Redirection des liens Google vers publicitésRésolu/Fermé

Question

Bonjour,  

Malheur à moi ! Je viens tout juste de réinstaller Vista, me voilà déjà infecté... 

Je ne sais pas du tout comment j'ai pu attraper cette saleté, mais un virus redirige mes clics sur des moteurs de recherche vers une publicité, par un serveur nommé "kozanekozasearchsystem.com". 

Microsoft Security Essentials ne démarre plus et affiche l'erreur "%1 n'est pas une application Win32 valide".  
J'ai même lancé Housecall pour voir ce qu'il en disait, mais rien... 

Avez-vous une idée ? Savez vous comment remédier à ce problème ? 

Merci d'avance pour votre aide, 

Amicalement, 

Configuration: Windows Vista / Firefox 8.0.1

kalimusic · Answer

Bonsoir et bienvenue sur CCM

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess : 
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

Melegan22 · Answer

Salut, 

Merci beaucoup pour ta réponse rapide, voilà le lien du fichier :

https://www.cjoint.com/?ALcuLEgEldO

Sinon, je précise que depuis ce soir, Windows Update et Windows Defender ne répondent plus à leur tour... 
Donc apparemment ça a l'air du méchant...

A+ !

Melegan22 · Answer

Hmm je crois que ça s'améliore !

Mes liens ne sont plus redirigés vers des pubs.

Par contre, Windows Update, Windows Defender, et Microsoft Security Essentials (en gros tout ce qui est fait pour protéger ^^) ne fonctionnent pas.

Dois-je seulement les réinstaller pour régler le problème, ou alors il reste encore des sal*peries sur mon pc ? Le virus a-t-il pu endommager des fichiers systèmes ?

kalimusic · Answer

Megelan22,

Effectivement il s'agit du rootkit zeroaccess.
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\assembly	mp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

Melegan22 · Answer

Voici les liens : 

OTL.Txt : 	https://www.cjoint.com/?ALcv0ZWMP7b
Extras.Txt : https://www.cjoint.com/?ALcv1qHLgdX 

Sinon, encore un problème... 
Les fonctionnalités Aero pour maximiser/réduire etc une fenêtre en la faisant glisser ne fonctionnent plus. Il n'y a plus que la transparence et la bascule entre les fenêtres.

kalimusic · Answer

re,

Effectivement cette infection peut faire des dégâts sur le système.
Il faudra sans doute réinstaller certaines applications.

 == == == == == == == == == == == == == == == == == == == == == ==

&#x25CF;  La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
&#x25CF;  N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
&#x25CF;  Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris. 
&#x25CF;  Héberge les rapports des outils sur https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
&#x25CF;  Je t'aide bénévolement, merci d'en tenir compte :)

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarre l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

Melegan22 · Answer

Salut et encore merci pour ton aide, rares sont les personnes qui prennent autant de temps pour aider les internautes ;)

Voici le document ComboFix : http://cjoint.com/11dc/ALdiIfnhet3.htm

J'ai remarqué qu'à la racine de mes partitions (C: et D:) il se trouve des fichier du genre "Recycled", "ProgramData", "Qoobox" etc... C'est normal ?

Sinon les fonctionnalités Aero dont je t'ai parlé ne fonctionnent toujours pas.

A+

kalimusic · Answer

Bonjour,

Je t'ai déjà précisé que cette infection endommage parfois le système.
On va tout faire pour réparer, ne soit pas impatient.
"Qoobox" a été créé par ComboFix
"Recycled" & "ProgramData" sont normalement masqués, vérifie tes propriétés d'affichage (aide)

1. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

2. Vérifie l'intégrité du système avec sfc /verifyonly, répare si nécessaire avec sfc /scannow, tutoriel : http://www.vista-xp.fr/forum/topic346.html

3. Menu Démarrer > Rechercher : tape services.msc >  [Entrée]
Pare-feu windows > clic-droit Propriétés >  type de démarrage = Automatique
Idem pour Windows Defender > Automatique (départ différé)

4. Essaye de réinstaller Microsoft Security Essentials

5. https://www.zebulon.fr/astuces/personnalisation/241-reactiver-aero-sur-vista.html

A +

Melegan22 · Answer

Re,

1) OTL.Txt : https://www.cjoint.com/?ALdl1EzebVV

2) sfc/verifyonly : "Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité."

3) Ni Windows Defender ni le Pare-feu Windows n'apparaissent dans les Services (local).

4) Microsoft Security Essentials est réinstallé avec succès ! Il est activé, je crois que c'est bon.

5) Je connais ceci, mais moi mon problème c'est que tout ce qui est Aero Snap est désactivé. Tu sais normalement quand on glisse une fenêtre vers le haut, elle prend tout l'écran, et quand on la glisse vers un côté, elle ne prend que ce côté. Sinon le thème Aero fonctionne.

Sinon, pour les dossiers qui devraient être cachés : les options des dossiers sont les mêmes qu'à l'origine. Apparemment, le système voit ces fichiers comme non-protégés...

Merci

kalimusic · Answer

ok,

Tu n'es plus infecté, voyons ensemble les soucis restants.
Je trouve étrange que Windows defender et que le pare-feu n'apparaissent plus dans la console de gestion des services, on va regarder.

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend /s 
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
 
A +

Melegan22 · Answer

OTL.Txt : https://www.cjoint.com/?ALdnLhjZrhO 

Voilà !

Merci d'avance.

Tiens, je te joins une prise d'écran, tu remarqueras que Security Essentials est installé mais non reconnu par le système : 

http://img59.imageshack.us/img59/4752/sanstitredc.jpg

kalimusic · Answer

L'installation de MSSE désactive théoriquement WinDefender.
Par contre il reste un soucis avec le pare-feu et le centre de sécurité.

Quel message d'erreur as tu quand tu cliques sur Activer maintenant pour le pare-feu ?

A +

Melegan22 · Answer

Merci de me soulager pour Defender :)

Pour Activer maintenant : "Le centre de sécurité n'a pas pu activer le Pare-feu Windows." 

En fait, ce n'est pas seulement qu'il n'est pas activé, c'est qu'il ne démarre pas... Même si son nom apparait dans la liste des programmes de démarrage.

A+

kalimusic · Answer

On va essayer la solution Microsoft : https://support.microsoft.com/fr-fr/help/2271812/can-t-turn-on-the-windows-firewall-in-the-security-center

A +

Melegan22 · Answer

Salut, 

Le logiciel trouve des erreurs mais ne sait les résoudre...

A+

kalimusic · Answer

ça se complique quand même maintenant...
je cherche une autre solution.

A +

kalimusic · Answer

re,

svchost.exe n'a pas été vu comme modifié par 3 outils différents (tdsskiller, OTL et ComboFix). Le rootkit zaccess patche/modifie un driver de Windows au hasard afin de se charger au démarrage (dans ton cas smb.sys). Je ne pense pas que cela soit significatif.

On pourrait sans doute résoudre certains autres problèmes que tu rencontres mais l'infection a fait trop de dégâts sur ton système, on ne serait pas sûr de l'issue.
Si ton DVD inclut le SP2, tu peux tenter la réparation/réinstallation sans perte de données ni logiciels : http://www.chantal11.com/2009/04/installer-reparer-windows-7-mise-a-niveau-sans-perte-donnees-et-logiciels-seven/
Sinon, il faut formater.

A +

Melegan22 · Answer

Oui merci je n'y avais même pas pensé !

Je vais me mettre à la tâche bientôt, et je te dirai si cela aura été fructueux.

Encore merci pour tout ce temps accordé à mon problème.

Florian.

Melegan22 · Answer

La mise à niveau ne fonctionne pas. Formatage oblige...

Merci encore !

kalimusic · Answer

Bonjour,

C'est toujours frustrant de finir par le formatage alors que l'infection avait été éradiquée. Pour l'avenir, les choses simples qui font la différence :

&#x25CF; Maintenir Windows à jour

&#x25CF; Maintenir les logiciels à jour 

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==

Bon continuation

Redirection des liens Google vers publicités

20 réponses

Discussions similaires

Newsletters