Liens détournés vers homepage google [Résolu]

draculito - Dernière réponse le 15 août 2011 à 16:57

Bonjour à tous
Je suis sous XP SP3. (désolé pour le pavé et la mise en page, les sauts de ligne ne semblent pas pris en compte...)
J'ai eu il y a qques heures une alerte de type "Security Protection, designed to Protect" (NB : fausse alerte virale pour pousser à l'achat d'un faux antivirus, http://deletemalware.blogspot.com/2011/05/how-to-remove-malware-protection.html).
J'ai réussi à supprimer cette alerte et à supprimer les fichiers à problème. J'ai passé un coup de CCleaner sur les fichiers et la base de registre, puis j'ai essayé de vérifier que tout était ok, en suivant les instructions du lien précédent et les antimalware conseillés.
1/ j'ai lancé malwarebyte, mais il a échoué avant la fin du scan (sans message d'erreur, le soft a simplement disparu).
2/ j'ai lancé Hitman à la place, qui a détecté (et résolu) un bootkit
Je pensais que tout était réglé mais, comme indiqué dans le titre du message, certains liens (principalement ceux ouverts suite à une requête google) renvoient vers une page avec le logo google. Je peux cependant accéder à la bonne page en copiant/collant l'url du site.
Une nouvelle passe de Hitman ne signale rien d'anormal (hormis un redbook.sys qui serait un driver audio). J'ai tenté HiJackThis : comme pour malwarebytes, il s'est interrompu anormalement avant la fin du scan. Encore plus louche, l'executable ne se lance plus la seconde fois, et ne peut pas non plus être supprimé, pas même avec un software de type MoveOnBoot (suppression réussie toutefois en redémarrant en mode DOS).
A noter également que Firefox 5 plante désormais quasi systématiquement (toutes les 3 pages environ), en mode normal ou en mode sans échec. Je suis actuellement sous Chrome qui fonctionne. Depuis le début de l'infection, Internet Explorer ne marche plus (message "windows cannot acces the device... you don't have permission" quand on lance IE).
J'ai récupéré ZHPDiag et Combofix suite à ce que j'ai lu ici ou là, mais je serai incapable d'interpréter leur log si ils ne résolvent pas le problème d'eux-mêmes.
Donc :
1/ Est ce que je lance illico un scan par Combofix ou y a-t-il une alternative à envisager auparavant ?
2/ Est ce que qqun est dispo pour analyser le rapport Combofix ?
Merci

Liens détournés vers homepage google »

Suggestions

Liens détournés vers homepage google
Google chrome modifier page accueil (Résolu) » Forum
Google Earth, problème de connexion (Résolu) » Forum
Google Chrome - Page nouvel onglet changé (Résolu) » Forum
J'ai attrapé httphttp://www.searchnu.com/406 (Résolu) » Forum
Apparaitre en premier sur Google (Résolu) » Forum

Plus

Réponse

draculito 14 août 2011 à 03:03

Ah, j'ai oublié une chose essentielle. Un processus nommé "304991952:791794413.exe" apparaît dans le Task Manager. Les nombres sont probablement aléatoires, je n'ai rien trouvé sur le net, mais c'est le même nom d'un reboot à l'autre.
Ce processus existe en mode normal comme en mode sans échec.

Ajouter un commentaire

Réponse

draculito 14 août 2011 à 11:15

Up, si qqun est dispo pour m'aider ?
Pour info, le .exe cité précédemment fait 484ko dans le Task Manager.

Merci de votre aide svp.

Ajouter un commentaire

Réponse

draculito 14 août 2011 à 14:01

Bonjour, désolé de faire un nouveau up mais je crains que mon pb soit passer aux oubliettes. Je sais que c'est le WE, que c'est l'été, et que tout le monde fait de son mieux, mais il y a de l'activité sur le forum et des problèmes postés récemment sont déjà pris en charge...

Vu que je suis poli, que je n'écris pas en SMS et que j'ai essayé de donner un maximum d'info dans le message initial, j'imagine que ce n'est qu'un oubli.

Pour les nouvelles, j'ai essayé de faire un scan par ZHPDiag et (à nouveau) par Malwarebytes, et à chaque fois le scan s'interrompt brutalement, sans indiquer de message d'erreur (ni par le soft, ni par windows). Comme indiqué dans le 1er message, ces soft sont ensuite inacessibles (boite de dialogue windows "don't have permission to access). J'ai désinstallé ces softwares pour l'instant.

Donc je n'ai actuellement aucun moyen de diagnostic disponible (sauf Combofix que je n'ai pas encore lancé).

Merci de votre aide.

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 14:10

Salut,

Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.

Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.

ETAPE 1 :
Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
Poste le rapport ici.

ETAPE 2 :

Télécharge et installe Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!

ETAPE 3 :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 14:12

Encore des news (désolé de flood, je pense que c'est utile).

A la lecture d'autres pbs similaires sur le forum, j'ai lancé Reload_TDSSKiller, qui lui aussi s'est planté en cours de scan, mais a tout de même écrit une partie du log résultat.

La dernière ligne du log porte sur le fameux processus 304991952:791794413.exe déjà cité...

J'ai uploadé le rapport du TDSS Killer : http://www.cijoint.fr/cjlink.php?file=cj201108/cijCYzWxHT.txt

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 14:15

2011/08/14 14:06:49.0125 3984 d0ce2d12 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\304991952:791794413.exe

Ca doit être max++ : http://www.malekal.com/2011/07/05/sirefef-b-rootkit-win32-zaccess-max/

Ca marche une restauration du système à una date antérieure à l'infection ?

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 14:50

Salut et merci pour ta réponse :)

Je synthétise proprement le résultat des étapes indiquées
Etape 1 : TDSS Killer --> voir message précédent avec le rapport de scan
Etape 2 : Malwarebytes
--> Mise à jour ok (N°7463)
--> comme proposé dans le lien que tu indiquais, si le software était bloqué par le malware, j'ai lancé Rkill (en mode normal). Les seuls process tués étaient des chrome.exe (le browser était pourtant déjà fermé).
Pour être sûr, j'ai tout de même redémarré en mode sans échec + network (comme proposé dans ton lien), lancer Rkill (aucun process tué), et lancé Malware. Même résultat que précédemment, le soft s'arrête avant la fin du scan.
L'étape 2 ayant échoué, je n'ai pas fait l'étape 3.

Je n'ai pas encore tenté de restauration du système. Est ce que, vu la situation, c'est la solution que tu recommandes ?
Corollaire : suite à la restauration, est ce que je repasse les étapes 1/2/3 ?

Corollaire n°2 : est-ce possible de savoir via quel site il s'est propagé sur mon PC ? Pour info, le site cestpasfaux.tv était inaccessible qques heures avant l'infection.

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 14:53

Malwarebyte est inefficace contre ce malware.
Vois si la restauration du système fonctionne.

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 15:34

Mauvaise nouvelle : je n'ai plus de point de restauration antérieur à l'infection !!

Au début de l'infection, j'ai pu constater en utilisant CCleaner qu'il y avait bien des points de restauration (l'un des onglets donne la liste des points de restauration).

Ce matin, j'ai eu une mise à jour automatique de windows (update de IE7), que j'ai accepté. Il n'y avait qu'une seule mise à jour, et pas le traditionnel Malware Removal Tools que j'espérais.
Aujourd'hui, dans la liste des points de restauration (que ce soit via l'outil de restauration et via CCleaner), seul le dernier point est affiché, et il correspond à mon avis à l'heure de la mise à jour (~11h). Le nom du point de restauration est "Software Distribution Service 3.0".
Il n'y a rien d'autre...

Est-ce possible que l'update IE7 soit un fake et ait supprimé les points de restauration ? C'est pourtant étonnant vu le délai entre l'infection et la demande de mise à jour (infection vers 20h, PC allumé jusqu'à 4h, rallumé vers 10h, et demande d'update vers 11h). Bref, peu importe dans mon cas, le mal est fait, mais je le précise au cas où ça se reproduirait chez d'autre...

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 17:49

Non pour la mise à jour.

Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 18:45

La procédure ComboFix est terminée. Le lien vers le rapport de scan : http://www.cijoint.fr/cjlink.php?file=cj201108/cij2NHRtMq.txt

NB : le processus xxxxxx:xxxxxx.exe mentionné plus haut a disparu du Task Manager.

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 18:50

Ca c'est la réponse à ta question précédente, comment c'est venu... :

c:\documents and settings\draculito\Application Data\Adobe\plugs
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc1330765.txt
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc158.exe
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc69.exe
c:\documents and settings\draculito\Application Data\Adobe\shed
c:\documents and settings\draculito\Application Data\Adobe\shed\thr1.chm

Trojan.Karagany que tu as choppé par un exploit sur site web.
Ca veux dire que tu as des programmes pas à jour qui permettent l'infection de ton PC.
=> http://www.malekal.com/2011/06/17/java-exploit-en-augmentation-tdss-hiloti/

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::  
d0ce2d12  
ADS::  
C:\WINDOWS\system32\304991952:791794413.exe

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 19:07

Pour info, ComboFix indiquait (lors de sa 1ère exécution) qu'il s'agissait du Rootkit ZeroAccess.

