Problème redirection Google

[Symoon]

Bonjour !

J'ai sur mon pc un problème avec google, qui redirectionne les liens vers des sites du genre casino, moteur de recherche, x, etc....

J'ai déjà fait tourné ad aware et spybot, qui ont supprimé des spywares et autres petits trucs néfastes, mais ce problème de redirection est toujours là. J'ai également fait un scan avec securitoo antivirus, puis j'ai fait un activescan.

voici mon log hijackthis :
ici

et mon rapport activescan :
là

Toute aide est la bienvenue

merci d'avance

[Sév]

Bonsoir,

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

• Télécharge les outils suivants :
  
  
  • Télécharge & installe Ewido, fais les mises à jour mais ne lance pas de scan pour le moment.
    
    
  • CWShredder
    
    
  • Spybot S&D
    
    
  • Delldomains.inf --> Clique droit sur le lien et choisis enregistrer sous. N'y touche pas pour le moment
    
    
  • Hoster
    
    
  • Installe et nettoie ton pc avec CCleaner
  
  
  
• Désinstalle BSPlayer par Ajout / Suppression de Programmes du Panneau de Configuration. Cette version est livrée avec des spywares.
  Installe plutôt la version 1.37, qui est saine elle. Elle se trouve --> ici
  
  
• Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
  
  O1 - Hosts: localhost 127.0.0.1
  O4 - HKLM\..\Run: [BSplayer_WhenUSave_Installer] C:\Program Files\BSplayer_WhenUSave_Installer\BSplayer_WhenUSave_Installer.exe
  O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http//secure2.comned.com/signuptemplates/securelogin-devel.cab
  O16 - DPF: {C85DB634-9EDE-11D4-BC59-00A04B0658BF} (SiAuth Control) - http//www.escrime-ffe.fr/support/NPSiAuth.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B9FD4D-84A4-48E7-BCAF-104F4A902BA6}: NameServer = 85.255.113.90 85.255.112.165
  O17 - HKLM\System\CCS\Services\Tcpip\..\{D30917A6-2AFA-42C1-98D3-707CCF0735B8}: NameServer = 85.255.113.90,85.255.112.165
  O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe (file missing)
  
  
• Clique sur Fix Checked et accepte les modifications.
  
  
• Redémarre en mode sans échec
  
  
• Lance CWShredder -- > Clique directement sur Fix (note le nom de la variante s'il trouve quelque chose et donne le moi)
  
  
• Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
  
  
• Double-clicque sur Hoster
  
  
  • Clique sur Restore original Hosts et rien d'autre
    
    
  • Ferme le programme
    
    
  • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
    
    
  • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
  
  
  
• Lance un scan complet de Spybot S&D --> Supprime tout ce qu'il trouve et vide sa quarantaine.
  
  
• Donne toi accès aux fichiers cachés et supprime ce fichier s'il existe :
  
  C:\WINDOWS\rdt.ini
  
  
• Fais un scan complet avec Ewido et sauvegarde le rapport dans tes documents.
  
  
• Redémarre normalement ton pc
  
  
• Nouveau scan & rapport de Panda
  
  
• Fais un scan avec KAV et rapport
  
  
• Nouveau log HijackThis
  
  
• Poste le rapport de Ewido.

@+
_________________

[Symoon]

Me revoilou

Déjà merci beaucoup pour tes infos. J'ai fait tout ce que tu m'avais dit !!

Voici les nouveaux rapports

ewido fait en mode sans échec. Me semble plutot indigeste à lire...
ActiveScan
Hijack

CWShredder et Kaspersky n'ont rien détecté.

[Symoon]

ceci dit j'ai un autre problème...

Au démarrage, à l'ouverture de windows, tout se passe bien, sauf qu'il se bloque très vite ! Les icones apparaissent, mais pas celles qui sont en bas à droite près de l'horloge.

Quand je vais dans le gestionnaire des taches, il n'y a rien de particulier qui accaparerait la puissance proc.

Et, quand je stoppe le processus explorer pour le redémarrer ensuite, windows n'est plus bloqué, et les icones en bas à droite réapparaissent....

Mais après avoir effectué une ou deux applications, comme aller sur le web, il se rebloque

Mais au bout d'un temps certain, il semble se débloquer...

je ne comprends pas



Je précise juste que je ne suis pas le dernier né en informatique, ça a même occupé une partie de mes études. Donc j'ai déjà pas mal essayé de comprendre tout ça. Mais là, je ne sais plus quoi faire... pour ne pas passer par la case formatage

[Symoon]

c'est bon tout est à présent réglé.


