Google infecté et inutilisable !?!?

Tomaska · Avril 4, 2005, 12:04

Bonjour,

depuis qlques jours j’ai un gros probleme avec google : des que j essaie de me connecter a google, je tombe sur une page qui ressemble beaucoup a celle de google (mais en anglais) et qui me bloque mes recherches.
En effet, des que je lance une recherche, je tombe toujours sur les memes sites
Exemple : si je tape “clubic” j’ai alors 6 sites dont :

[i] - Find Results For clubic On Info.com

Info.coms new site gives you the best of the web, instantly displaying the most relevant results for clubic. Click on the link to get results for clubic
http://msxml.info.com/infocom.us2/search/web/clubic?&CMP=1598&unbid 28k - Cached - Similar pages

 - Looking for clubic?

Find clubic at Xuppa.com. Get fast, reliable search results plus news, love, weather, greeting cards, dating, and more!
www.xuppa.com/cgi-local/search.cgi?keyword=Clubic&link=cooldef 19k - Cached - Similar pages

 - Look for clubic at eBay - The World's Online Marketplace

Find it at eBay - Over 5 million items for sale! The most fun buying and selling on the web! Try it, you’ll love it!
http://www.qksrv.net/click-6377-5319899?SID=AHHAID&loc=http://search.ebay.com/search/search.dll&query=QUERY 49k - Cached - Similar pages [/i]

J 'ai essayé plus anti spyware mais sans résultat !!!

Je ne sais pas comment me debarasser de ce truc, et c’est plus qu’enervant !!!

Si qlqu un sait comment resoudre se probleme, merci de m’aider

Keeper · Avril 4, 2005, 12:13

Bonjour, c’est possible voir le contenu du fichier HOSTS ?
trouvable dans C:\WINDOWS\System32\drivers\etc\hosts -> clic droit, ouvrir avec le BlocNotes, copier le tout, coller ici sur le forum

Tomaska · Avril 4, 2005, 12:16

Voila ce que j ai trouvé :

69.50.166.11 www.google.com
69.50.166.11 google.com
69.50.166.11 www.google.co.uk
69.50.166.11 google.co.uk
69.50.166.11 www.google.ca
69.50.166.11 google.ca
69.50.166.11 www.google.es
69.50.166.11 google.es
69.50.166.11 www.google.de
69.50.166.11 google.de
69.50.166.11 www.google.fr
69.50.166.11 google.fr
69.50.166.11 www.google.com.au
69.50.166.11 google.com.au
69.50.166.14 www.yahoo.com
69.50.166.14 yahoo.com
66.218.75.184 mail.yahoo.com
69.50.166.12 www.msn.com
69.50.166.12 msn.com
69.50.166.12 search.msn.com
69.50.166.12 www.go.com
69.50.166.12 go.com
69.50.166.13 astalavista.com
69.50.166.13 www.astalavista.com
69.50.166.13 astalavista.box.sk
69.50.166.13 cracks.am
69.50.166.13 www.cracks.am

Keeper · Avril 4, 2005, 12:27

ok tu supprime tout le contenu du fichier txt et coller la suite :

Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

pour Windows.

Ce fichier contient les correspondances des adresses IP aux noms d’hôtes.

Chaque entrée doit être sur une ligne propre. L’adresse IP doit être placée

dans la première colonne, suivie par le nom d’hôte correspondant. L’adresse

IP et le nom d’hôte doivent être séparés par au moins un espace.

De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

lignes propres ou après le nom d’ordinateur. Ils sont indiqué par le

symbole ‘#’.

Par exemple :

102.54.94.97 rhino.acme.com # serveur source

38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost[/fixed]

redémarrer la machine et renouveller la connexion internet

ps: c’est possible voir un .log(complet) de HijackThis 1.99.1

Keeper · Avril 4, 2005, 12:28

ah oui j’ai oublier …rendre les paramétres par défaut du navigateur après avoir changer les hosts

Tomaska · Avril 4, 2005, 12:29

J 'ai effacé le contenu du fichier Hosts et tout remarche normalement !!!

Merci Keeper !!! Tu m’as bien aidé!! Efficasse et rapide !!

Mais dis moi, comment c est possible de modifier un fichier comme ca ? Juste en allant sur internet ?

Tomaska · Avril 4, 2005, 12:30

ah … ca ne suffit pas d’effacer simplement le contenu du fichier hosts ?

Tomaska · Avril 4, 2005, 12:32

“ps: c’est possible voir un .log(complet) de HijackThis 1.99.1”

Comment ca ?

Keeper · Avril 4, 2005, 12:35

tu télécharge le zip sur merijn.org dans un nouveau dossier, tu double clique sur l’icone tu accepte et “Do a system scan and save a log file” <<< ce fichier txt tu colle son contenu complet ici sur le forum

Tomaska · Avril 4, 2005, 12:35

ok j ai compris !!

Logfile of HijackThis v1.99.1
Scan saved at 12:33:49, on 04/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HistoryKill\histkill.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\HistoryKill\hkPopupKiller.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Tom\LOCALS~1\Temp\Rar$EX00.062\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM…\Run: [K!IR.exe] C:\Program Files\K!TV\K!IR.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU…\Run: [HistoryKill] C:\Program Files\HistoryKill\histkill.exe /startup
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29aba882012a91ac3916/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104440326855
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B49A2A6-B45F-46F3-AC60-2578477671EE} - http://www.ultrabar.com/user_data/s/l/slide68/ultrabars/latest/ultrabar.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab
O17 - HKLM\System\CCS\Services\Tcpip…{6961CCC3-B05A-4E83-960E-11532FEDD2FC}: NameServer = 80.10.246.130,80.10.246.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

PS comment ca pas plus de 3 messages par 10 minutes ?

Keeper · Avril 4, 2005, 12:37

pour que l’histoire ne se reproduit pas tu fais un clic droit sur le fichier Hosts et tu le met en lecture seule

edit: ila un antiflood sur le Forum :lol:

Tomaska · Avril 4, 2005, 12:41

ok! c est fait !!! C dingue qd meme c est redirection sur un faux site … si jamais c etais sur un site ou l on donne ses coordonées bancaires ou autres !!!

PS C quoi C:\WINDOWS\system32\devldr32.exe ?? normal ou pas ?

Keeper · Avril 4, 2005, 12:51

oui sa va tout a l’air bon apart deux trois entrées superflu mais rien de grave …

devldr32.exe d’aprés Google il s’agis d’un produit Creative, donc voilà

Tomaska · Avril 4, 2005, 12:54

Ok !! En tout cas MERCI Keeper, tu m as bien dépanné !!!

A+

Keeper · Avril 4, 2005, 1:19

de rien

l’histoire est due sûrement a la toolbar ULTRaBAR qui se présente pas étant dangereuse …dans le sens que tu l’installe avec ton consentement mais rien ne l’empêche agir comme un ad-aware et te rédiger en vers des sites payants, dans ce cas songer a une autre forme de recherche disons-nous sans doutes sur un produit telquel Google, Yahoo, MSn :whistle:

bon surf