Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.
Ce détournement peut se traduire de deux manières dans un rapport
hijackthis :
1er cas : Détournement du fichier hosts
Voir partie en gras dans ce rapport :
Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) -
http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
Méthode de désinfection :
- Télécharger HostsXpert :
- Dézipper le dossier sur le bureau.
- Lancer HostsXpert et cliquer surRestore Microsoft's Hosts File
- Refaire ensuite un Hijackthis pour s’assurer que les lignes précédentes en gras ont disparues
Autre alternative :
Restaurer le fichier Hosts à son état d'origine (avec RHosts de
S!Ri)
2ème cas : Infection Wareout :
Identification :
- Ce spyware se manifeste dans un rapport hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, par exemple :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer =
85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer =
85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer =
85.255.116.37 85.255.112.85
Et dans certains cas avec ce service en plus :
O23 - Service:
Windows Tribute Service - Unknown owner - C:\Windows\system32\kd???.exe
( où les " ? " sont des lettres )
Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par WareOut, alors que le rapport
hijackthis n'indique aucune des lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :
- Télécharger Smitfraudfix (par S!RI)
- ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
- Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône et choisir " Exécuter entant qu'administrateur ")
- Appuyer sur une touche pour continuer .
- Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
- Au second menu, choisir l’option 1 : Recherche
Exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par WareOut :
SmitFraudFix v2.221
Rapport fait à 21:33:34,46, 09/09/2007
Executé à partir de C:\Documents and Settings\jpimpy\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
.........
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdruc.exe"
kdruc.exe détecté !
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Méthodes de désinfection :
A-
avec WORT :
(Pour ceux qui on Vista , bien
désactiver l'UAC avant d'utiliser l'outil )
Télécharger
WORT (
de dj QUIOU) sur le Bureau.
Faire redémarrer le PC
en mode sans échec :
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
1) Redémarrer l'ordinateur .
2)
Tapoter sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tapoter jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisir la première option :
Sans Échec , et valider en tapant sur [Entrée] .
5) Choisir son compte habituel ( et pas Administrateur ).
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ...
- Double-cliquer sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionner le bureau à l'aide du bouton "Browse".
- Suivre les instructions et double-cliquer sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ...
- Sélectionner l'option 1 et valider par [entrée] .
- Ne toucher à rien et laisser tavailler l'outil !
> A la fin du scan , le rapport "WORT_report.txt" s'ouvre : il contiendra tout ce dont vous avez besoin pour savoir si une infection a été trouvée et si elle a été supprimmée . Sauvegardez ce rapport au besoin .
A la fermeture du bloc-notes, le programme se terminera .
( Puis redémarrer simplement le PC pour retourner en mode normal )
B-
Avec Malwarebytes' Anti-Malware :
- Télécharger MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
- Installer le logiciel.
- S'il manque le fichier COMCTL32.OCX, le télécharger ICI.
- Lancer MalwareBytes' Anti-Malware,
- Faire les mises à jour (Onglet Mises à jour puis Recherche de mises à jour).
- Vérifier que la case :Exécuter un examen complet soit bien cochée
- Cliquer sur "Rechercher" , Sélectionner les disques durs puis cliquer sur "Lancer l'examen"
- Patienter ... Et une fois l'analyse terminée, cliquer sur "Afficher les résultats"
- Vérifier que tout est coché et cliquer enfin sur "Supprimer la sélection" => et ensuite sur "OK"
- Note Importante : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepter en cliquant sur Ok.
> Le rapport de scan est sauvegardé dans l'onglet "Rapport/log"de Malwarebytes .
Il sera parfois nécessaire de conjuguer les deux méthodes pour éradiquer l'infection .
Vérification :
- Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a system scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
Refaire un scan hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.
Si après avoir fait plusieurs fois la manipulation ( à savoir passage de WORT, Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :
- Sous XP :
- Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
- Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
- Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
- Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.
(
Merci à Incognito02 pour cette astuce ;-))
- Sous Vista :
- Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
- Cliquer sur voir le Statut > Bouton Propriétés.
- Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.
Vérifier si l'infection est bien neutralisée:
( sous Vista , bien
désactiver l 'UAC avant )
Télécharger
Smitfraudfix par S!RI sur le bureau.
- ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver les défenses !
- Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
- Appuyer sur une touche pour continuer .
- Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
- Au menu, choisir l’option 5 : Recherche et suppression détournement DNS
- Laisser travailler l'outil .
- Une fois terminé, un rapport est sauvegardé ici : C:\Rapport.txt
En résumé :
- Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes' Anti-Malware qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de Smitfraudfix : (Recherche et suppression détournement DNS)
- Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un Pare feu si vous n'en avez pas déjà un !
- En cas d'échec , ne pas hésiter à créer un sujet sur le forum Virus/Sécurité et joindre les différents rapports obtenus .
Affichage pleine page internet explorer