Voici le lien du log de la 2nde exécution de ComboFix : http://pjjoint.malekal.com/files.php?id=4c71b2dc48z7g10l11w6s12v14t15v7s5g10o15p8i5y10m8n12m5o11u12r6

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 19:08

oui c'est l'autre nom de Maxx++

Désinstalle Hitman truc ça sert à rien .....

Retente TDSSKiller voir si ça passe.
Ne nettoye rien avec. Poste juste le rapport.

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 19:21

Le log de TDSS Killer, qui semble clean : http://pjjoint.malekal.com/files.php?id=96d22aea22v11w14n13e8v13x8p8q7e14i15z11z12d7m11i7d10w5u9n7v13

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 14 août 2011 à 19:27

OK, je pense qu'on a repris la main sur le système.

Fais un scan OTL histoire de voir : http://www.commentcamarche.net/forum/affich-22884002-liens-detournes-vers-homepage-google#4

Possible que ton antivirus soit explosé, faut le désinstaller et réinstaller dans ce cas.

Je vais bouger donc je répondrais tard ou demain :)

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now

Ajouter un commentaire - Site web

Réponse

draculito 14 août 2011 à 19:47

Les log de OTL
--> OTL.txt : http://pjjoint.malekal.com/files.php?id=9b13b8d24dv13h8o10m12q15t6v15e13r15z15v12f5i15l13x6z11c9h8128
--> Extras.txt : http://pjjoint.malekal.com/files.php?id=bde700abdcv6f14h11g6z12e10u9m12u11w12o9c11b5z9x11v11u11o11c14f9

Je n'ai pas d'antivirus (pas tapé) vu qu'un firewall a toujours été suffisant depuis 10 ans, sauf pour Blaster quand il est apparu.
Vu ce que j'ai lu aujourd'hui sur les rootkits, des scans online (après infection) seront inefficaces, donc je vais peut-être revoir ma position.

Ajouter un commentaire

Réponse

draculito 14 août 2011 à 20:18

Pour compléter le tableau, actuellement, le PC semble tourner correctement (pas de process anormal dans le Task Manager, pas de redirection vers de fausses pages web) à l'exception des 2 points suivants.
1/ Firefox freeze toujours après le lancement d'une page. Ca dure environ 20-30s. Je ferais une desinstallation/réinstallation.
2/ les exécutables de Internet Explorer et de Mediamonkey sont inopérants (Boite de dialogue "Windows cannot access the specified device, path or file, you may not have the permission to access the item".
Je mentionne particulièrement Mediamonkey vu que je l'ai vu dans le log Extras.txt de OTL (alors qu'il n'est pas sensé lancer quoi que ce soit au démarrage du PC) et que c'était le seul programme "utilisateur" en activité lorsque l'infection s'est déclarée.

J'essayerai des désinstallations/réinstallations mais je ne fais rien pour l'instant pour ne pas interférer avec les diagnostics déjà réalisés.

Ajouter un commentaire

Réponse

draculito 15 août 2011 à 01:37

J'en ai profité pour passer un coup de Malwarebytes, qui a trouvé 7 fichiers infectés, dont redbook.sys et kbipx32.dll qui étaient impliqués au début de l'infection. Ces fichiers ont été placés en quarantaine.

Le compte-rendu du scan : http://pjjoint.malekal.com/files.php?id=02ea6f33045r5b5y1111n6e7l11n13n6h15n8y11q5v8k11x12r13n12b15

Une seconde passe de Malwarebytes ne détecte rien d'anormal. Le compte-rendu de ce second scan : http://pjjoint.malekal.com/files.php?id=250ae3663cw13g13v13l13v13e11f13i8v10g5v6x14t11i5i8r11f14w9k15g13

Je pense qu'il sera nécessaire de réparer les fichiers supprimés avec le CD windows mais j'attends ta confirmation avant d'aller plus loin.

Ajouter un commentaire

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 15 août 2011 à 08:05

"Windows cannot access the specified device, path or file, you may not have the permission to access the item".

C'est l'infection qui fait ça.

Menu Démarrer / Tous les programmes / Accessoires et clic droit/executer en tant qu'administrateur sur invites de commandes.

Faut taper la commande suivante :
cacls "chemin de l'exe" /P "Tout le monde:F"

exemple :
cacls "C:\Program Files\Mediamonkey\Mediamonkey.exe" /P "Tout le monde:F"

à répeter pour tous les .exe bloqués.

Ajouter un commentaire - Site web

1 2

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Liens détournés vers homepage google [Résolu]

Liens détournés vers homepage google »

Passage au tout numérique : quel coût pour les particuliers ?