Liens détournés vers homepage googleRésolu/Fermé

Question

Bonjour à tous

Je suis sous XP SP3. (désolé pour le pavé et la mise en page, les sauts de ligne ne semblent pas pris en compte...)

J'ai eu il y a qques heures une alerte de type "Security Protection, designed to Protect" (NB : fausse alerte virale pour pousser à l'achat d'un faux antivirus, http://deletemalware.blogspot.com/2011/05/how-to-remove-malware-protection.html).
J'ai réussi à supprimer cette alerte et à supprimer les fichiers à problème. J'ai passé un coup de CCleaner sur les fichiers et la base de registre, puis j'ai essayé de vérifier que tout était ok, en suivant les instructions du lien précédent et les antimalware conseillés.

1/ j'ai lancé malwarebyte, mais il a échoué avant la fin du scan (sans message d'erreur, le soft a simplement disparu).
2/ j'ai lancé Hitman à la place, qui a détecté (et résolu) un bootkit

Je pensais que tout était réglé mais, comme indiqué dans le titre du message, certains liens (principalement ceux ouverts suite à une requête google) renvoient vers une page avec le logo google. Je peux cependant accéder à la bonne page en copiant/collant l'url du site.

Une nouvelle passe de Hitman ne signale rien d'anormal (hormis un redbook.sys qui serait un driver audio). J'ai tenté HiJackThis : comme pour malwarebytes, il s'est interrompu anormalement avant la fin du scan. Encore plus louche, l'executable ne se lance plus la seconde fois, et ne peut pas non plus être supprimé, pas même avec un software de type MoveOnBoot (suppression réussie toutefois en redémarrant en mode DOS).

A noter également que Firefox 5 plante désormais quasi systématiquement (toutes les 3 pages environ), en mode normal ou en mode sans échec. Je suis actuellement sous Chrome qui fonctionne. Depuis le début de l'infection, Internet Explorer ne marche plus (message "windows cannot acces the device... you don't have permission" quand on lance IE).

J'ai récupéré ZHPDiag et Combofix suite à ce que j'ai lu ici ou là, mais je serai incapable d'interpréter leur log si ils ne résolvent pas le problème d'eux-mêmes.

Donc :
1/ Est ce que je lance illico un scan par Combofix ou y a-t-il une alternative à envisager auparavant ?
2/ Est ce que qqun est dispo pour analyser le rapport Combofix ?

Merci

Malekal_morte- · Accepted Answer

2011/08/14 14:06:49.0125 3984	d0ce2d12        (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\304991952:791794413.exe

Ca doit être max++ : https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/

Ca marche une restauration du système à una date antérieure à l'infection ?

draculito · Answer

Ah, j'ai oublié une chose essentielle. Un processus nommé "304991952:791794413.exe" apparaît dans le Task Manager. Les nombres sont probablement aléatoires, je n'ai rien trouvé sur le net, mais c'est le même nom d'un reboot à l'autre.
Ce processus existe en mode normal comme en mode sans échec.

draculito · Answer

Up, si qqun est dispo pour m'aider ?
Pour info, le .exe cité précédemment fait 484ko dans le Task Manager.

Merci de votre aide svp.

draculito · Answer

Bonjour, désolé de faire un nouveau up mais je crains que mon pb soit passer aux oubliettes. Je sais que c'est le WE, que c'est l'été,  et que tout le monde fait de son mieux, mais il y a de l'activité sur le forum et des problèmes postés récemment sont déjà pris en charge...

Vu que je suis poli, que je n'écris pas en SMS et que j'ai essayé de donner un maximum d'info dans le message initial, j'imagine que ce n'est qu'un oubli.

Pour les nouvelles, j'ai essayé de faire un scan par ZHPDiag et (à nouveau) par Malwarebytes, et à chaque fois le scan s'interrompt brutalement, sans indiquer de message d'erreur (ni par le soft, ni par windows). Comme indiqué dans le 1er message, ces soft sont ensuite inacessibles (boite de dialogue windows "don't have permission to access). J'ai désinstallé ces softwares pour l'instant.

Donc je n'ai actuellement aucun moyen de diagnostic disponible (sauf Combofix que je n'ai pas encore lancé).

Merci de votre aide.

Malekal_morte- · Answer

Salut,

Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.





ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.

ETAPE 2 :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!!

ETAPE 3 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

draculito · Answer

Encore des news (désolé de flood, je pense que c'est utile).

