Page internet/google redirigée

Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.

Ce détournement peut se traduire de deux manières dans un rapport hijackthis :

1er cas : Détournement du fichier hosts

Voir partie en gras dans ce rapport :

Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

Méthode de désinfection :

• Télécharger Hoster :
• Dézipper le dossier sur le bureau.
• Lancer Hoster et cliquer sur Restore Microsoft's Hosts File
• Refaire ensuite un Hijackthis pour s’assurer que les lignes précédentes en gras ont disparues

Autre alternative : Restaurer le fichier Hosts à son état d'origine (avec RHosts de S!Ri)

2ème cas : Infection wareout :

Identification :

• Ce spyware se manifeste dans un hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, exemple :

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

Et dans certains cas avec ce service en plus :

O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kd???.exe
( où les " ? " sont des lettres )


Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par wareout, alors que le rapport hijackthis n'indique aucune lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :

• Télécharger Smitfraudfix par S!RI :
  • ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
  • Décompresser l'archive sur le bureau .
  • Exécuter le en double cliquant sur Smitfraudfix.cmd
  • Appuyer sur une touche pour continuer .
  • Arriver à l'invite de commande, saisir la lettre f afin de basculer le fix en langue française
  • Au menu, choisir l’option 1 : Recherche

exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par wareout

SmitFraudFix v2.221 

Rapport fait à 21:33:34,46, 09/09/2007 
Executé à partir de C:\Documents and Settings\jpimpy\Bureau\SmitfraudFix 
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT 
Le type du système de fichiers est NTFS 
Fix executé en mode normal 

»»»»»»»»»»»»»»»»»»»»»»»» Process 
.........
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL" 
"LoadAppInit_DLLs"=dword:00000001 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="kdruc.exe" 

kdruc.exe détecté ! 


»»»»»»»»»»»»»»»»»»»»»»»» Rustock 



»»»»»»»»»»»»»»»»»»»»»»»» DNS 

Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets 
DNS Server Search Order: 212.27.54.252 
DNS Server Search Order: 212.27.53.252 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin 

Méthode de désinfection :

Télécharger Malwarebytes et l'installer .
( choisir "francais" ; ne pas modifier les paramètres d'installation ) et le mettre à jour .

! Se déconnecter d'internet et fermer toutes applications en cours !

Lancer Malwarebyte's .

Faire un examen dit "complet" ( sélectionner tous les disques avant le scan ).
-> Laisser le programme travailler .
-> à la fin, cliquer sur "résultat" .
-> Vérifier que tous les objets infectés soient validés, puis cliquer sur " suppression " .

Note : si il faut redémarrer le PC pour finir le nettoyage, faites le !

--> le rapport de scan est sauvegardé dans l'onglet "rapport/log"de Malwarebytes .


Vérification :

• Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

Refaire un hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.

Si après avoir fait plusieurs fois la manipulation ( à savoir passage de Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :

• Sous XP :
  • Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
  • Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
  • Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
  • Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC. Merci à Incognito02 pour cette astuce ;-)
• Sous Vista :
  • Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
  • Cliquer sur voir le Statut > Bouton Propriétés.
  • Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.

Vérifier si l'infection est bien neutralisée:

( sous Vista , bien désactiver l 'UAC avant )

Télécharger Smitfraudfix par S!RI :

• ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
• Décompresser l'archive sur le bureau .
• Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
• Appuyer sur une touche pour continuer .
• Arriver à l'invite de commande, saisir la lettre f afin de basculer le fix en langue française
• Au menu, choisir l’option 5 :Recherche et suppression détournement DNS
• Laisser travailler l'outil .
• Une fois terminer, un rapport est sauvegardé sur le PC ici > C:\Rapport.txt

En résumé :

• Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de smitfraud : Recherche et suppression détournement DNS
  • Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un pare feu si vous n'en avez pas déjà un !
  • En cas d'échec , ne pas hésiter à créer un sujet sur le forum "Virus/Sécurité" et joindre les différents rapports obtenus .