Spyware qui redirige sur les moteurs de recherche - Sécurité - Windows & Software
Marsh Posté le 14-01-2005 à 18:44:53
J'ai fait pratiquement tout ce qui était marqué sur ce site et il y a toujours cette redirection.
J'avais déjà eu des trucs du genre websearch mais la c'est différent. Il ne change pas la page de démarrage mais dès que je fais une requête sur un motur de recherche alors il redirige la requête et affiche ses résultats avec l'interface du site de départ comme si de rien n'était.
J'avais Spy sweeper d'installé quand s'est arrivé et mainteant j'ai spybot et aucune détection.
Marsh Posté le 14-01-2005 à 18:49:02
il faut faire les manips exactement comme c est indiqué (respecter a la lettre les procedures).
Marsh Posté le 14-01-2005 à 22:04:52
J'ai tout fait et j'ai toujours la même chose.
j'ai chercher l'adresse de redirection dans la base de register et je l'ai trouvé dans :
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604
Et même en la supprimant j'ai toujours la même chose.
Help!!
Marsh Posté le 14-01-2005 à 22:08:58
tu l as fais en mode sans echec ??
postes ici le rapport de hijackthis
Marsh Posté le 15-01-2005 à 15:38:07
Rapport :
Logfile of HijackThis v1.99.0
Scan saved at 15:37:55, on 15/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WebTools\ICQLite\ICQLite.exe
C:\WinUtilities\D-Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Eset\nod32krn.exe
D:\BulletProof\No-IP\DUC20.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WebTools\mIRC\mirc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\cracking\Vigilus Smart\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Fichiers communs\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\WebTools\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\WebTools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\WinUtilities\D-Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WebTools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WebTools\ICQLite\ICQLite.exe
O9 - Extra button: Vigilus Smart - {ECC5777A-6E88-BFCE-13CE-81F134789F6A} - D:\cracking\Vigilus Smart\\VigilusSmartAjoutIE.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {733A5CA7-C0E1-41D7-9506-F4AA354B4500} (ActiveFormX Control) - file://D:\Cracking\Intelore\AnimatedDesktop\advThemes\WorkDir\14544974\Files\ActiveFormProj1.inf
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4F25AB2-A79E-4064-BAEA-C4A3B13E21AD}: NameServer = 212.151.136.246 130.244.127.169
O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: Bluetooth Service - Unknown - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: InterBase Guardian - Borland Software Corporation - C:\Programmation\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server - Borland Software Corporation - C:\Programmation\InterBase\bin\ibserver.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - D:\BulletProof\No-IP\DUC20.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Marsh Posté le 18-01-2005 à 03:17:42
SOLUTION
excusez mon francais, (i'm guessing that not everyone here speaks English so... I'll do my best).
J'avais le meme probleme avec Google, et j'alais posee la meme questino ici (c'est le seul place qu'on discute "61.131.54.618" presentement).
Mais pendant que j'attendais la "validation" do mon nom d'utilisateur, j'ai trouve une solution.
Ce program est un "Hijacker" qui n'est presentement pas detecte par Spybot, Ad-aware ou Norton System Security.
Pour l'enlever, il suffit d'aller sur google... faire un recherche... aller sur le "faux" google.. et chercher en-bas de la page.
Vous allez trouver un "remove adware" link en-bas a la droite.
downlodez le uninstaller fourni, et voila, Google devient normal encore!
bonne chance.
Solution [in English]
This link Hijacker/redirector is currently not detected by any of the Spyware removers out there. I tried Spybot, SpySweeper, Ad-Aware and Norton System/Internet Security and ended up with nothing.
The only way (for now) to remove it, is to use the uninstaller provided by the company who made the adware in the first place.
Simply go to Google, perform a search and you'll find yourself redirected to the fake results page.
Look towards the bottom of the page, you should see a "remove adware" link (it's near the "About Google" link).
Click on it, download the uninstaller, run it and voila. The adware is removed and Google is back to normal!
Hope this helps.
Marsh Posté le 14-01-2005 à 18:10:56
Voilà j'ai un problème avec un spyware, enfin je suppose.
Je viens de passer Spy sweeper et spybot et malgrés les spyware qu'ils ont découvert j'ai toujours le même problème.
Lorsque je vais sur un moteur de recherche comme google par exemple, si j'effectue une recher alors je suis redirigé vers un site 61.131.54.618.cc qui effectue la recher et affiche de réponses comme si j'étais sur google(mémé présentation), mais toute la page va vers des sites porno. Lorsque je sélectionne la deuxième page alors la redisrection change et je me retrouve sur la vrai page de google.
En faisant une recherche dans la base d eregistre j'ai trouvé une seule instance de cette adresse et c'était dans "Search Assistant".
J'ai viré toute la clé mais j'ai toujours cette m***de.
Aidez moi
Message édité par djneo le 14-01-2005 à 18:11:15