A la lecture d'autres pbs similaires sur le forum, j'ai lancé Reload_TDSSKiller, qui lui aussi s'est planté en cours de scan, mais a tout de même écrit une partie du log résultat.

La dernière ligne du log porte sur le fameux processus 304991952:791794413.exe déjà cité...

J'ai uploadé le rapport du TDSS Killer : http://www.cijoint.fr/cjlink.php?file=cj201108/cijCYzWxHT.txt

draculito · Answer

Salut et merci pour ta réponse :) 

Je synthétise proprement le résultat des étapes indiquées 
Etape 1 : TDSS Killer --> voir message précédent avec le rapport de scan 
Etape 2 : Malwarebytes 
--> Mise à jour ok (N°7463) 
--> comme proposé dans le lien que tu indiquais, si le software était bloqué par le malware, j'ai lancé Rkill (en mode normal). Les seuls process tués étaient des chrome.exe (le browser était pourtant déjà fermé). 
Pour être sûr, j'ai tout de même redémarré en mode sans échec + network (comme proposé dans ton lien), lancer Rkill (aucun process tué), et lancé Malware. Même résultat que précédemment, le soft s'arrête avant la fin du scan. 
L'étape 2 ayant échoué, je n'ai pas fait l'étape 3. 

Je n'ai pas encore tenté de restauration du système. Est ce que, vu la situation, c'est la solution que tu recommandes ? 
Corollaire : suite à la restauration, est ce que je repasse les étapes 1/2/3 ?

Corollaire n°2 : est-ce possible de savoir via quel site il s'est propagé sur mon PC ? Pour info, le site cestpasfaux.tv était inaccessible qques heures avant l'infection.

Malekal_morte- · Answer

Malwarebyte est inefficace contre ce malware.
Vois si la restauration du système fonctionne.

draculito · Answer

Mauvaise nouvelle : je n'ai plus de point de restauration antérieur à l'infection !! 

Au début de l'infection, j'ai pu constater en utilisant CCleaner qu'il y avait bien des points de restauration (l'un des onglets donne la liste des points de restauration). 

Ce matin, j'ai eu une mise à jour automatique de windows (update de IE7), que j'ai accepté. Il n'y avait qu'une seule mise à jour, et pas le traditionnel Malware Removal Tools que j'espérais. 
Aujourd'hui, dans la liste des points de restauration (que ce soit via l'outil de restauration et via CCleaner), seul le dernier point est affiché, et il correspond à mon avis à l'heure de la mise à jour (~11h). Le nom du point de restauration est "Software Distribution Service 3.0". 
Il n'y a rien d'autre... 

Est-ce possible que l'update IE7 soit un fake et ait supprimé les points de restauration ? C'est pourtant étonnant vu le délai entre l'infection et la demande de mise à jour (infection vers 20h, PC allumé jusqu'à 4h, rallumé vers 10h, et demande d'update vers 11h). Bref, peu importe dans mon cas, le mal est fait, mais je le précise au cas où ça se reproduirait chez d'autre...

Malekal_morte- · Answer

Non pour la mise à jour.

Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :       

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

draculito · Answer

La procédure ComboFix est terminée. Le lien vers le rapport de scan : http://www.cijoint.fr/cjlink.php?file=cj201108/cij2NHRtMq.txt

NB : le processus xxxxxx:xxxxxx.exe mentionné plus haut a disparu du Task Manager.

Malekal_morte- · Answer

Ca c'est la réponse à ta question précédente, comment c'est venu... :

c:\documents and settings\draculito\Application Data\Adobe\plugs  
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc1330765.txt  
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc158.exe  
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc69.exe  
c:\documents and settings\draculito\Application Data\Adobe\shed  
c:\documents and settings\draculito\Application Data\Adobe\shed	hr1.chm  

Trojan.Karagany que tu as choppé par un exploit sur site web.  
Ca veux dire que tu as des programmes pas à jour qui permettent l'infection de ton PC.  
=>  https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/  





DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE  

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :  

driver::  
d0ce2d12  
ADS::  
C:\WINDOWS\system32\304991952:791794413.exe 

Enregistre ce fichier sous le nom CFScript  

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe   

[*]Combofix se lance, laisse toi guider..  

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!  
Ne touche à rien tant que le scan n'est pas terminé.  
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.  



Yes, no, maybe  
I don't know  
Can you repeat the question?  
You're not the boss of me now

draculito · Answer

Pour info, ComboFix indiquait (lors de sa 1ère exécution) qu'il s'agissait du Rootkit ZeroAccess.

Voici le lien du log de la 2nde exécution de ComboFix : http://pjjoint.malekal.com/files.php?id=4c71b2dc48z7g10l11w6s12v14t15v7s5g10o15p8i5y10m8n12m5o11u12r6

Malekal_morte- · Answer

oui c'est l'autre nom de Maxx++  

Désinstalle Hitman truc ça sert à rien .....  

Retente TDSSKiller voir si ça passe.  
Ne nettoye rien avec. Poste juste le rapport. 

Yes, no, maybe  
I don't know  
Can you repeat the question?  
You're not the boss of me now

draculito · Answer

Le log de TDSS Killer, qui semble clean : http://pjjoint.malekal.com/files.php?id=96d22aea22v11w14n13e8v13x8p8q7e14i15z11z12d7m11i7d10w5u9n7v13

Malekal_morte- · Answer

OK, je pense qu'on a repris la main sur le système. 

Fais un scan OTL histoire de voir : https://forums.commentcamarche.net/forum/affich-22884002-liens-detournes-vers-homepage-google#4 

Possible que ton antivirus soit explosé, faut le désinstaller et réinstaller dans ce cas. 

Je vais bouger donc je répondrais tard ou demain :)

Yes, no, maybe 
I don't know 
Can you repeat the question? 
You're not the boss of me now

draculito · Answer

Les log de OTL
--> OTL.txt : http://pjjoint.malekal.com/files.php?id=9b13b8d24dv13h8o10m12q15t6v15e13r15z15v12f5i15l13x6z11c9h8128
--> Extras.txt : http://pjjoint.malekal.com/files.php?id=bde700abdcv6f14h11g6z12e10u9m12u11w12o9c11b5z9x11v11u11o11c14f9

Je n'ai pas d'antivirus (pas tapé) vu qu'un firewall a toujours été suffisant depuis 10 ans, sauf pour Blaster quand il est apparu.
Vu ce que j'ai lu aujourd'hui sur les rootkits, des scans online (après infection) seront inefficaces, donc je vais peut-être revoir ma position.

draculito · Answer

Pour compléter le tableau, actuellement, le PC semble tourner correctement (pas de process anormal dans le Task Manager, pas de redirection vers de fausses pages web) à l'exception des 2 points suivants.
1/ Firefox freeze toujours après le lancement d'une page. Ca dure environ 20-30s. Je ferais une desinstallation/réinstallation.
2/ les exécutables de Internet Explorer et de Mediamonkey sont inopérants (Boite de dialogue "Windows cannot access the specified device, path or file, you may not have the permission to access the item".
Je mentionne particulièrement Mediamonkey vu que je l'ai vu dans le log Extras.txt de OTL (alors qu'il n'est pas sensé lancer quoi que ce soit au démarrage du PC) et que c'était le seul programme "utilisateur" en activité lorsque l'infection s'est déclarée.

J'essayerai des désinstallations/réinstallations mais je ne fais rien pour l'instant pour ne pas interférer avec les diagnostics déjà réalisés.

draculito · Answer

J'en ai profité pour passer un coup de Malwarebytes, qui a trouvé 7 fichiers infectés, dont redbook.sys et kbipx32.dll qui étaient impliqués au début de l'infection. Ces fichiers ont été placés en quarantaine.

Le compte-rendu du scan : http://pjjoint.malekal.com/files.php?id=02ea6f33045r5b5y1111n6e7l11n13n6h15n8y11q5v8k11x12r13n12b15

Une seconde passe de Malwarebytes ne détecte rien d'anormal. Le compte-rendu de ce second scan : http://pjjoint.malekal.com/files.php?id=250ae3663cw13g13v13l13v13e11f13i8v10g5v6x14t11i5i8r11f14w9k15g13

Je pense qu'il sera nécessaire de réparer les fichiers supprimés avec le CD windows mais j'attends ta confirmation avant d'aller plus loin.

Malekal_morte- · Answer

"Windows cannot access the specified device, path or file, you may not have the permission to access the item".

C'est l'infection qui fait ça.

Menu Démarrer / Tous les programmes / Accessoires et clic droit/executer en tant qu'administrateur sur invites de commandes.

Faut taper la commande suivante :
cacls "chemin de l'exe" /P "Tout le monde:F"

exemple :
cacls "C:\Program Files\Mediamonkey\Mediamonkey.exe" /P "Tout le monde:F"

à répeter pour tous les .exe bloqués.

draculito · Answer

Salut, prêt pour une autre journée de débugage :D

J'ai effectué la commande cacls. J'ai une version anglophone de windows, donc l'argument "Tout le monde" n'est pas reconnu. Je la répète donc pour chaque compte utilisateur (administrator, draculito et guest) vu que je n'ai pas trouvé l'équivalent anglais ("All" n'est pas reconnu non plus).

La commande est réussi pour iexplore.exe (et IE fonctionne), mais je reçois une erreur "Access Denied" pour mediamonkey.exe. J'ai le même résultat en démarrant en mode sans échec+network.

draculito · Answer

Pour faire le point :
1/ Firefox marche très mal et freeze pendant plus d'1 minute à chaque nouvelle page chargée (alors que IE et chrome non).
--> je vais tout réinstaller une config propre.

2/ je vais supprimer les fichiers mis en quarantaine par Malwarebytes et en recopier des versions propres.
Je te tiens au courant dans l'après-midi.


Sur ton site, tu conseilles d'ajouter à Firefox l'extension Noscript pour interdire l'exécution non souhaitée de javascript. J'imagine que tu l'autorise pour des sites "de confiance". Mais je m'interroge :
- si un site de confiance (pour lequel tu as autorisé le javascript) se fait hacker, Noscript ne pourra pas interdire l'exécution du javascript malveillant ?
- si tu arrives sur un nouveau site qui a l'air honnête, et que Noscript indique qu'il a bloqué du javascript, comment savoir si je peux l'autoriser sans risque ? Corollaire : est-ce que du javascript est indispensable pour l'affichage correct d'un site ?

draculito · Answer

Merci pour ces précisions sur Noscript.   

Pour le reste, on arrive au bout ! :D   
Ce qui a été fait depuis le dernier message :   
1- Suppression définitive des fichiers mis en quarantaine par Malwarebytes   

2- désinstallation de certains programmes inutilisés ou pour lesquels je ne pouvais pas vérifier si la version était à jour (ex : Flash player, active X)   

3- mise à jour de tous les programmes toujours installés, notamment java (version 6 update 20 --> update 26)   

4- création d'un nouveau profil firefox (vu sur d'autres forums, certaines personnes avaient résolus des problèmes de freeze similaires au mien de cette façon) --> ça n'a pas marché pour moi

5- nettoyage des extensions firefox que je n'utilise pas de façon directe (ex : java quick starter, java console)   

6- installation des extensions Noscript, Adblock, WOT --> je ne constate plus de problème de freeze !

7- désinstallation propre de combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix   

8- désinstallation de la console de restauration : bien qu'ayant supprimé la ligne de commande dans le fichier boot.ini, je n'arrive pas à supprimer le répertoire C/cmdcons. Je le laisse tel quel vu que ça ne me gêne pas, j'ai seulement éviter l'écran lors du boot en suivant les instructions ici : http://www.commentcamarche.net/faq/6350-supprimer-la-liste-des-systemes-d-exploitation-au-demarrage   

9- (edit) recopie du fichier redbook.sys (supprimé par Malwarebytes) à partir de l'original situé dans C/Windows/ServicePackFiles/i386  

10- (edit) je n'ai pas recopié de fichier kbipx32.dll (supprimé par Malwarebytes), vu que personne n'en parle sur le net à part moi. Donc je considère que c'est dispensable  

11- un dernier coup de CCleaner pour tout mettre au propre   

12- création d'un point de restauration système : étonnement, l'outil de restauration était inactivé (?). Je l'ai réactivé pour le disque C, constaté que les points de restauration d'hier avaient tous été supprimés (??), et créé un nouveau point de restauration.   

Après un dernier reboot, tout a l'air de tenir. Il ne reste plus qu'à maitriser NoScript, et à mettre à jour les saloperies genre ActiveX et flash au fur et à mesure.   

Est-ce qu'il y a d'autres tests à faire ou on considère que tu as réglé le problème (auquel cas je marquerai le sujet en résolu) ?   
En tout cas, merci infiniment pour ton aide, ça faisait longtemps que je ne m'étais retrouvé autant démuni devant mon PC.

Malekal_morte- · Answer

Je pense que c'est bon :)

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte : 
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Liens détournés vers homepage google

24 réponses

Discussions similaires

Newsletters