Page internet/google redirigée
Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.
Ce détournement peut se traduire de deux manières dans un rapport hijackthis :
1er cas : Détournement du fichier hosts
Voir partie en gras dans ce rapport :
Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWShtpatch.exe
C:Program FilesCreativeSBAudigySurround MixerCTSysVol.exe
C:Program FilesATI TechnologiesATI.ACECLI.EXE
C:WINDOWSsystem32Rundll32.exe
C:Program FilesJavajre1.5.0_06binjusched.exe
C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesCreativeMediaSourceDetectorCTDetect.exe
C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe
C:WINDOWSsystem32CTsvcCDA.EXE
c:progra~1intern~1iexplore.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:WINDOWSsystem32svchost.exe
C:Documents and SettingsStar-PhénixBureauRacc Bureaugunz-mrb-1.18SetPoint.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Documents and SettingsDupondBureauJKAHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://gunz.ijji.com/
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2faddins.msn.fr%2f%3f
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:PROGRA~1FlashFXPIEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:PROGRA~1FlashGetgetflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 - HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACECLIStart.exe"
O4 - HKLM..Run: [CTSysVol] C:Program FilesCreativeSBAudigySurround MixerCTSysVol.exe /r
O4 - HKLM..Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe
O4 - HKLM..Run: [kis] "C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe"
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeReader 8.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:Program FilesPrintKey2000Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:Program FilesFichiers communsSourceTecSWF CatcherInternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O20 - AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0adialhk.dll
O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Internet Security 6.0avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTsvcCDA.EXE
Méthode de désinfection :
A- avec HostsXpert ( Pour XP seurlement )
- Téléchargez HostsXpert :
- Dézippez le dossier sur le bureau.
- Lancez HostsXpert et cliquer sur Restore Microsoft's Hosts File
- Refaire ensuite un Hijackthis pour s'assurer que les lignes précédentes en gras ont disparues
B- avec MyHosts
- Téléchargez MyHosts (de jeanmimigab) sur votre bureau ici: https://www.sfr.fr/fermeture-des-pages-perso.html
- Lancez le en double-cliquant dessus ( Clic droit -> "Executez en tant qu'administrateur" sous vista/seven ).
- Postez le contenu du rapport qui s'ouvre dans votre prochain message.
- Si aucun rapport ne s'ouvre, vous pouvez le retrouver à l'emplacement suivant : C:MyHosts.txt.
C- avec RHosts ( Pour XP seurlement )
Restaurer le fichier Hosts à son état d'origine (avec RHosts de S!Ri)
D- avec Zeb-Restore ( Pour XP seurlement )
- Téléchargez Zeb-Restore ici : http://telechargement.zebulon.fr/zeb-restore.html
- lancez le
- Cochez l'option : Réinitialiser Fichier Hosts
- Cliquez ensuite sur restaurer
2ème cas : Infection Wareout :
Identification :
- Ce spyware se manifeste dans un rapport hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, par exemple :
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
Et dans certains cas avec ce service en plus :
O23 - Service: Windows Tribute Service - Unknown owner - C:Windowssystem32kd???.exe
( où les " ? " sont des lettres )
Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par WareOut, alors que le rapport hijackthis n'indique aucune des lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :
- Téléchargez Smitfraudfix (par S!RI)
- ! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
- Lancez Smitfraudfix (Pour Vista : cliquez droit sur l'icône et choisir " Exécutez entant qu'administrateur ")
- Appuyez sur une touche pour continuer .
- Arrivez à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
- Au second menu, choisir l'option 1 : Recherche
Exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par WareOut :
SmitFraudFix v2.221 Rapport fait à 21:33:34,46, 09/09/2007 Executé à partir de C:Documents and SettingsjpimpyBureauSmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process ......... »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows] "AppInit_DLLs"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL" "LoadAppInit_DLLs"=dword:00000001 »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "System"="kdruc.exe" kdruc.exe détecté ! »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets DNS Server Search Order: 212.27.54.252 DNS Server Search Order: 212.27.53.252 HKLMSYSTEMCCSServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCCSServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCCSServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCCSServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCCSServicesTcpip..{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLMSYSTEMCS1ServicesTcpip..{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCS1ServicesTcpip..{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCS1ServicesTcpip..{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122 HKLMSYSTEMCS1ServicesTcpip..{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin
Méthodes de désinfection :
A- avec WORT :
(Pour ceux qui on Vista , bien désactiver l'UAC avant d'utiliser l'outil )
Téléchargez WORT (de dj QUIOU) sur le Bureau.
Faites redémarrer le PC en mode sans échec :
/! Ne jamais démarrer en mode sans échec via MSCONFIG /!
1) Redémarrez l'ordinateur .
2) Tapotez sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tapotez jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisissez la première option : Sans Échec , et valider en tapant sur [Entrée] .
5) Choisissez votre compte habituel ( et pas Administrateur ).
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ...
- Double-cliquez sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionnez le bureau à l'aide du bouton "Browse".
- Suivez les instructions et double-cliquez sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ...
- Sélectionnez l'option 1 et valider par [entrée] .
- Ne touchez à rien et laissez tavailler l'outil !
> A la fin du scan , le rapport "WORT_report.txt" s'ouvre : il contiendra tout ce dont vous avez besoin pour savoir si une infection a été trouvée et si elle a été supprimmée . Sauvegardez ce rapport au besoin .
A la fermeture du bloc-notes, le programme se terminera .
( Puis redémarrez simplement le PC pour retourner en mode normal )
B- Avec Malwarebytes' Anti-Malware :
- Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
- Installez le logiciel.
- S'il manque le fichier COMCTL32.OCX, le télécharger ICI.
- Lancez MalwareBytes' Anti-Malware,
- Faites les mises à jour (Onglet Mises à jour puis Recherche de mises à jour).
- Vérifiez que la case :Exécuter un examen complet soit bien cochée
- Cliquer sur "Rechercher" , Sélectionnez les disques durs puis cliquez sur "Lancer l'examen"
- Patientez ... Et une fois l'analyse terminée, cliquez sur "Afficher les résultats"
- Vérifiez que tout est coché et cliquez enfin sur "Supprimer la sélection" => et ensuite sur "OK"
- Note Importante : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur Ok.
> Le rapport de scan est sauvegardé dans l'onglet "Rapport/log"de Malwarebytes .
- Note :
Il sera parfois nécessaire de conjuguer les deux méthodes pour éradiquer l'infection .
Vérification :
- Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a system scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.37 85.255.112.85
Refaire un scan hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.
Si après avoir fait plusieurs fois la manipulation ( à savoir passage de WORT, Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :
- Sous XP :
- Allez dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
- Mettez en surbrillance Protocole Internet (tcp/ip) puis cliquez sur le bouton Propriétés.
- Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
- Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquez 2 fois sur Ok et redémarrer le PC.
(Merci à Incognito02 pour cette astuce ;-))
- Sous Vista :
- Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
- Cliquez sur voir le Statut > Bouton Propriétés.
- Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.
Vérifiez si l'infection est bien neutralisée:
( sous Vista , bien désactiver l'UAC avant )
Téléchargez Smitfraudfix par S!RI sur le bureau.
- ! Se déconnecter d'internet, fermez toutes applications en cours et désactivez les défenses !
- Lancez Smitfraudfix (Pour Vista : cliquez droit sur l'icône / " Exécutez entant qu'administrateur ... ")
- Appuyez sur une touche pour continuer .
- Arrivé à l'invite de commande, saisissez la lettre F afin de basculer le fix en langue française
- Au menu, choisir l'option 5 : Recherche et suppression détournement DNS
- Laissez travailler l'outil .
- Une fois terminé, un rapport est sauvegardé ici : C:Rapport.txt
En résumé :
- Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes' Anti-Malware qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de Smitfraudfix : (Recherche et suppression détournement DNS)
- Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un Pare feu si vous n'en avez pas déjà un !
- En cas d'échec , ne pas hésiter à créer un sujet sur le forum Virus/Sécurité et joindre les différents rapports obtenus .