probleme liens google

[kilik38]

Bonjour à tous,

 

Je vous expose mon problème (que certains ont déjà rencontré mais étant donné que mon rapport est différent je me permet tout de meme de vous déranger) :

 

A l'issu d'une recherche google, lorsque je clique sur les liens obtenues, je me retrouve sur l'équivalent d'un google en allemand ou encore sur des sites de rencontres, meetic et compagnie. Ce problème n'est pas a proprement parler très handicapant puisque mon pc fonctionne mais bon, à la longue, c'est gênant d'être balancé sur des sites qui n'ont rien a voir avec notre recherche initiale...

 

J'ai bien entendu fais tourner tous les antispywares (avast, spybot...) avant que je ne décrouve hijackthis et les forums d'aide (ou plutot d'interpretation des rapports).

 

J'ai donc lancé un scan, et je vous laisse le rapport, pour info mon FAI est wanadoo. Je vous remercie par avance pour le temps que vous allez passer a analyser ce rapport et pour votre aide.

 

Voici donc mon rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 03:06:31, on 17/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Wanadoo\Watch.exe

D:\Program Files\eMule\emule.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\yoann\LOCALS~1\Temp\~e5.0001

C:\Documents and Settings\yoann\Bureau\PowerOff_3.0.1.3\poweroff.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\yoann\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {150EFAB6-D5FD-4E17-B30B-3F0CFD4FFDB6} - C:\WINDOWS\system32\irclassd.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by132fd.bay132.hotmail.msn.com/resources/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E493C7-373A-4BC8-9C4D-55799DFFAC26}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Modifié le 17 janvier 2007 par kilik38

[bruce lee]

bonjour kilik38 et bienvenue sur zebulon

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[kilik38]

Bonjour Bruce Lee et merci,

 

J'ai bien suivi tes consignes et je viens de finir le scan avec BlackLight. Le scan a été bien plus long qu'avec Hijackthis mais le rapport comporte bien moins d'éléments, j'ai l'impression qu'il n'a rien trouvé d'anormal, ai je commis une erreur?

 

Je te colle le rapport :

 

01/17/07 10:25:32 [info]: BlackLight Engine 1.0.55 initialized

01/17/07 10:25:32 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/17/07 10:25:33 [Note]: 7019 4

01/17/07 10:25:33 [Note]: 7005 0

01/17/07 10:25:47 [Note]: 7006 0

01/17/07 10:25:47 [Note]: 7011 1968

01/17/07 10:25:48 [Note]: 7026 0

01/17/07 10:25:48 [Note]: 7026 0

01/17/07 10:26:18 [Note]: FSRAW library version 1.7.1021

 

Je ne sais pas si ca t'aide...

Modifié le 17 janvier 2007 par kilik38

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/fais:

demarer executer services.msc repere France Telecom Routing Table Service

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

maintenant on va supprimer le service:

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation:

 

sc delete FTRTSVC

4/lance hijackthis en cliquant sur do a scan system only et coche cette ligne:

 

O2 - BHO: (no name) - {150EFAB6-D5FD-4E17-B30B-3F0CFD4FFDB6} - C:\WINDOWS\system32\irclassd.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

6/Supprime ce qui est en gras:

 

C:\WINDOWS\system32\ irclassd.dll<== le fichier

 

 

rend toi ici:

 

C:\documents and Settings\yoann\Local Settings\Temp

 

ouvre le dossier temp et vide tout son contenu.

 

 

7/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

8/Redémarre en mode normal

 

9/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

Modifié le 17 janvier 2007 par bruce lee

[kilik38]

Merci bien pour ton aide, j'ai suivi pas à pas ta procédure mais j'ai quelques soucis pour la terminer.

Quoi qu'il en soit, mon problème de lien google est résolu, mais j'aurais tout de meme bien aimé terminer la procédure de manière a ne pas laisser d'autres programmes malveillants sur mon pc.

 

Après avoir fixé le irclassd.dll (étape 4), je suis allé dans system32 et je n'ai pas trouvé cette dll, je n'ai trouvé qu'une dll appelée irclass.d (donc sans le D a la fin de irclass) donc je ne l'ai pas supprimée. Est il possible que Hijackthis l'ai supprimé tout seul?

 

Mon dernier souci est que, lorsque je lance le scan avec AVGAS, j'ai l'impression que le scan bloque. En 10 secondes il me scanne environ 30 objets et d'un coup, j'ai l'impression qu'il se bloque et, meme en le laissant tourner 1h30, il reste comme 'coincé' sur le 32 objet. Il s'agit, dans le scan des memoires/processus, de ce qui est nommé [416]VM_7FFE0000]. Est ce normal? dois je le laisser tourner plus longtemps ou y a t il un bug? J'ai essayé en mode normal et en mode sans echec et c'est la meme chose, à chaque fois j'ai l'impression que le programme bloque a ce niveau du scan.

 

Merci de l'aide que tu m'as déjà apporté et merci de me répondre afin que je puisse nettoyer totalement mon pc et repartir sur de bonnes bases.

[bruce lee]

re,

 

Pour AVG AS laisse tomber.

 

 

http://www.webroot.com/fr/products/spysweeper/

 

...va vers ce lien et clique sur "Essayer" afin de télécharger l'outil. Poursuis ensuite avec les instructions postées par Tornado (réglages de l'outil...), puis sauvegarde le rapport et poste le ici. Bon succès..

 

* Installe le programme. Une fois installé, il se lancera.

* L'option de le mettre à jour s'affichera; clic Yes.

* Lorsque les mises à jour seront installées, clic Options sur la gauche.

* Clic sur l'onglet Sweep Options.

* Sous What to Sweep, coche les options suivantes:

o Sweep Memory

o Sweep Registry

o Sweep Cookies

o Sweep All User Accounts

o Enable Direct Disk Sweeping

o Sweep Contents of Compressed Files

o Sweep for Rootkits

o DÉCOCHE Do not Sweep System Restore Folder.

* Clic Sweep Now sur la gauche.

* Clic sur Start.

* Quand le scan est terminé, clic sur Next.

* Assure-toi que tous les items sont cochés, puis clic sur Next.

* Tous les items cochés seront éliminés.

* Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

* Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

* Clic sur l'onglet Summary, puis clic sur Finish.

* Colle le contenu du "Session Log" dans ta prochaine réponse.