Page internet/google redirigée
Publié par green day, dernière mise à jour lun. 02 nov. 2009 à 16:36:52 par marlalapocket
1er cas : Détournement du fichier hosts
Méthode de désinfection :
2ème cas : Infection Wareout :
Identification :
Méthodes de désinfection :
Vérifier si l'infection est bien neutralisée:
En résumé :
Lorsque vous faites une recherche, ou surfez sur internet, vos pages sont automatiquement redirigées vers des sites qui ne correspondent pas du tout à votre recherche initiale ? Ou bien l'accès à certains sites est bloqué, comme les scans d'antivirus en ligne ?
Vous êtes sans doute victime de malwares détournant à votre insu les pages internet.
Ce détournement peut se traduire de deux manières dans un rapport hijackthis :
1er cas : Détournement du fichier hosts
Voir partie en gras dans ce rapport :
Logfile of HijackThis v1.99.1
Scan saved at 12:22:35, on 03/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Star-Phénix\Bureau\Racc Bureau\gunz-mrb-1.18\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Dupond\Bureau\JKA\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gunz.ijji.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.microsoft.com/8SEFRFR020600WDS/FRWCompleteAddIns
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.57:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.93.28 patch01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 patch01.psobb.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.us.segaonline.jp
O1 - Hosts: 207.210.93.28 game01.psobb.segaonline.jp
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
Méthode de désinfection :
Télécharger HostsXpert :
Dézipper le dossier sur le bureau.
Lancer HostsXpert et cliquer surRestore Microsoft's Hosts File
Refaire ensuite un Hijackthis pour s'assurer que les lignes précédentes en gras ont disparues
Autre alternative : Restaurer le fichier Hosts à son état d'origine (avec RHosts de S!Ri)
2ème cas : Infection Wareout :
Identification :
Ce spyware se manifeste dans un rapport hijackthis par une/des adresse(s) IP pointant vers l'Ukraine, par exemple :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
Et dans certains cas avec ce service en plus :
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kd???.exe
( où les " ? " sont des lettres )
Il arrive aussi parfois qu'un PC présente les mêmes symptômes que ceux d'une infection par WareOut, alors que le rapport hijackthis n'indique aucune des lignes O17 pointant vers l'Ukraine ! Car cette dernière est passée au travers du scan par hijackthis. Voici comment mettre en évidence cette infection :
Télécharger Smitfraudfix (par S!RI)
! Se déconnecter d'internet, fermer toutes applications en cours et désactiver ses défenses !
Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône et choisir " Exécuter entant qu'administrateur ")
Appuyer sur une touche pour continuer .
Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
Au second menu, choisir l'option 1 : Recherche
Exemple d'un rapport smitfraudfix dévoilant la présence d'une infection par WareOut :
SmitFraudFix v2.221
Rapport fait à 21:33:34,46, 09/09/2007
Executé à partir de C:\Documents and Settings\jpimpy\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
.........
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdruc.exe"
kdruc.exe détecté !
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Descrïption: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7D0A233-9673-4C53-924F-C676560D8E4E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{059176FA-E19D-4452-8209-7B512BEEE38C}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{161FD097-4634-474A-AD5E-337EFDBBB7C4}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{46EB21C7-C0F4-44CF-B6B0-2339DBD199CA}: DhcpNameServer=85.255.115.67,85.255.112.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FDA5244-517B-42E8-AB45-D2F1252194BC}: DhcpNameServer=85.255.115.67,85.255.112.122
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Méthodes de désinfection :
A- avec WORT :
(Pour ceux qui on Vista , bien désactiver l'UAC avant d'utiliser l'outil )
Télécharger WORT (de dj QUIOU) sur le Bureau.
Faire redémarrer le PC en mode sans échec :
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
1) Redémarrer l'ordinateur .
2) Tapoter sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tapoter jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisir la première option : Sans Échec , et valider en tapant sur [Entrée] .
