Menu
  1. Accueil
  2. Fiches pratiques
  3. Sécurité
  4. Spywares

Page internet/google redirigée

Dernière mise à jour le par Jean-François Pillou .

Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.

Ce détournement peut se traduire de deux manières dans un rapport hijackthis :

1er cas : Détournement du fichier hosts


Voir partie en gras dans ce rapport :

Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWShtpatch.exe
C:Program FilesCreativeSBAudigySurround MixerCTSysVol.exe
C:Program FilesATI TechnologiesATI.ACECLI.EXE
C:WINDOWSsystem32Rundll32.exe
C:Program FilesJavajre1.5.0_06binjusched.exe
C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesCreativeMediaSourceDetectorCTDetect.exe
C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe
C:WINDOWSsystem32CTsvcCDA.EXE
c:progra~1intern~1iexplore.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSsystem32svchost.exe
C:Documents and SettingsStar-PhénixBureauRacc Bureaugunz-mrb-1.18SetPoint.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Documents and SettingsDupondBureauJKAHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://gunz.ijji.com/
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:PROGRA~1FlashFXPIEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:PROGRA~1FlashGetgetflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 - HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACECLIStart.exe"
O4 - HKLM..Run: [CTSysVol] C:Program FilesCreativeSBAudigySurround MixerCTSysVol.exe /r
O4 - HKLM..Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe
O4 - HKLM..Run: [kis] "C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe"
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeReader 8.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:Program FilesPrintKey2000Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O20 - AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0adialhk.dll
O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTsvcCDA.EXE

Méthode de désinfection :


A- avec HostsXpert ( Pour XP seurlement )
  • Téléchargez HostsXpert :
  • Dézippez le dossier sur le bureau.
  • Lancez HostsXpert et cliquer sur Restore Microsoft's Hosts File
  • Refaire ensuite un Hijackthis pour s'assurer que les lignes précédentes en gras ont disparues


B- avec MyHosts
  • Téléchargez MyHosts (de jeanmimigab) sur votre bureau ici: http://jeanmimigab.perso.neuf.fr/MyHosts.exe
  • Lancez le en double-cliquant dessus ( Clic droit -> "Executez en tant qu'administrateur" sous vista/seven ).
  • Postez le contenu du rapport qui s'ouvre dans votre prochain message.
  • Si aucun rapport ne s'ouvre, vous pouvez le retrouver à l'emplacement suivant : C:MyHosts.txt.


C- avec RHosts ( Pour XP seurlement )
Restaurer le fichier Hosts à son état d'origine (avec RHosts de S!Ri)

D- avec Zeb-Restore ( Pour XP seurlement )

2ème cas : Infection Wareout :

Identification :

  • Ce spyware se manifeste dans un rapport hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, par exemple :


O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85

Et dans certains cas avec ce service en plus :

O23 - Service: Windows Tribute Service - Unknown owner - C:Windowssystem32kd???.exe
( où les " ? " sont des lettres )

Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par WareOut, alors que le rapport hijackthis n'indique aucune des lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :
  • Téléchargez Smitfraudfix (par S!RI)
    • ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
  • Lancez Smitfraudfix (Pour Vista : cliquez droit sur l'icône et choisir " Exécutez entant qu'administrateur ")
    • Appuyez sur une touche pour continuer .
    • Arrivez à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
    • Au second menu, choisir l'option 1 : Recherche


Exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par WareOut : 

SmitFraudFix v2.221     

Rapport fait à 21:33:34,46, 09/09/2007     
Executé à partir de C:Documents and SettingsjpimpyBureauSmitfraudFix     
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT     
Le type du système de fichiers est NTFS     
Fix executé en mode normal     

»»»»»»»»»»»»»»»»»»»»»»»» Process     
.........    
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs     
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!     

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]     
"AppInit_DLLs"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"     
"LoadAppInit_DLLs"=dword:00000001     

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System     
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!     

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]     
"System"="kdruc.exe"     

kdruc.exe détecté !     

»»»»»»»»»»»»»»»»»»»»»»»» Rustock     

»»»»»»»»»»»»»»»»»»»»»»»» DNS     

Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets     
DNS Server Search Order: 212.27.54.252     
DNS Server Search Order: 212.27.53.252     
    
HKLMSYSTEMCCSServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCCSServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCCSServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCCSServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCCSServicesTcpip..{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252     
HKLMSYSTEMCS1ServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCS1ServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCS1ServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122     
HKLMSYSTEMCS1ServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122     

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll     

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Méthodes de désinfection :


A- avec WORT :

(Pour ceux qui on Vista , bien désactiver l'UAC avant d'utiliser l'outil )

Téléchargez WORT (de dj QUIOU) sur le Bureau.

Faites redémarrer le PC en mode sans échec :

/! Ne jamais démarrer en mode sans échec via MSCONFIG /!

1) Redémarrez l'ordinateur .
2) Tapotez sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tapotez jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisissez la première option : Sans Échec , et valider en tapant sur [Entrée] .
5) Choisissez votre compte habituel ( et pas Administrateur ).
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ...
  • Double-cliquez sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionnez le bureau à l'aide du bouton "Browse".
  • Suivez les instructions et double-cliquez sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ...
  • Sélectionnez l'option 1 et valider par [entrée] .
  • Ne touchez à rien et laissez tavailler l'outil !


> A la fin du scan , le rapport "WORT_report.txt" s'ouvre : il contiendra tout ce dont vous avez besoin pour savoir si une infection a été trouvée et si elle a été supprimmée . Sauvegardez ce rapport au besoin .
A la fermeture du bloc-notes, le programme se terminera .

( Puis redémarrez simplement le PC pour retourner en mode normal )

B- Avec Malwarebytes' Anti-Malware :
  • Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
  • Installez le logiciel.
    • S'il manque le fichier COMCTL32.OCX, le télécharger ICI.
  • Lancez MalwareBytes' Anti-Malware,
  • Faites les mises à jour (Onglet Mises à jour puis Recherche de mises à jour).
  • Vérifiez que la case :Exécuter un examen complet soit bien cochée
  • Cliquer sur "Rechercher" , Sélectionnez les disques durs puis cliquez sur "Lancer l'examen"
  • Patientez ... Et une fois l'analyse terminée, cliquez sur "Afficher les résultats"
  • Vérifiez que tout est coché et cliquez enfin sur "Supprimer la sélection" => et ensuite sur "OK"
  • Note Importante : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur Ok.


> Le rapport de scan est sauvegardé dans l'onglet "Rapport/log"de Malwarebytes .
  • Note :

Il sera parfois nécessaire de conjuguer les deux méthodes pour éradiquer l'infection .

Vérification :
  • Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a system scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :


O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85

Refaire un scan hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.

Si après avoir fait plusieurs fois la manipulation ( à savoir passage de WORT, Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :
  • Sous XP :
    • Allez dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
    • Mettez en surbrillance Protocole Internet (tcp/ip) puis cliquez sur le bouton Propriétés.
    • Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
    • Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquez 2 fois sur Ok et redémarrer le PC.

(Merci à Incognito02 pour cette astuce ;-))
  • Sous Vista :
    • Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
    • Cliquez sur voir le Statut > Bouton Propriétés.
    • Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.

Vérifiez si l'infection est bien neutralisée:


( sous Vista , bien désactiver l'UAC avant )

Téléchargez Smitfraudfix par S!RI sur le bureau.
  • ! Se déconnecter d'internet, fermez toutes applications en cours et désactivez les défenses !
  • Lancez Smitfraudfix (Pour Vista : cliquez droit sur l'icône / " Exécutez entant qu'administrateur ... ")
  • Appuyez sur une touche pour continuer .
  • Arrivé à l'invite de commande, saisissez la lettre F afin de basculer le fix en langue française
  • Au menu, choisir l'option 5 : Recherche et suppression détournement DNS
  • Laissez travailler l'outil .
  • Une fois terminé, un rapport est sauvegardé ici : C:Rapport.txt

En résumé :

  • Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes' Anti-Malware qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de Smitfraudfix : (Recherche et suppression détournement DNS)
    • Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un Pare feu si vous n'en avez pas déjà un !
    • En cas d'échec , ne pas hésiter à créer un sujet sur le forum Virus/Sécurité et joindre les différents rapports obtenus .
Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche
et directeur délégué au développement numérique du groupe Figaro.
Ce document intitulé « Page internet/google redirigée » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.