[Résolu] Redirection Google

[Noj]

Hmm...

 

cela fait quelques temps que je n'ai plus eu de redirection. 2 redirections depuis Combofix (une qui a échoué, et une vers un site de rencontre xxx alors que je pointais chez microsoft.com), et depuis, plus rien. Pourtant, il me semble que rien n'a été fait sur le PC si ce n'est les scans demandés ainsi que la suppression manuelle de 2 répertoires Norton dans ProgramData. A oui, il y a aussi eu la mise à jour windows (31 mises à jours), mais il me semble que c'était avant la dernière redirection.

 

A toutes fins utiles, voici le scan ZHPDiag :

Lien CJoint.com BHsuow4WAbb

 

mais je reste prudent, hier soir tout semblait fonctionner avant de repartir de plus belles ce matin... et puis MSE refuse toujours de se lancer. S'il n'y a plus de redirection d'ici demain, je cloturerai le sujet.

 

En tous cas, merci beaucoup pour votre disponibilité et réactivité, à la fois remarquable et extrèmement appréciable.

Modifié le 18 août 2012 par Noj

[Apollo]

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.53AF21EEB4894CA7C84A5A65E50D7A49] - (.Gemalto N.V. - RunSanDiskSecureAccess_Win.) -- C:\Users\Noj\AppData\Roaming\SanDisk\SanDiskSecureAccess_Manager.exe   [30705792] [PID.3832]     
O4 - HKCU\..\Run: [sanDiskSecureAccess_Manager.exe] . (.Gemalto N.V. - RunSanDiskSecureAccess_Win.) -- C:\Users\Noj\AppData\Roaming\SanDisk\SanDiskSecureAccess_Manager.exe    
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 17/08/2012 - 18:56:20 RSHA- . (...) -- C:\Windows\winstart.bat   [2]   
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]    
firewallraz
emptytemp
emptyflash   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-------------------

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

----------------------

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  NB: Tu peux également désinstaller eset online par ajout/suppression de programmes (xp), ou programmes et fonctionnalités sous Vista/7 ou alors via le dossier eset qui est sur le C:\ qui contient un fichier unins ou uninstall.exe à exécuter.
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

+++

[Noj]

Mauvaise nouvelle, toujours des redirections ce matin...

 

le log ZHPFix :

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012

Fichier d'export Registre :

Run by Noj at 18/08/2012 22:11:48

Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Users\Noj\AppData\Roaming\SanDisk\SanDiskSecureAccess_Manager.exe

 

========== Clé(s) du Registre ==========

SUPPRIME Key*: HKCU\Software\AppDataLow\Software\uTorrentBar_FR

 

========== Valeur(s) du Registre ==========

SUPPRIME RunValue: SanDiskSecureAccess_Manager.exe

SUPPRIME FirewallRaz (Private) : TCP Query User{01BAE968-DD4B-467B-B2E2-3EDABBA6E87A}C:\windows\kmsemulator.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{FFBC9F6D-A703-4E36-AA5D-0E3FE5705503}C:\windows\kmsemulator.exe

SUPPRIME FirewallRaz (Private) : {E60F642A-07E2-4644-8B1F-11CBFBEDD680}

SUPPRIME FirewallRaz (Private) : {D308BBDF-5305-4AFD-BACA-EB9391271CE1}

SUPPRIME FirewallRaz (Private) : {92141547-547D-42E2-AF04-1EAAC430AB11}

SUPPRIME FirewallRaz (Private) : {F3F701E0-DB54-4082-AF0C-B482BDA2CFE6}

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME File: c:\users\noj\appdata\roaming\sandisk\sandisksecureaccess_manager.exe

ABSENT File: c:\users\noj\appdata\roaming\sandisk\sandisksecureaccess_manager.exe

SUPPRIME File: c:\windows\winstart.bat

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

1 : Processus mémoire

1 : Clé(s) du Registre

7 : Valeur(s) du Registre

2 : Dossier(s)

5 : Fichier(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 18/08/2012 22:11:48 [2002]

 

 

 

et le log ESET :

 

C:\Users\Noj\Downloads\Avira-Free-Antivirus-2012.exe a variant of Win32/InstallCore.AM application cleaned by deleting - quarantined

Z:\Programmes\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application cleaned by deleting - quarantined

[Apollo]

Bonjour,

 

Eh bien, j'avoue que je vois pas du tout d'où cela pourrait encore provenir...

