Se connecter / S'enregistrer
Votre question

[Résolu] Navigation internet difficile, sites inaccessibles. Virus ?

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Novembre 2010 15:12:21

Bonjour,

Je rencontre des difficultés pour naviguer sur tous types de sites depuis hier. Certains sont accessibles, d'autres non...
Souvent lorsque je ne peux pas y accéder, je vois dans la barre d 'état de Firefox : "Transfert des données depuis www.google-analytics.com..." et puis rien ne se passe. Je n'avais jamais vu ca aupravant.

De plus, je n'arrive plus à démarrer Spybot Search & Destroy ou Malwarebytes' Anti-Malware qui sont installés sur mon pc.
Comme par hasard, en particulier les sites
http://www.safer-networking.org/fr/download/index.html
ou
http://www.malwarebytes.org/

sont inaccessibles :
Adresse introuvable
Firefox ne peut trouver le serveur à l'adresse www.malwarebytes.org.

Mon PC s'est enrhumé non ?
Merci pour votre aide.

Autres pages sur : resolu navigation internet difficile sites inaccessibles virus

1 Novembre 2010 16:23:08

Rapport HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:42, on 01/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom 3.2\lightroom.exe
C:\Program Files\SyncBack\SyncBack.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: StExBar - {367D8B32-F9FD-474b-8E65-9E521F35DE99} - C:\Program Files\StExBar\StExBar.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [Google Update] "C:\Documents and Settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c (User '?')
O4 - HKUS\S-1-5-21-329068152-1604221776-682003330-1003\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-329068152-1604221776-682003330-1003 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User '?')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: Pidgin.lnk = C:\Program Files\Pidgin\pidgin.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save to AnyNotes - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra button: Save to AnyNotes - {0CEC0F8D-EA18-4559-9FF9-4BF679CA3740} - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra 'Tools' menuitem: Save to AnyNotes - {0CEC0F8D-EA18-4559-9FF9-4BF679CA3740} - C:\Program Files\AnyNotes 5.0\an_menu1.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{770A7826-3701-40D6-A4E6-1ECE586CF24E}: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CCS\Services\Tcpip\..\{C14B36BD-1BA9-4CCF-BFDF-BAED0B8765B8}: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB701\webserver\bin\win32\matlabserver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 14775 bytes

Merci !
1 Novembre 2010 17:05:53

Ça n'inspire vraiment personne pour le moment... ?
Contenus similaires
a c 548 8 Sécurité
1 Novembre 2010 17:09:52

[:arslan:13] Bonsoir,

Détrounement de DNS ... ce qui explique les soucis de connexion, mais d'autres choses me trouble :

Citation :
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Program Files\OpenVPN\bin\openvpn-gui.exe


Tu gères un site/serveur/forum ? Tu utilises une connexion en VPN ?


Pour voir plus en détails :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 548 8 Sécurité
    1 Novembre 2010 19:15:44

    Re,

    Ok, on va commencer par rétablir le net, mais on va fouiller plus loin, car je ne vois pas l'origine du détournement de DNS ...

    1) Supprime Spybot Search and destroy :

    En plus d'être obsolète il pourrait fortement nous gêner pendant les manipulations.

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.241,93.188.160.51

    :Commands
    [purity]
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    3) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"
  • Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    a c 548 8 Sécurité
    1 Novembre 2010 21:29:24

    Re,

    Bah voilà, du tdss ...

    Est-ce que tu as encore des soucis pour accéder au web ?

    Ceux en quarantaine, pas sur qu'il soient infecté ...


    Pour revoir :

    Relance OTL :

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    intelppm.sys
    dtscsi.sys
    sptd.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    1 Novembre 2010 21:45:23

    On peut dire que les soucis que j'avais en accédant à quelques sites ont disparu.
    A condition que tu me rassures sur un point, peux-tu me dire si tu arrives à accéder aux sites :
    http://www.malwarebytes.org/
    et
    http://www.safer-networking.org/fr/download/index.html

    Que je sois sûr que c'est bien les sites qui ont un problème (ca serait bizarre quand même mais bon..) et que je ne me traîne pas une cochonnerie qui m'interdirait l'accès à une liste de site... je sais pas... ?

    Qu'entends-tu par "Bah voilà, du tdss ..." ? :) 

    Je relance OTL et te joins le rapport tout de suite.
    a c 548 8 Sécurité
    1 Novembre 2010 21:56:28

    Re,

    Non, l'accès au site de MBAM et spybot sont fonctionnel, possible qu'il y ait encore des trucs, on commence juste la désinfection.


    TDSS c'est une belle m*rde très en vogue ... qui change de version souvent ...


    Après OTL tu ajouteras ceci s'il te plait :


    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    2 Novembre 2010 15:18:35

    Re,

    Je serai de nouveau dispo pour la suite ce soir.
    Merci pour le boulot déjà accompli, et à ce soir j'espère.
    a c 548 8 Sécurité
    2 Novembre 2010 16:12:52

    Re,

    Et allez, tant qu'à faire, ton MBR est infecté ... (secteur d'amorçage du disque dur ...)


    Faisons donc les choses dans l'ordre :

    Télécharge Bootkit Remover (de eSageLab) sur ton bureau.

  • Décompresse Bootkit Remover sur ton bureau.
    (Info : si tu ne possèdes pas de décompresseur, 7zip fera l'affaire)
  • Double-clique sur bootkit_remover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Le scan est immédiat, et une fenêtre d'invite de commande noire apparait.
  • Dans la fenêtre, fais un clic-droit -> "Sélectionner tout", puis appuie sur la touche "Entrée"
  • Reviens poster ici puis fais un clic-droit "Coller" pour que le contenu apparaisse dans ta réponse.
  • Tu peux appuyer sur une touche pour fermer la fenêtre de bootkit_remover.
    a c 548 8 Sécurité
    3 Novembre 2010 15:53:02

    Re,

    Tu n'as pas de double-boot sur ce pc ? (Linux/windows, etc ...)

    Si non, fais ceci :


    Quand tu es prêt :

    Ouvre le bloc note de windows :
  • Clique sur "Démarrer" puis "Exécuter"
  • Dans la fenêtre tape ceci :
    Citation :
    notepad.exe

  • Valide avec "Entrée"

  • Dans la nouvelle fenêtre, copie-colle le script suivant (sans laisser de ligne blanche en haut)

    @echo off
    START "bootkit_remover.exe" fix \\.\PhysicalDrive0
    exit


    Enregistre ce fichier sur ton bureau :
  • Menu "Fichier" -> "Enregistrer sous"
  • Assure-toi que "Type de fichier" soit sur "All types (*.*)"
  • Nomme le fichier "fix.bat" en terminant obligatoirement par l'extension .bat

  • Double-clic sur "fix.bat" pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit et sélectionne "Exécuter en tant qu'administrateur".)

    Une nouvelle fenêtre de Bootkit Remover va s'ouvrir.
  • Un message d'avertissement va apparaitre, choisis "Yes", le pc va redémarrer.

  • Au redémarrage, tu auras une fenêtre de Bootkit Remover d'ouverte.
  • Fais un clic-droit dedans -> "Sélectionner tout" puis appuies sur la touche "Entrée"
  • Fais un clic droit-> copier ici dans ta prochaine réponse pour me fournir le rapport.


    /!\ La correction du Master Boot Record peut engendrer la perte du système ou l'accès au disque dur, il convient donc de sauvegarder auparavant tes fichiers important, nous ne sommes jamais à l'abri d'un plantage. /!\
    4 Novembre 2010 19:40:51

    Bonsoir,

    Je n'ai pas pu continuer hier soir. Me revoilà.
    Non, pas de double boot.

    Alors, je pense que ça ne se passe pas comme prévu...
    Bon, première chose, l'exécutable de Bootkit Remover que tu m'as fait télécharger ne s'appelant pas bootkit_remover.exe mais remover.exe, j'ai changé le nom dans le .bat. Je me suis bien sur assuré d'avoir fix.bat et remover.exe tous les deux sur le bureau. Mais une fois que j'exécute le script, Bootkit Remover ne se lance pas, au lieu de cela, une fenêtre noire (dos) s'ouvre et se ferme aussitôt une multitude de fois...

    Une idée ?
    4 Novembre 2010 19:45:52

    OK c'est bon, j'ai créé un raccourci Windows et j'y ai ajouté l'argument "fix \\.\PhysicalDrive0 ". Je l'exécute et j'ai bien la fenêtre avec message d'avertissement. Je vais cliquer "Oui".
    A toute.
    4 Novembre 2010 19:59:03

    OK, le redémarrage s'est bien passé. Par contre, pas de fenêtre Bootkit Remover d'ouverte. Le log peut être ailleurs ? Pas de fichier ressemblant sur le Bureau, ni à la racine de C:

    ... ?
    a c 548 8 Sécurité
    4 Novembre 2010 21:54:25

    Re,

    :lol:  ha ben j'aime bien quand çà se passe comme çà ;) 

    Très bien joué, on continu, çà c'était que la première partie effectivement.


    1) Relance Gmer :

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!


    2) Relance OTL :

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    a c 548 8 Sécurité
    5 Novembre 2010 16:43:30

    Re,

    Bon, il va falloir passer à un étape supérieure pour voir si tu as encore des fichiers patché (détourné par l'infection)


    Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    sptd.sys
    SPTD6893.SYS
    ati2mtag.sys
    spsys.sys
    dtscsi.sys
    intelppm.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    redbook.sys
    ipsec.sys
    termdd.sys
    win32k.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    5 Novembre 2010 17:44:09

    Re,

    Vu. Je ferai tout ça ce soir tard, ou plutôt demain.
    Merci.
    a c 548 8 Sécurité
    7 Novembre 2010 15:26:58

    Re,

    Ok continuons, je vois ce que je voulais :

  • 1) Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    DRV - File not found [Kernel | Disabled] -- D:\DOCUME~1\Nico\LOCALS~1\Temp\mc23.tmp -- (mchInjDrv)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)

    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    2) Télécharge ou Relance MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Si tu ne parviens pas à le mettre à jour, suis cette procédure pour le faire manuellement :
    http://www.donnemoilinfo.com/sujet/Astuce/maj-malwareby...

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    8 Novembre 2010 07:34:07

    Et le rapport MalwareByte's : http://www.cijoint.fr/cjlink.php?file=cj201011/cijMKcgl...

    C'était pas joli... mais ça va mieux je crois ! :) 
    Et en effet, je n'ai plus rencontré de problème de navigation sur internet, pour en revenir à mon problème initial ! Et ça me semble bien plus fluide.

    Où en est-on, il reste des tests à faire ?
    Merci !
    a c 548 8 Sécurité
    8 Novembre 2010 17:48:08

    Re,

    :o  Faut effectivement pas trop s'étonner de se retrouver contaminé avec çà :
    Citation :
    F:\Download\MediaMonkey\keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
    F:\Download\UltraEdit\UltraEdit130\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    F:\Download\WinRAR\WinRAR.v3.70.FR.Incl-Crack\Crack\WinRAR.v3.xx.Crack.exe (Trojan.Patcher) -> Quarantined and deleted successfully.



    Tu peux de nouveau accéder au site bloqué auparavant ?

    Si oui, non, c'est bon, on fini le ménage :


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge ta restauration système :

    Elle contient des traces de l'infection, suis ce tuto pour la purger :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (fin du tuto)


    3) Mise à jour du système et des logiciels :

    Désinstalle via ajout/suppression des programmes :
    - Java(TM) 6 Update 7

    Vérifie que tes logiciels sont à jour avec un scan comme celui de Secunia :
    http://secunia.com/vulnerability_scanning/online/



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    [:_tom_:7]
    8 Novembre 2010 21:00:30

    Re,

    Oui j'ai vu ça... :sarcastic:  Ok bin, je ne m'étonne pas donc... Je vais tâcher de faire un peu plus attention.
    Bon tout me semble bien réglé. Merci pour les derniers conseils.

    Vraiment, merci à toi pour ta patience et tes compétences ! J'ai une grande estime pour les services que vous rendez sur ce genre de forum. [:_tom_:7]

    Au plaisir. Mais pas trop vite quand même... ;) 
    Salut.
    a c 548 8 Sécurité
    8 Novembre 2010 21:15:28

    [:archi]

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.


    A bientôt sur les forums Tom's Guide
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS