Création
d'entreprise
Posez votre question Signaler

Pages internet Google redirigées

Didier - Dernière réponse le 24 juin 2011 à 14:47
Bonjour,
Je me permets de poster ici ce message car j'ai échoué dans mes tentatives d'éradiquer cet infâme virus qui redirige presque systématiquement les cliks sur les résultats d'une recherche google quelconque. Avec Firefox comme avec ie.
J'ai donc essayé de suivre la procédure (fort bien faite) disponible ici:
http://www.commentcamarche.net/faq/6063-page-internet-google-redirigee (2ème cas : Infection Wareout), mais ça n'a pas marché.
Voici un petit historique:
1. Hijack this: les fameuses lignes 017 avec des adresses IP pointant vers l'Ukraine sont bien là, voilà le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:01, on 18/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\BITWARE\NT\bwprnmon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - HKCU\..\RunOnce: [F5 Networks Cleaner] rundll32.exe C:\DOCUME~1\didier\APPLIC~1\Mozilla\Firefox\Profiles\TEHC2L~1.DEF\EXTENS~1\{3191E~1\plugins\NPUROA~1.DLL,Run BROWSER:Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Dealio Toolbar 3.1 Firefox/3.0.4 URL:portal.latecoere.fr
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} (F5 Networks Policy Agent Host Class) - https://portal.latecoere.fr/vdesk/terminal/f5InspectionHost.cab#version=6020,2008,1015,1905
O16 - DPF: {E615C9EA-AD69-4AE9-83C9-9D906A0ACA6D} (F5 Networks OS Policy Agent) - https://portal.latecoere.fr/policy/download_binary.php/win32/f5syschk.cab#Version=6020,2008,1015,1918
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6F491E6-C6AC-4121-9F46-4E49A79D3AC2}: NameServer = 93.188.165.117,93.188.160.157
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.117,93.188.160.157
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.165.117,93.188.160.157
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.117,93.188.160.157
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Lire la suite 

Pages internet Google redirigées »

8 réponses
Réponse
-2
moins plus
1@@9 216Messages postés 6 octobre 2008Date d'inscription 24 mars 2012Dernière intervention 22 juin 2011 à 23:46
Bonsoir tu a un trojan supprime ceci avec hijackthis

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

Ceci est un détournement DNS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{C6F491E6-C6AC-4121-9F46-4E49A79D3AC2}\NameServer

c:\system volume information\_restore{9f9e0b55-a9ad-49d7-a8c6-ce10c3955e88}\RP1541\A0186375.dll

ensuit passe un scan avec malwarebyte anti malware

http://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware-free

j'espère que j'ai peu t'aide

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
g3n-h@ckm@n 12643Messages postés 11 juin 2011Date d'inscription 2 novembre 2011Dernière intervention 23 juin 2011 à 00:03
salut c'est une blague ?

desinstalle adobe reader il est pas à jour
desinstalle eorezo si c'est possible

===========================


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Ajouter un commentaire - Site web
1@@9- 23 juin 2011 à 21:02
salut comment ça c'est une blague ?
il est infecter par un trojan NON ?
g3n-h@ckm@n- 23 juin 2011 à 21:26
ce que tu demandes de virer avec hijackthis a deja été viré par Wort

Malwarebytes , de surcroît , s'utilise en fin de desinfection pas au debut !!

c'est pas une poudre magique !!
1@@9- 24 juin 2011 à 14:46
ah ok merci pour l'info bonne continuation g3n h@ckm@n
Ajouter un commentaire
Réponse
+0
moins plus
Didier 23 juin 2011 à 09:17
Bonjour, non ce n'est pas une blague. Merci pour ces conseils mais avant toute chose il y a un soucis avec mon post: il ne s'affiche pas en entier. En effet mon texte a été coupé à la première étape. Toutes les étapes et les rapports que j'ai dèjà fait (wort, malwarebyte anti malware , ...) ne s'affichent pas.
Y'a-t-il sur ce forum une longueur limitée pour les posts? Sinon comment faire pour tout poster?Merci

Voici quand même un résumé de mon message initial (il ne manque que les rapports):

1. Hijack this: les fameuses lignes 017 avec des adresses IP pointant vers l'Ukraine sont bien là, voilà le rapport:
2. Désinfection Wort: je n'ai pas bien su interpréter le rapport après un essai, le problème persiste; Voilà le rapport:
3. Désinfection Malwarebytes' Anti-Malware: des infections sont trouvées, voici le rapport: (au passage, j'ai été obligé de renomer le fichier mbam.exe pour qu'il daigne se lancer)
4. Vérification Hijackthis: je vérifie donc, comme indiqué dans la procédure, et en effet les fameuses lignes 017 ont disparu, voici le rapport:
5. Essai recherche google: Firefox (et ie) m'affiche bien des pages de résultats, que ce qoit dans "web", "map", "images", ... mais aucune connexion n'est possible en cliquant sur les liens, j'ai un message identique à un défaut de connexion internet.
6. WinsockFix.exe: je trouve sur ce forum des posts qui disent que parfois, après une désinfection, il est bon d'exécuter WinsockFix.exe. Ce que je fais, et après essai, effectivement la connexion est rétablie.
7. MAIS, les fameuses redirections des résultats de recherche google sont toujours là, alors que les lignes 017 de Hijackthis ont bel et bien disparu, et que Malwarebytes Anti-Malware ne trouve rien non plus. Voilà lle nouveau rapport Malwarebyte:
8. Restauration du système: j'essaie de restaurer à une date que je pense être antérieure à l'apparition du virus, elle s'avère impossible.
9. Manip sur les options DNS dans "Protocole Internet": je veux essayer la dernière manip indiquée dans la procédure, à savoir cocher "Obtenir les adresses des serveurs DNS automatiquement" dans les options DNS, mais c'est impossible car c'est déjà coché chez moi

Voilà tout ce que j'ai fait sur mon PC. Ce n'est pas faute d'avoir essayé, mais vu que rien n'y fait je demande si quelqu'un pourrait avoir une idée sur ce qu'il me reste à faire pour tenter d'en finir avec ce virus.

Je vous remercie d'avance.

 Ajouter un commentaire
Malekal_morte-- 23 juin 2011 à 09:22
Tu peux faire aussi stp :
Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/

Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : http://forum.malekal.com/mozilla-history-view-history-view-t33301.html
Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
Enregistre le fichier url.txt sur ton bureau.
Pour le transmettre :
* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com
g3n-h@ckm@n- 24 juin 2011 à 14:47
oui fais ce que Malekal demande stp
Ajouter un commentaire
Posez votre question
Ce document intitulé « Pages internet Google redirigées » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?