 

Consulte les solutions proposées par les Fixit pour Explorer. http://support.microsoft.com/fixit/fr

 

Désolé mais j'ai fait passer tous les outils pouvant régler ce genre de problème.

Je n'ai plus de solutions à proposer.

 

@++

[Noj]

Yes!!!

 

Une dll était bien cachée et vérolée :

c:\windows\SysWow64\elsTransg.dll (caché, système, droits en lecture uniquement pour system)

 

rapport virustotal :

https://www.virustotal.com/file/d4c5216639c0b1ed07e5bc62195e55a3b4904c7c8bbac62f9afc73da709a5cdd/analysis/1345456974/

 

Après avoir récupéré les droits dessus, je l'ai renommée en .bak et voila! Plus de redirection (on le reconnait au google qui rafraichit en temps réel pendant qu'on tape la recherche alors que le google infecté ne le faisait pas) et MSE qui tourne à nouveau!

 

Merci encore pour votre aide, j'ai beaucoup appris ces derniers jours sur les menaces et outils disponibles. Bonne continuation!

[Apollo]

Bonsoir,

 

Un seul antivirus la détecte, on pouvait encore chercher et analyser en ligne...

 

Tant mieux si c'est arrangé.

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

++

[Noj]

C'est bon, j'ai tout vérifié, je suis bien à jour!

 

tout a été désintallé. Merci encore!

 

 

Supprimé : C:\Qoobox

Supprimé : C:\_OTL

Supprimé : C:\ZHP

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Users\Noj\Desktop\RK_Quarantine

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[R1].txt

Supprimé : C:\AdwCleaner[R2].txt

Supprimé : C:\AdwCleaner[R3].txt

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\AdwCleaner[s2].txt

Supprimé : C:\AdwCleaner[s3].txt

Supprimé : C:\ComboFix.txt

Supprimé : C:\ComboFixLog.txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\TDSSKiller.2.7.48.0_12.08.2012_11.00.01_log.txt

Supprimé : C:\TDSSKiller.2.8.6.0_18.08.2012_17.44.44_log.txt

Supprimé : C:\TDSSKiller.2.8.6.0_18.08.2012_17.47.32_log.txt

Supprimé : C:\Users\Noj\Desktop\ComboFix.exe

Supprimé : C:\Users\Noj\Desktop\hijackthis.log

Supprimé : C:\Users\Noj\Desktop\MBRCheck_08.18.12_14.13.38.txt

Supprimé : C:\Users\Noj\Desktop\OTL.Txt

Supprimé : C:\Users\Noj\Desktop\OTL.exe

Supprimé : C:\Users\Noj\Desktop\RKreport[1].txt

Supprimé : C:\Users\Noj\Desktop\RKreport[2].txt

Supprimé : C:\Users\Noj\Desktop\TFC.exe

Supprimé : C:\Users\Noj\Desktop\ZHPDiag.txt

Supprimé : C:\Users\Noj\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Users\Noj\Downloads\adwcleaner.exe

Supprimé : C:\Users\Noj\Downloads\ComboFix.exe

Supprimé : C:\Users\Noj\Downloads\esetsmartinstaller_enu.exe

Supprimé : C:\Users\Noj\Downloads\Extras.Txt

Supprimé : C:\Users\Noj\Downloads\HijackThis.exe

Supprimé : C:\Users\Noj\Downloads\hijackthis.log

Supprimé : C:\Users\Noj\Downloads\OTL.Txt

Supprimé : C:\Users\Noj\Downloads\OTL (1).exe

Supprimé : C:\Users\Noj\Downloads\OTL.exe

Supprimé : C:\Users\Noj\Downloads\TFC.exe

Supprimé : C:\Users\Noj\Downloads\ZHPDiag2.exe

Supprimé : C:\Windows\grep.exe

Supprimé : C:\Windows\PEV.exe

Supprimé : C:\Windows\NIRCMD.exe

Supprimé : C:\Windows\MBR.exe

Supprimé : C:\Windows\SED.exe

Supprimé : C:\Windows\SWREG.exe

Supprimé : C:\Windows\SWSC.exe

Supprimé : C:\Windows\SWXCACLS.exe

Supprimé : C:\Windows\Zip.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Swearware

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

 

~~~~~~ Autres ~~~~~~

 

Désinstallé : ESET Online Scanner

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [2897 octets] - [20/08/2012 19:55:57]

 

########## EOF - C:\DelFix[s1].txt - [3021 octets] ##########