Votre question

Virus - Redirection forcée

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Août 2011 16:42:44

Merci tout fonctionne aujourd’hui! On peut fermer le topic

Autres pages sur : virus redirection forcee

a c 614 8 Sécurité
2 Août 2011 19:14:07

Bonsoir,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 614 8 Sécurité
    3 Août 2011 09:57:27

    Re,

    Mhmhm, on va devoir encore chercher, je ne vois rien là ...

    Citation :
    Je précise qu'il s'agit d'un ordi pro et que je ne peux pas faire tout et n’importe quoi dessus, donc j'espère que vous allez pouvoir m'aider.


    Le fait que ce soit un ordi professionnel m'embête, normalement nous n'avons pas réellement le droit d'y toucher vu que tu n'es pas le propriétaire, et qu'il peut comporter des données privées et confidentielles ...

    Les manipulation suivantes peuvent créer des problèmes, ne les effectues que si tu es sur de toi sur les responsabilités vis à vis de ce pc !!!


    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    3 Août 2011 09:59:26

    Je vais essayer cela en fin de journée lorsque je pourrais tout déconnecter.
    Merci en tout cas
    3 Août 2011 10:02:20

    Et comment être sur que tous les logiciels de sécurité soient désactivés?
    a c 614 8 Sécurité
    3 Août 2011 11:00:26

    Re,

    Tu désactives la protection résidente de McAfee dans son interface
    Si tu l'as, tu fais de même avec celle de MBAM. (Malwarebyte's)
    3 Août 2011 13:59:48

    Je viens d'effectuer le scan en respectant tes indications et je n'ai pas eu de rapport à la fin, uniquement un message m'indiquant qu'aucune modification système n'avait été trouvée.
    Par contre je ne peux plus ré enclencher ma protection McAfee ou Windows Firewall...

    Que faire?
    a c 614 8 Sécurité
    3 Août 2011 14:32:29

    Re,

    C’est quoi l'erreur que donne McAfee ?

    Normalement en redémarrant le pc, elle devrait se remettre au besoin.
    3 Août 2011 14:42:16

    Pour MacAfee quand je veux ouvrir le prog j'ai droit à
    "the ordinal1112 could not be located in the dynamic link library WSOCK32.dll."

    Pour windows firewall pas moyen de l'allumer que ce soit automatiquement ou manuellement j'ai un rapport d'erreur "Error code 0x8007042c"
    a c 614 8 Sécurité
    3 Août 2011 14:44:12

    Re,

    Le parefeu Windows j'avais pas demandé de le désactivé en fait ...

    Quand à McAfee, tu l'as bien juste désactivé, tu n'a pas supprimé quelque chose ou désinstallé ?

    Tu as redémarré le pc pour voir ?

    ps : sur l'observateur d'évènement on voit que les deux ont des soucis bien avant que tu fasses la manip avec Gmer :

    Error - 7/28/2011 2:45:36 AM | Computer Name = FR-Desktop01 | Source = Service Control Manager | ID = 7001
    Description = The Windows Firewall service depends on the Windows Firewall Authorization
    Driver service which failed to start because of the following error: %%183

    Error - 7/28/2011 2:46:00 AM | Computer Name = FR-Desktop01 | Source = Service Control Manager | ID = 7034
    Description = The McAfee McShield service terminated unexpectedly. It has done
    this 1 time(s).


    Question : les redirection se font sur Internet Explorer ET Firefox ou juste sur un des deux ? (si oui lequel ?)
    3 Août 2011 14:56:01

    Re,

    En fait je ne l'ai pas désactivé, le problème devait exister avant. Comme tu le dis je pense que ces problèmes datent du début de mes soucis...
    J'ai redémarré et le problème reste le même. Je parviens à la console McAfee après un message d'erreur, je clique sur "enable protection" mais après avoir quitté Windows me demande quand même d'allumer la protection McAfee qui ne fonctionne pas apparement
    a c 614 8 Sécurité
    3 Août 2011 18:12:28

    Re,

    Tu peux répondre à mon autre question s'il te plait ?

    Citation :
    Question : les redirection se font sur Internet Explorer ET Firefox ou juste sur un des deux ? (si oui lequel ?)


    Et autre chose, c'est vers quoi que tu es redirigé, quel genre de site (pas besoin de donner l'adresse exacte, juste le genre ou le nom)


    Ensuite, il me faudrait quand même un rapport gmer, alors refais çà :
    (et suis bien la dernière étape pour sauvegarder le rapport !)

    Pas besoin de désactiver tes protections :

    Relance Gmer :

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer.

    Attention à ne rien tenter par toi même !!
    4 Août 2011 10:45:18

    Salut,

    Pour répondre à ta question je ne sais pas, Internet Explorer refusant de se lancer...
    J'ai re fait un scan Gmer et même résultat, je te met un screen pour que tu puisse constater par toi même et me dire si je fais un truc qui ne faut pas ou si le problème est ailleurs...

    http://s3.noelshack.com/upload/17827618739832_gmer.png

    Et concernant le type de site c'est essentiellement des sites marchands (ebay ou site me dirigeant vers cela ou bien de nouveau sur google)
    Je commence à être un peu désespéré la :( 
    a c 614 8 Sécurité
    4 Août 2011 10:52:39

    Re,

    Il te met quoi comme erreur IE ?

    Concernant Gmer, tu n'as pas suivi ma procédure :
    Citation :
    Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.


    Refais-le s'il te plait.

    4 Août 2011 14:00:27

    Je ne peux pas cocher les autres cases elles sont grisées
    a c 614 8 Sécurité
    4 Août 2011 14:57:59

    Re,

    Tu l'as lancé en admin ?
    Citation :
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)



    Sinon, fais ceci :

    Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et posteson contenu dans ta prochaine réponse.
    4 Août 2011 16:07:43

    Merci tout fonctionne aujourd’hui! On peut fermer le topic
    a c 614 8 Sécurité
    4 Août 2011 17:49:53

    Re,

    Deux questions non répondues :

    Pour gmer :
    Citation :
    Tu l'as lancé en admin ?

    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)


    Pour IE :
    Citation :
    Il te met quoi comme erreur IE ?


    Il met une erreur quelconque ou non ?


    Ensuite seulement, fais ceci :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    5 Août 2011 09:28:05

    Bonjour,

    Concernant GMER, je l'ai bien lancé en tant qu'administrateur, mais les cases sont grisées, donc pas moyen de tout cocher.
    Pour IE, j'ai le même problème qu'avec McAfee, je lance l'appli mais rien ne se passe, aucune page ne s'ouvre.

    Je lance OTL ou j'attends ta réponse?
    a c 614 8 Sécurité
    5 Août 2011 10:16:45

    Re,

    Tu peux lancer OTL ;) 
    a c 614 8 Sécurité
    5 Août 2011 11:29:55

    Re,

    Deux choses pour suivre :

    1) L'ordi se connecte comment ? Il est chez toi via ta box, ou c'est dans ton entreprise via le réseaux d'entreprise ?

    Ensuite, fais ceci :

    Télécharge DrWeb CureIt :

  • Double-clique sur "Launch.exe" pour le lancer.
    (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
  • Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
    (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
  • Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
    (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
  • Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
  • Ferme le programme.

    Note : si rien n'est détecté lors du scan rapide, indique-le nous.
    Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"

    5 Août 2011 12:23:31

    Re,

    L’ordinateur est connecté en filaire sur une Box. Il n'y a pas de réseau d'entreprise.
    Je lance le scan.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS