Page internet/google redirigée

Dernière mise à jour le 2 novembre 2009 à 16:36 par marlalapocket
Publié par green day




Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.

Ce détournement peut se traduire de deux manières dans un rapport hijackthis :

1er cas : Détournement du fichier hosts


Voir partie en gras dans ce rapport :

Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

Méthode de désinfection :

  • Télécharger HostsXpert :
  • Dézipper le dossier sur le bureau.
  • Lancer HostsXpert et cliquer surRestore Microsoft's Hosts File
  • Refaire ensuite un Hijackthis pour s’assurer que les lignes précédentes en gras ont disparues


Autre alternative : Restaurer le fichier Hosts à son état d'origine (avec RHosts de S!Ri)

2ème cas : Infection Wareout :


Identification :

  • Ce spyware se manifeste dans un rapport hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, par exemple :


O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

Et dans certains cas avec ce service en plus :

O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kd???.exe
( où les " ? " sont des lettres )


Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par WareOut, alors que le rapport hijackthis n'indique aucune des lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :
  • Télécharger Smitfraudfix (par S!RI)
    • ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
  • Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône et choisir " Exécuter entant qu'administrateur ")
    • Appuyer sur une touche pour continuer .
    • Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
    • Au second menu, choisir l’option 1 : Recherche


Exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par WareOut :

SmitFraudFix v2.221 

Rapport fait à 21:33:34,46, 09/09/2007 
Executé à partir de C:\Documents and Settings\jpimpy\Bureau\SmitfraudFix 
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT 
Le type du système de fichiers est NTFS 
Fix executé en mode normal 

»»»»»»»»»»»»»»»»»»»»»»»» Process 
.........
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL" 
"LoadAppInit_DLLs"=dword:00000001 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="kdruc.exe" 

kdruc.exe détecté ! 


»»»»»»»»»»»»»»»»»»»»»»»» Rustock 



»»»»»»»»»»»»»»»»»»»»»»»» DNS 

Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets 
DNS Server Search Order: 212.27.54.252 
DNS Server Search Order: 212.27.53.252 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin 

Méthodes de désinfection :


A- avec WORT :

(Pour ceux qui on Vista , bien désactiver l'UAC avant d'utiliser l'outil )

Télécharger WORT (de dj QUIOU) sur le Bureau.

Faire redémarrer le PC en mode sans échec :

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

1) Redémarrer l'ordinateur .
2) Tapoter sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tapoter jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisir la première option : Sans Échec , et valider en tapant sur [Entrée] .
5) Choisir son compte habituel ( et pas Administrateur ).
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ...
  • Double-cliquer sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionner le bureau à l'aide du bouton "Browse".
  • Suivre les instructions et double-cliquer sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ...
  • Sélectionner l'option 1 et valider par [entrée] .
  • Ne toucher à rien et laisser tavailler l'outil !


> A la fin du scan , le rapport "WORT_report.txt" s'ouvre : il contiendra tout ce dont vous avez besoin pour savoir si une infection a été trouvée et si elle a été supprimmée . Sauvegardez ce rapport au besoin .
A la fermeture du bloc-notes, le programme se terminera .

( Puis redémarrer simplement le PC pour retourner en mode normal )


B- Avec Malwarebytes' Anti-Malware :
  • Télécharger MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
  • Installer le logiciel.
    • S'il manque le fichier COMCTL32.OCX, le télécharger ICI.
  • Lancer MalwareBytes' Anti-Malware,
  • Faire les mises à jour (Onglet Mises à jour puis Recherche de mises à jour).
  • Vérifier que la case :Exécuter un examen complet soit bien cochée
  • Cliquer sur "Rechercher" , Sélectionner les disques durs puis cliquer sur "Lancer l'examen"
  • Patienter ... Et une fois l'analyse terminée, cliquer sur "Afficher les résultats"
  • Vérifier que tout est coché et cliquer enfin sur "Supprimer la sélection" => et ensuite sur "OK"
  • Note Importante : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepter en cliquant sur Ok.


> Le rapport de scan est sauvegardé dans l'onglet "Rapport/log"de Malwarebytes .
  • Note :

Il sera parfois nécessaire de conjuguer les deux méthodes pour éradiquer l'infection .


Vérification :
  • Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a system scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :


O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85

Refaire un scan hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.

Si après avoir fait plusieurs fois la manipulation ( à savoir passage de WORT, Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :
  • Sous XP :
    • Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
    • Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
    • Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
    • Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.

(Merci à Incognito02 pour cette astuce ;-))
  • Sous Vista :
    • Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
    • Cliquer sur voir le Statut > Bouton Propriétés.
    • Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.

Vérifier si l'infection est bien neutralisée:


( sous Vista , bien désactiver l 'UAC avant )

Télécharger Smitfraudfix par S!RI sur le bureau.
  • ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver les défenses !
  • Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
  • Appuyer sur une touche pour continuer .
  • Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
  • Au menu, choisir l’option 5 : Recherche et suppression détournement DNS
  • Laisser travailler l'outil .
  • Une fois terminé, un rapport est sauvegardé ici : C:\Rapport.txt

En résumé :

  • Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes' Anti-Malware qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de Smitfraudfix : (Recherche et suppression détournement DNS)
    • Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un Pare feu si vous n'en avez pas déjà un !
    • En cas d'échec , ne pas hésiter à créer un sujet sur le forum Virus/Sécurité et joindre les différents rapports obtenus .
Meilleures réponses pour « Page internet/google redirigée » dans :
Google - Traduire une page internet Voir Introduction Création du marque-page Autres liens Introduction Dans cette astuce, nous allons voir comment traduire une page internet en français avec un marque-page. Pour cela, nous allons utiliser un outil Google : Création du marque...