sites

Même chose..

de plus j'avais essayer aussi déjà..

 

en faite vu que je n'arrivais à rien (hier) j'ai fait une restauration qui date du 6, date a laquelle "peu être" l'infection n'avais pas lieu.. de toute manière il n'y a pas de points de restau avant ça..

 

j'ai donc ensuite refait tout se que je t'ai décrit dans le premier post.

 

et je viens de réinitialisé a ta demande car je ne l'avais pas fait suite a la restauration.

 

donc voilou.. même soucis sur Ie, firefox, chrome :outch: j'y comprend rien..

Modifié par skyangel
Lien vers le commentaire
Partager sur d’autres sites

tu as regardé du coté des extensions ou modules complémentaires?

 

PS: ceci au besoin comme autre rapport pour voir si rien ne serait passée autre?

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

sptd.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

Modifié par bernard53
Lien vers le commentaire
Partager sur d’autres sites

sur IE j'ai :

 

Nom Shockwave Flash Object

Éditeur Adobe Systems Incorporated

État Activé

 

Nom Microsoft Silverlight

Éditeur Microsoft Corporation

État Activé

 

Nom Ajout Direct dans Windows Live Writer

Éditeur Non disponible

État Désactivé

 

Nom Launch Cooliris

Éditeur Non disponible

État Désactivé

 

Nom PalTalk

Éditeur Non disponible

État Désactivé

 

Nom Java Plug-In SSV Helper

Éditeur Sun Microsystems, Inc.

État Désactivé

Durée de chargement (0,01 s)

 

Nom Java Plug-In 2 SSV Helper

Éditeur Sun Microsystems, Inc.

État Désactivé

Durée de chargement (0,09 s)

 

 

 

 

sur Chrome j'ai :

 

Adlesse1.0.0

Less ads, more choice

Autoriser en mode navigation privée

Activé

Supprimer

 

avast! WebRep7.0.1426

Web Reputation Plugin

Autoriser en mode navigation privée

Activé

Supprimer

 

 

sur firefox j'ai :

 

wincore mediabar et wxDfast...

 

je les désinstallent et sa fait pareil !

 

je viens de remarquer que babylone etait là sur Firefox.. etrange elle aurais dû etre supprimé

 

En faite si je laisse les parametres par defaut de firefox sa laisse le moteur de recherche babylone tandis que si je mets la mienne google par defaut.. ya pas de babylon

Modifié par skyangel
Lien vers le commentaire
Partager sur d’autres sites

Bizarre que "babylon " est encore la. Tu as refait un "AdwCleaner" pour voir?

Tu as bien pris la dernière version?

Lien vers le commentaire
Partager sur d’autres sites

Voici les rapports de que j'avais garder (OTL est en cours sur son pc)

 

Adwcleaner

 

Lien CJoint.com BDmvzVcbPyw

 

 

AD remover

 

Lien CJoint.com BDmvB1gIZ9A

 

MBAM

 

Lien CJoint.com BDmvC2iY37q

 

je ne sais pas si tu m'as déjà lu.. nos post se son croisé et j'édit celui ci pour te répondre.

 

Petite boulette.. ma version est de février apparemment.. je re DL la nouvelle.. je dû me planter car j'avais pourtant bien télécharger la derniere.. mais l'ancienne devais avoir une copie dans mes téléchargement :outch:

Modifié par skyangel
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...