[Résolu] Mes recherches Google paraissent détournées

[karljim]

Bonjour à tous,

voilà depuis hier soir je suis face à un problème que je n'arrive pas à identifier.
C'est compliqué de chercher des solutions sur le net, ou ailleurs.

Les problèmes surviennent sur Windows 10, connecté à internet en filaire.

Je vais essayer de décrire les symptômes :

Mes recherches google ne fonctionnent plus...qu'en partie:
Si j'exécute Firefox (qui est configuré pour afficher http://www.google.be par défaut) j'arrive bel et bien sur google.be. Mais si je tape un mot random, disons "virus" et que j'effectue une recherche, la page de résultat affiché semble légèrement différente de mon google habituel.

Déjà l'interface de google est repassé en anglais (?) (c'est à dire les options : All Images Videos Maps News More SearchTools ) alors que d'habitude elle sont en français (si je fais la manip à partir de google.fr, même chose la page de résultat est en anglais). Ensuite le logo settings de google (le petit chevron/piece mécanique) n'est plus interactif, même chose pour le logo "9 petits points" (une sorte de "plus d'options") à coté de l'option "sign in" (qui elle fonctionne toujours). Enfin en bas de page je n'ai plus le bouton "suivant" pour naviguer entre les différentes pages du résultat de recherche. J'ai par contre toujours les numéros de pages, mais quelque chose semble différent comme la taille des caractères ou les fontes utilisées.

Si je clique sur un des résultats de ma recherche (genre le premier lien, qui est un résultat wikipédia), ça marche j'arrive sur wikipédia.

Si je clique sur image pour voir les résultats en image de ma recherche : j'obtiens une erreur

La connexion n'est pas sécurisée
Les propriétaires de http://www.google.fr ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s'est pas connecté à ce site web.
Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n'établir qu'une connexion sécurisée. Ainsi il n'est pas possible d'ajouter d'exception pour ce certificat.

Les même problèmes survienne depuis Microsoft Edge, sauf google image qui ne me revois pas une erreur et fonctionne comme habituellement. (par contre tout le reste déconne, google passe en anglais, les boutons ne fonctionne plus, et l'interface est étrange.

Lorsque j’utilise Bing (ou un liens de mes favoris) aucun problème.

Je m’inquiète car depuis la portable de ma copine, Google semble toujours le même.

Suis-je sur un faux Google ? Est-ce les symptômes d'un maliciel ?
Qu'est-ce que je dois faire pour corriger ce problème ?

D'avance je vous remercie énormément,
bonne soirée,

Karl

[Malekal_morte]

Salut,

Pour voir déjà :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[karljim]

Bonjour,

Addition
http://pjjoint.malekal.com/files.php?id ... 0e8r7s7c14

FRST
http://pjjoint.malekal.com/files.php?id ... 7e15y13q11

Shortcut
http://pjjoint.malekal.com/files.php?id ... y5t8o13c15

Merci beaucoup.

[Malekal_morte]

Salut,

Tu as un Proxy Malicieux.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
ManualProxies: 0hxxp://xn--koa.net/server.pac [Pays NL - 93.190.137.240]
AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac [Pays NL - 93.190.137.240]
CHR HKLM\...\Chrome\Extension: [pfcgjlglddicjopgimohdcbmabacamll] - <pas de Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [pfcgjlglddicjopgimohdcbmabacamll] - <pas de Path/update_url>
2013-07-28 01:17 - 2013-07-28 01:25 - 0016952 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\1eaadjc.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0018724 ____T () C:\Users\Bertrand\AppData\Roaming\Microsoft\bass.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0014392 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\kfgresk.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0013984 ____T () C:\Users\Bertrand\AppData\Roaming\Microsoft\mjcriu.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0010808 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\peaadje.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0026200 ____T ((: JOBnik! [Arthur Aminov, ISRAEL]) C:\Users\Bertrand\AppData\Roaming\Microsoft\qwadjb.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0015416 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\rsaadjd.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0098360 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\~DFK2dae0bc.tmp
2014-11-28 16:46 - 2014-11-28 16:46 - 0000012 _____ () C:\ProgramData\.glInit02.dat
2014-12-19 16:36 - 2014-12-19 16:36 - 0005083 _____ () C:\ProgramData\hwjqxkkr.zva
2014-12-19 11:24 - 2014-12-19 11:24 - 0004996 _____ () C:\ProgramData\vczcspay.tpu
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire (<ital> pas obligatoire </ital>)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[karljim]

Salut,

ouaw impressionnant ! Tout à l'air d'être revenu à la normal.
C'était un virus ?

