Se connecter / S'enregistrer
Votre question

Virus de redirection

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Janvier 2013 16:26:54

Bonjour,

Depuis plusieurs jours je me bats pour venir à bout d'un virus (ou autre), qui a pour effet, lors d'une recherche Google ou Bing,
d'être redirigé vers des sites de pub et, plus inquiétant, vers des sites malveillants.

Mon PC (XP pro Service Pack3) est protégé par Norton Antivirus, par Malwarebytes' Anti-Malware pour les malwares,
par Spybot - Search & Destroy pour les Spywares, mis à jour pratiquement tous les jours, et j'utilise CCleaner et PC Optimiseur chaque semaine pour nettoyer ....

Devant le problème évoqué, j'ai essayé toute une panoplie de logiciels AdwCleaner, DrWeb, Stinger, TDSSkiller, RogueKiller, sans succès : le pb est toujours présent.
TDSSkiller repère un "suspicious object, medium risk" (fichier system32\drivers\SafeBoot.sys) sans que je puisse faire autre chose que "Skip" ...

Pourriez-vous m'aider à régler ce problème de redirection ?
Merci par avance ...

Autres pages sur : virus redirection

a c 548 8 Sécurité
7 Janvier 2013 18:31:27

Bonsoir,

Il ne sert à rien de multiplier les logiciels et les scans au hasard, cela peut même s'avérer dangereux sans connaissance ;) 

à faire pour voir l'état du pc :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    Contenus similaires
    a c 548 8 Sécurité
    7 Janvier 2013 19:50:16

    Re,

    Quelques fichiers suspect, on va nettoyer et voir si cela arrange les choses :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Spybot - Search & Destroy (inutile et obsolète)
    - PC Optimiseur (inutile)
    - Glary Utilities (idem, sauf réelle utilité)
    - ZHPDiag 1.32 (pas d'utilité ici)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    [2012/12/30 02:02:58 | 000,126,976 | RHS- | C] () -- C:\WINDOWS\System32\lfavi12nq.dll
    [2012/12/30 02:02:58 | 000,000,334 | ---- | C] () -- C:\WINDOWS\tasks\AGDIDX.job
    O3 - HKU\S-1-5-21-1982855952-1870294632-3014065652-500\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
    @Alternate Data Stream - 162 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:9273744E
    @Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:430C6D84
    @Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2

    :Commands
    [emptytemp]
    [resethosts]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    a c 548 8 Sécurité
    7 Janvier 2013 21:00:12

    Re,

    Y'a-t-il une disparition des symptômes de redirection à présent ?
    m
    0
    l
    7 Janvier 2013 21:51:35

    Bonsoir à nouveau,

    Waouhhhh ...., quel bonheur ...

    Je viens de faire plusieurs essais, et, apparemment, il n'y a plus de redirections, c'est extraordinaire, moi qui galérais depuis 5 ou 6 jours, à tenter de trouver LA solution ....

    Comme je suis féru d'informatique, pourriez-vous me dire ce qui s'est passé dans mon PC, ce qui provoquait cette redirection ?
    Et aussi, comment faire à l'avenir, pour tenter de l'éviter ?
    Est-ce que les manips que vous m'avez fait faire seraient valables en cas de "récidive" ?

    En attendant, un IMMENSE merci pour votre aide, et ...... chapeau ....

    Meilleures salutations

    Vincent
    m
    0
    l
    a c 548 8 Sécurité
    7 Janvier 2013 22:40:47

    Re,

    Pour cela qu'on est là, et que comme je disais, mieux vaut éviter de passer des dizaine d'outils au hasard ;) 

    T'as chopé cela en téléchargeant un truc pour ou sur Facebook (application bidon) ou un fichier compressé.
    C'est lié à l'adware/infection Ihavenet

    On fini en faisant le ménage des outils :

    1) Relance OTL.exe

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    --------

    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)

    ----------

    3) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 37

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 9.5.2 - Français


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ----------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    8 Janvier 2013 00:26:14

    Bonsoir à nouveau,

    Je viens de terminer les procédures indiquées (Purge d'outils, purge des points de restauration, création d'un nouveau point).
    J'ai mis à jour Java, en revanche, j'ai une interrogation concernant Adobe Reader : je mets à jour régulièrement, et j'ai la version 9.5.2., et lorsque je vais sur le Site, je ne peux télécharger que la 9.5.0., et comme vous me dites de supprimer " Adobe Reader 9.5.2 - Français ", je suis un peu troublé ..., qu'en est-il ?

    Merci aussi pour les précieux conseils, on n'est jamais assez trop prudent, et pourtant, je pensais l'être suffisamment, la réalité m'a ramené à la raison .....

    Merci encore et bonne soirée


    m
    0
    l
    a c 548 8 Sécurité
    8 Janvier 2013 10:24:14

    Re,

    La branche 9.5.x finira son support sous quelques mois, il faut donc passer à la version 10.4.x ou la dernière, la branche 11
    Tu peux choisir d'ici :
    http://get.adobe.com/fr/reader/otherversions/

    Met XP sp3, puis français et choisi 10.4 ou 11, et pense à décocher le sponsor proposé ensuite ;) 

    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS