Rootkit et redirections liens google

[lecompteultime]

Bonjour !
Je poste sur ce topic car l'ordinateur de mes parents sous Win 7 64 bits a été infecté par un rootkit alors qu'ils naviguaient sur un site qui je suppose a été piraté. (location de chalets)

Depuis sur Google, le PC fait des redirections vers des faux sites de recherche plus ou moins pornographique quand on clique sur un lien après une recherche , et pire que ça Microsoft Security Essentials ne se lance plus, et quand j'essaie de le lancer manuellement il se ferme 1 seconde plus tard.

J'ai donc passé un coup de Malwarebytes Anti-Malware qui m'a trouvé 2-3 trucs, j'ai nettoyé mais rien n'a changé, j'ai passé aussi un coup de Adwcleaner Roguekiller ainsi que TDSSKiller, toujours rien à mon grand désespoir...

En tout cas je dois avouer que cette saloperie est bien balèse, c'est le virus le plus résistant que j'ai rencontré pour le moment ! D'après ce que j'ai vu sur internet ca serait un rootkit du type TDSS/Alureon c'est ce qui semble correspondre le plus, mais pourtant les scanners spécialisés dans ce type de virus ne détecte rien...

Je ne sais plus trop quoi faire c'est pour ça que je me tourne vers vous !

Merci d'avance de votre aide !!

Edit : les redirections se font autant sous Chrome que sous Firefox, même si elles diffèrent, et le plus drole c'est qu'elles se produisent plus souvent sur des sites comme malekal ou commentcamarche ainsi que les autres sites de sécurité informatique que sur d'autres !


Voilà un petit scan HijackThis si ca peut aider ..
http://pjjoint.malekal.com/files.php?id ... 2j15u8x5c7

[Malekal_morte]

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[lecompteultime]

En passant ComboFix j'étais arrivé à relancer mon antivirus (MSE) mais dès que j'ai reboot le mal est revenu...
Voilà le scan OTL :
http://pjjoint.malekal.com/files.php?id ... b7g12v11k5

[angelique]

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
[2013/11/23 19:15:26 | 000,000,316 | ---- | M] () -- C:\Windows\tasks\FWSVTOB.job
[2013/11/21 10:41:15 | 000,278,528 | RHS- | M] () -- C:\Windows\SysWow64\appwizy.dll
[2013/11/22 22:10:10 | 000,000,000 | ---D | C] -- C:\Users\Gilles\Desktop\RK_Quarantine
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc , et verifie que effectivement ç'est mieux ???

[lecompteultime]

Salut, tout d'abord merci beaucoup !
Après avoir fait ce que tu as dit, ça a l'air effectivement d'aller mieux, MSE se relance et les redirections Google n'ont plus l'air d'être effectives.

Cependant peut on être sur que le virus a été totalement éradiqué ? Puis-je dire à mes parents de se reservir de leur PC comme ils en avaient l'habitude ? Pas de risques de vol de mot de passe ou autre ?

En tout cas merci de ton aide précieuse !

Edit : Voila le log d'OTL
http://pjjoint.malekal.com/files.php?re ... 7f10h512s9

[angelique]

. relance OTL et clic Purge Outils


Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur de ce genre d'infection !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > https://download.mozilla.org/?product=f ... in&lang=fr

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

[lecompteultime]

Pour ce qui est de ABP il était déjà installé, et No-Script je l'ai rajouté.

Merci beaucoup de ton aide !