Merci pour ton aide Lorelei ;)

[Sév]

Bonjour Symoon,

J'aimerais en être sûre quand même

1. Vide la quarantaine de Ewido et celle de ton antivirus résident
   
   
2. Désactive et réactive la restauration du système.
   
   
3. Redémarre en mode sans échec
   
   
4. Ouvre HijackThis, coche et fixe cette ligne :
   
   O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B9FD4D-84A4-48E7-BCAF-104F4A902BA6}: NameServer = 85.255.113.90 85.255.112.165
   
   
5. Refais un scan complet avec Ewido
   
   
6. Rédémarre normalement
   
   
7. Poste le nouveau rapport de Ewido
   
   
8. Nouveau log HijackThis.

@+
_________________

[Symoon]

Voici mon nouveau log hijackthis

ici

Par contre je n'ai pas pensé à sauvegarder mon rapport ewido. Tout ce qu'il avait trouvé était des cookies.

[Sév]

Bonsoir Symoon,

Il me semblait bien aussi qu'il ne lâcherait pas le morceau facilement ce virus

Tu as des failles de sécurité qu'il va falloir combler si tu veux t'en débarasser définitivement.

On va refaire un nettoyage et il va falloir que tu appliques un correctif dans la foulée.

Le coupable c'est une variante de Rbot qui transmet des données via le réseau par langage IRC.
Il ouvre des ports sur ton pc et télécharge les fichiers dont il a besoin via ses DNS (les lignes 017 sur ton log). En théorie si ton système est à jour, tu ne devrais pas être concerné, mais je pense que tu n'as pas dû faire toutes les màj depuis la sortie du SP2.

Sinon c'est que tu télécharges et que Rbot s'est introduit soit par un fichier téléchargé soit par un port ouvert par un logiciel de Peer to Peer.

Autre chose, dès que tu en as l'occasion, résilie ton abonnement à Securitoo et opte pour un véritable antivirus (Kaspersky ou Nod32), le parefeu du SP2 peut suffire, sinon installe Kerio.

• Télécharge Killbox --> Imprime le tuto
  
  
• Télécharge & installe a² Free
  
  
• Applique la KB899588 qui devrait corriger une faille exploitée par le backdoor.
  
  
• Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers dans tes documents. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
  
  

  Citation:

  C:\WINDOWS\system32\windrpd.exe C:\WINDOWS\sysmgr64.exe

  
  
  
• Débranche ta connexion internet, pour éviter les downloads silencieux
  
  
• Désinstalle tous tes logiciels de Peer to peer (Kazaa, eMule...) si tu les utilises.
  
  
• Vide la quarantaine de ton antivirus résident
  
  
• Désactive et réactive la restauration du système
  
  
• Par le menu Démarrer / Exécuter (ou touche Windows et R)
  
  
  • Tape services.msc
    
  • Double clique sur sysmgr64
    
  • Clique sur "Arrêter"
    
  • Définis le Type de démarrage en "Désactivé"
    
  • Clique sur Appliquer et ferme la console
  
  
  
• Lance CCleaner et redémarre ton pc en mode sans échec
  
  
• Ouvre HijackThis, coche et fixe ces lignes si présentes :
  
  O4 - HKLM\..\Run: [Microsoft System Application] windrpd.exe
  O4 - HKLM\..\RunServices: [Microsoft System Application] windrpd.exe
  O17 - HKLM\System\CCS\Services\Tcpip\..\{0DA6E532-4A3E-4BFF-B675-BDAF6CAA5F4E}: NameServer = 80.10.246.130 80.10.246.3
  O17 - HKLM\System\CCS\Services\Tcpip\..\{1BB701E3-6C3F-4891-B41F-6CF226A545E8}: NameServer = 192.168.0.1
  O17 - HKLM\System\CS1\Services\Tcpip\..\{0DA6E532-4A3E-4BFF-B675-BDAF6CAA5F4E}: NameServer = 80.10.246.130 80.10.246.3
  O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
  
  
• Lance un scan complet avec a² Free --> supprime ce qu'il trouve et vide sa quarantaine ensuite.
  
  
• Lance Killbox, comme c'est expliqué sur le tuto
  
  
• Redémarre normalement ton pc et fais tes mises à jour Windows sur Windows Update.
  
  
• Nouveau log HijackThis
  
  
• Fais un scan en ligne avec PestPatrol et poste le rapport.

@+
_________________