5) Choisir son compte habituel ( et pas Administrateur ).
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ...
Double-cliquer sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionner le bureau à l'aide du bouton "Browse".
Suivre les instructions et double-cliquer sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ...
Sélectionner l'option 1 et valider par [entrée] .
Ne toucher à rien et laisser tavailler l'outil !
> A la fin du scan , le rapport "WORT_report.txt" s'ouvre : il contiendra tout ce dont vous avez besoin pour savoir si une infection a été trouvée et si elle a été supprimmée . Sauvegardez ce rapport au besoin .
A la fermeture du bloc-notes, le programme se terminera .
( Puis redémarrer simplement le PC pour retourner en mode normal )
B- Avec Malwarebytes' Anti-Malware :
Télécharger MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
Installer le logiciel.
S'il manque le fichier COMCTL32.OCX, le télécharger ICI.
Lancer MalwareBytes' Anti-Malware,
Faire les mises à jour (Onglet Mises à jour puis Recherche de mises à jour).
Vérifier que la case :Exécuter un examen complet soit bien cochée
Cliquer sur "Rechercher" , Sélectionner les disques durs puis cliquer sur "Lancer l'examen"
Patienter ... Et une fois l'analyse terminée, cliquer sur "Afficher les résultats"
Vérifier que tout est coché et cliquer enfin sur "Supprimer la sélection" => et ensuite sur "OK"
Note Importante : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepter en cliquant sur Ok.
> Le rapport de scan est sauvegardé dans l'onglet "Rapport/log"de Malwarebytes .
Note :
Il sera parfois nécessaire de conjuguer les deux méthodes pour éradiquer l'infection .
Vérification :
Relancer HijackThis, les lignes O17 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a system scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
Refaire un scan hijackthis, et s'assurer que les lignes O17 pointant vers l'Ukraine ont bien disparues.
Si après avoir fait plusieurs fois la manipulation ( à savoir passage de WORT, Malwarebytes et fixer les lignes avec hijackthis ), celles-ci "font de la résistances ", voici comment vous en débarrasser definitivement :
Sous XP :
Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne O17 ( exemple : 85.255.116.37 85.255.112.85 )
Pour les éliminer, cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.
(Merci à Incognito02 pour cette astuce ;-))
Sous Vista :
Aller dans Démarrer > Panneau de configuration > Centre réseau et partage .
Cliquer sur voir le Statut > Bouton Propriétés.
Dans Protocole TCP/IPv4 > Propriétés > cocher : Obtenir les adresses des serveurs DNS automatiquement puis cliquer 2 fois sur Ok et redémarrer le PC.
Vérifier si l'infection est bien neutralisée:
( sous Vista , bien désactiver l 'UAC avant )
Télécharger Smitfraudfix par S!RI sur le bureau.
! Se déconnecter d'internet, fermer toutes applications en cours et désactiver les défenses !
Lancer Smitfraudfix (Pour Vista : cliquer droit sur l'icône / " Exécuter entant qu'administrateur ... ")
Appuyer sur une touche pour continuer .
Arriver à l'invite de commande, saisir la lettre F afin de basculer le fix en langue française
Au menu, choisir l'option 5 : Recherche et suppression détournement DNS
Laisser travailler l'outil .
Une fois terminé, un rapport est sauvegardé ici : C:\Rapport.txt
En résumé :
Pour s'en débarrasser, il faut passer un antispyware comme Malwarebytes' Anti-Malware qui traite cette infection, puis vérifier si nécessaire que l'infection wareout a bien été neutralisée avec l'option 5 de Smitfraudfix : (Recherche et suppression détournement DNS)
Il ne vous reste plus qu'à faire un nettoyage pour éliminer les malwares qui restent, et à installer un Pare feu si vous n'en avez pas déjà un !
En cas d'échec , ne pas hésiter à créer un sujet sur le forum Virus/Sécurité et joindre les différents rapports obtenus .