Je vous remercie beaucoup, vraiment, merci.

Karl.

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:09-05-2016
Exécuté par Bertrand (2016-05-13 13:06:22) Run:1
Exécuté depuis C:\Users\Bertrand\Desktop
Profils chargés: Bertrand & DefaultAppPool (Profils disponibles: Bertrand & postgres & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
ManualProxies: 0hxxp://xn--koa.net/server.pac [Pays NL - 93.190.137.240]
AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac [Pays NL - 93.190.137.240]
CHR HKLM\...\Chrome\Extension: [pfcgjlglddicjopgimohdcbmabacamll] - <pas de Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [pfcgjlglddicjopgimohdcbmabacamll] - <pas de Path/update_url>
2013-07-28 01:17 - 2013-07-28 01:25 - 0016952 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\1eaadjc.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0018724 ____T () C:\Users\Bertrand\AppData\Roaming\Microsoft\bass.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0014392 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\kfgresk.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0013984 ____T () C:\Users\Bertrand\AppData\Roaming\Microsoft\mjcriu.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0010808 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\peaadje.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0026200 ____T ((: JOBnik! :) [Arthur Aminov, ISRAEL]) C:\Users\Bertrand\AppData\Roaming\Microsoft\qwadjb.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0015416 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\rsaadjd.dll
2013-07-28 01:17 - 2013-07-28 01:25 - 0098360 ____T (Un4seen Developments) C:\Users\Bertrand\AppData\Roaming\Microsoft\~DFK2dae0bc.tmp
2014-11-28 16:46 - 2014-11-28 16:46 - 0000012 _____ () C:\ProgramData\.glInit02.dat
2014-12-19 16:36 - 2014-12-19 16:36 - 0005083 _____ () C:\ProgramData\hwjqxkkr.zva
2014-12-19 11:24 - 2014-12-19 11:24 - 0004996 _____ () C:\ProgramData\vczcspay.tpu
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => valeur supprimé(es) avec succès
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur supprimé(es) avec succès
"HKLM\SOFTWARE\Google\Chrome\Extensions\pfcgjlglddicjopgimohdcbmabacamll" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pfcgjlglddicjopgimohdcbmabacamll" => clé supprimé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\1eaadjc.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\bass.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\kfgresk.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\mjcriu.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\peaadje.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\qwadjb.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\rsaadjd.dll => déplacé(es) avec succès
C:\Users\Bertrand\AppData\Roaming\Microsoft\~DFK2dae0bc.tmp => déplacé(es) avec succès
C:\ProgramData\.glInit02.dat => déplacé(es) avec succès
C:\ProgramData\hwjqxkkr.zva => déplacé(es) avec succès
C:\ProgramData\vczcspay.tpu => déplacé(es) avec succès

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-358269384-3884207951-35252778-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-358269384-3884207951-35252778-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 13:06:22 ====

[Malekal_morte]

Par sécurité, change tes mots de passe WEB, ton traffic internet était détourné.

Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[karljim]

Je ne comprends pas ce qui ce passe.

Tout refonctionnais normalement bien, et la seule chose que j'ai fais c'est changer mes mots de passe Gmail, BattleNet et Amazon et activer les détections LPIs. Puis ma compagne m’emprunte mon ordi pour jouer à League of Legend pendant, une heure. Et lorsque je reviens, j'exécute le navigateur internet et boum, tout les problèmes sont revenu (google en anglais, etc.). Est-ce que je peux ré-exécuter le script ?

Le problème peut il venir d'un programme (genre son jeu qui lorsqu'il est exécuté modifierais quelque chose?)

[Malekal_morte]

Humm...
Refais un scan FRST et donne les rapports via pjjoint pour voir.

[karljim]

J'ai refais un scan Avast, il à détecté une menace dans un programme de mise en page installé il y a une semaine... (logiciel fournis par l'école, version pro non officiel ) je ne sais pas si c'est lié car je n'ai été confronté à des problèmes que depuis hier soir.

Quoi qu'il en soit, Avast à mis la menace en quarantaine et j'ai promptement désinstallé le logiciel.
Ça n'a rien réglé à mes soucis, mais je me dis que c'est peut être lié au fait que tout soit revenu peu de temps après le dernier correctif...

Addition
http://pjjoint.malekal.com/files.php?id ... w8f13h8u11

FRST
http://pjjoint.malekal.com/files.php?id ... 15p13w12f8

Shortcut
http://pjjoint.malekal.com/files.php?id ... 0t10f5s9h6

[Malekal_morte]

bon, c'est revenu effectivement.
Regarde le lien FRST.txt que tu as donné.
Ce qui n'est pas bon, ce sont ces lignes :

Code : Tout sélectionner

AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac
Hosts: Fichier hosts non détecté dans le dossier par défaut
ManualProxies: 0hxxp://xn--koa.net/server.pac

C'est un proxy qui est forcé, du coup, ça met le boxon sur Google.
Ca peut permettre de voler des mots de passe etc.
Ca inclue les jeux en ligne selon comment.

Vas falloir trouver ce qui le remet.
Je ne vois rien de vraiment malicieux.

Refais le fix FRST déjà.
Faudrait voir ce que ta copine a fait ou ouvert comme programme.
Elle n'aurait pas cliqué sur un lien ou télécharge un truc sur son jeu ? peut y avoir des pirates qui refilent des merdouilles là bas.
Télécharger un crack ou ?
Elle ne va pas sur un programme de chat pour parler à d'autres joueurs ?
Tu aurais moyen de faire le nettoyage et de laisser le PC 2/3h demain, pour voir si ça se remet tout seul ?

PS : met à jour 7zip aussi : http://forum.malekal.com/vulnerabilites ... ml#p420027

[Malekal_morte]

Ce proxy utilise FiddlerLog pour chopper le traffic HTTPs.
Il y a déjà eu une précédente campagne avec http://wpad.com.gr/server.pac.

Ca ne semble viser que Google.

Code : Tout sélectionner

function FindProxyForURL(url, host) {

a = /^https?:\/\/www\.google\.[a-zA-Z.]+\/?$/;if (a.test(url)) { return "PROXY 93.190.137.240:8484" }
	
b = /^https?:\/\/www\.google\.[a-zA-Z.]+\/\?(.*)$/;if (b.test(url)) { return "PROXY 93.190.137.240:8484" }

c = /^https?:\/\/www\.google\.[a-zA-Z.]+\/search\?(.*)$/;if (c.test(url)) { return "PROXY 93.190.137.240:8484" }

d = /^https?:\/\/www\.google\.[a-zA-Z.]+\/cse\?(.*)$/;if (d.test(url)) { return "PROXY 93.190.137.240:8484" }
e = /^https?:\/\/www\.google\.[a-zA-Z.]+\/s\?(.*)$/;if (e.test(url)) { return "PROXY 93.190.137.240:8484" }
f = /^https?:\/\/cse\.google\.[a-zA-Z.]+\/cse\?(.*)$/;if (f.test(url)) { return "PROXY 93.190.137.240:8484" }


return "DIRECT";

}

inetnum: 93.190.137.186 - 93.190.137.255
netname: WORLDSTREAM
descr: WorldStream IPv4.1
country: NL
admin-c: WS1670-RIPE
tech-c: WS1670-RIPE
status: ASSIGNED PA
mnt-by: MNT-WORLDSTREAM
created: 2009-01-29T14:36:24Z
last-modified: 2009-01-29T14:36:24Z
source: RIPE

[karljim]

(J'ai demandé à ma copine, elle ne se souviens pas avoir exécuté autre chose que le launcher du jeu. Le jeu est officiel et fonctionne sans crack)

J'ai refais le fix, ça a bien tout nettoyé.
Windows est resté ouvert toute la nuit, le problème n'est pas revenu.
Je l'utilise depuis ce matin et j'ai configurer mon navigateur pour garder une trace de mon historique de navigation internet histoire de pouvoir venir le consulter si le problème reviens. Je prend note aussi des programmes et jeux que j'exécute.

Il est 14h30, ça fais 4h que je l'utilise et aucun problème n'est encore revenu.
Dans le doute j'ai exécuté League of Legend, puis j'ai regarder mon navigateur....tout semble toujours normal.


J'ai regarder le liens que vous m'avez envoyé.
Donc si je comprend bien, je suis victime d'un MITM.
J'ai par mégarde:
- surfer sur un site qui a exécuté un script malicieux
- exécuter une application qui a exécuté un script malicieux

Ce "programme" malicieux modifie les paramètres du proxy que les navigateurs utilisent pour atteindre Google. Et mon trafic est dévié et peut être observé par la personne mal-intentionnée.

ok. Par contre mes connaissances en informatique sont trop faible pour comprendre ça :

Code : Tout sélectionner

Il y a déjà eu une précédente campagne avec http://wpad.com.gr/server.pac.

Ca n'a peut être rien à voir, mais le weekend dernier, pour finaliser son TFE, ma copine à installer Acrobat Pro (une version fournie par l'école avec un crack) sauf que d'après ce dont elle se souviens (je n'ai plus les fichiers d'origine et je n'étais pas présent; et donc plus le tutoriel d'installation) le crack nécessitait qu'elle rajoute des lignes dans le fichier Host et elle a, je cite "galèré pas mal pour que windows accepte de me laisser écrire dans le ficher".

Tout ça date de Samedi dernier et mes problèmes sont apparu Jeudi. Depuis Avast c'est charger de mettre certain fichier d'acrobat en quarantaine et j'ai désinstaller ce qu'il en restait hier soir avant de faire le fix.

Est ce que cela peut être lié ? Genre cette manipulation aurait fait sauter une protection, quelque chose comme ça.
Est il possible de restaurer un fichier host dans sont état d'origine ? (ainsi que de rétablir ses droit/permissions d'accès/lecture/écriture par défaut)?

Ou est-ce une fausse piste ?

[Malekal_morte]

oui pour le MiTM.
Fais une recherche sur wpad.com.gr/server.pac sur Google, il y a des sujets de victimes aux USA.

Pour le crack d'Adobe, si tu l'as encore, l'envoyer sur http://upload.malekal.com/

Il reste l'éventualité d'un par des exploits WEB.
Ta copine est allée sur un site entre le premier fix et le retour de l'infection ?

[Malekal_morte]

Suite à mon tweet, BitDefender a fait une entrée sur cette infection :
- https://labs.bitdefender.com/2016/05/in ... ud-botnet/

[karljim]

(je n'ai plus aucun fichier du crack d'Adobe).

Je viens de parcourir l'article de BitDefender, ça ressemble effectivement beaucoup à mon problème. Mais ils n'abordent pas de méthode pour le corriger.

Samedi après avoir appliqué le fix (qui règle toujours le problème), j'ai éteint (aux environs de 18H30).
Lundi 13H, je démarre Windows, je lance le navigateur et d'un seul coups tous les problèmes sont revenus.

Je pense exclure "exploits web". J'ai regardé un peu la liste des programmes qui s'exécute au démarrage, j'ai vu qu'il y avait des updates d'adobe toujours actif (alors que j'ai désinstallé le programme). Je désactivé les entrées et j'ai fais la chasse aux dossiers d'Adobe. J'ai supprimé tout ce que je trouvais, même la visionneuse pdf (dont je n'ai pas même besoin de toute façon, ça fait du ménage).

J'ai refais le fix, comme d'habitude il fonctionne, mon Windows est propre.
J'ai redémarré 2 fois, j'ai éteint et rallumé, pour l'instant tout est toujours propre.

Demain je pars en vacance pour une semaine (jusqu'au 24/05/2016), je verrai bien en rentrant.
Si le problème persiste et qu'il est trop complexe de trouver l'origine, je crois que je formaterai.

Encore merci pour tout ce que vous faites.