Erreur dans netsh.exe et mswsock.dll

[DarkPig]

Bonjour

 

Depuis ce matin j'ai un probleme étrange, les navigateurs n'arrivent plus à accéder à internet. J'ai essayé avec Firefox, Chrome, et IE, et aucun n'arrive à se connecter. C'est étrange car Outlook par contre télécharge mes e-mails sans probleme, et les programmes arrivent à se mettre à jour : Spybot, Avira Antivirus...

 

J'ai lancé l' "Outils de diagnostic" de sfr, pour tester ma connexion. Tout est ok selon ce programme, mais pendant le test un message d'erreur de Windows est apparu : "Le point d'entrée de procédure MigrateWinsockConfiguration est introuvable dans la bibliothèque de liaisons dynamique MSWSOCK.dll", avec comme titre "netsh.exe - Point d'entrée introuvable".

 

J'ai redémarré en mode sans échec et j'ai remplacé les fichiers netsh.exe et mswsock.dll dans le dossier "system32" par ceux d'un deuxieme ordi qui est sous le même Windows. Ca a fonctionné, j'ai lancé chrome et il a pu se connecter. Mais lorsque j'ai redémarré en mode normal, le probleme est revenu... Comme si Windows ou un virus avait re-altéré mes fichiers entre temps. :\

 

Avira Antivirus ne me trouve pas de virus.

 

J'ai fait un scan HiJackThis, tout semble ok, je poste quand même le rapport au cas où :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:12, on 08/07/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPMixDSP.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Java\jre7\bin\jqs.exe
c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\explorer.exe
C:\Program Files\SFR\Kit\9diags.exe
H:\virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.sfr.fr/kit/adsl/]Portail SFR: Actualités, Sport, Info, TV, Jeux et musique[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail.fr, Messenger, Skype, Sydrive, Actualité, Sport, People, Femmes - MSN France[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail.fr, Messenger, Skype, Sydrive, Actualité, Sport, People, Femmes - MSN France[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Raccourci vers ouvre.lnk = ?
O4 - Startup: Raccourci vers speedfan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Startup: Raccourci vers todo.lnk = E:\internet\e-mails\todo.rtf
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.7.0) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Protection Web (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Avira Upgrade Service (AviraUpgradeService) - Unknown owner - C:\WINDOWS\TEMP\AVSETUP_4edd76b4\avupgsvc.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 6264 bytes

 

Malware byte anti-malware m'a trouvé deux backdoors dans de vieux fichiers, mais je doute que ça vienne de là.

 

ZHPFix n'a pas corrigé le probleme non plus.

 

J'ai soupçonné la réparation de base de registre de CCleaner, donc j'ai restauré une sauvegarde datant d'il y a quelques jours et redémarré, mais non.

 

Je précise que pendant ces manipulations j'ai eu droit à deux écrans bleus, ce qui est pourtant rare sur cette machine habituellement très stable.

 

Merci de m'aider car moi je n'ai plus d'idée... (à part refaire le systeme mais j'ai pas envie !)

Modifié le 8 juillet 2012 par DarkPig

[ab-web]

bonjour

 

tenter la réinitialisation des paramertres de connexion

 

dans executer : tape cmd ,l'invité de commande s'ouvre .

 

tape les commande suivantes en validant chacune d'elle par entrée

 

ipconfig /flushdns

netsh winsock reset

netsh winhttp reset proxy

netsh winhttp reset tracing

netsh winsock reset catalog

netsh int ipv4 reset catalog

netsh int ipv6 reset catalog

 

a la fin tape exit valide par entrée.

[DarkPig]

Merci ça refonctionne.

Finalement je pense que c'est un virus qui m'a fait ça. Bien que Avira Antivirus n'ait rien trouvé, TDSS m'a trouvé deux saletés, et Microsoft safety scanner m'en a trouvé 14...

[ab-web]

re

 

tant mieux content d'avoir pu te dépanner.

ton rapport HiJackThis ne présente pas le moindre signe infectieux .

si tu veux on peu vérifier avec ZHPDIAG ,plus performant .

 

voici la procédure

 

télécharger ZHP Diag >> lienZHP

 

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil.

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

 

Cliquer sur le bouton en haut, à droite et choisir Tous

 

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Poste le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports (il est important de ne pas mettre le rapport en copier collé )

Cliquer sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,tu le trouveras sur le bureau.

Cliquer sur Envoyer dans la page suivante

envoyer le fichier

une adresse http//.. sera créée Copier /coller cette

adresse dans ton prochain message.

 

tu peu aussi le faire avec cjoint. liencjoint ou un autre hébergeur > copier collé le lien dans ta réponse

 

sinon tu peu marquer ton sujet en résolu

pour marquer resolu, se mettre sur le premier sujet, cliquer sur le bouton Modifier, puis sélectionner Utiliser l'éditeur complet. rajouter alors le mot [RÉSOLU] en tête du titre et sauvegardes.

 

exemple :[RESOLU]mon pc pleure

[DarkPig]

Ok, merci de vérifier.

ZHPDiag.txt

ZHPFixReport.txt

Modifié le 10 juillet 2012 par DarkPig

[ab-web]

bonjour

 

désolé mais il te faut passer par la section analyses et éradication malwares . des lignes posant probleme .

 

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified => Infection BT (Hijacker.Application)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified => Infection BT (Hijacker.Intl)

O43 - CFD: 24/12/2011 - 05:45:55 - [20,626] ----D C:\Documents and Settings\Gros\Application Data\Tencent => Infection BT (Adware.TencentAddressBar)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

 

M3 - MFPP: Plugins - [Gros] -- C:\Documents and Settings\Gros\Application Data\Mozilla\Firefox\Profiles\6lqoj7ns.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

O43 - CFD: 11/05/2012 - 14:50:28 - [0] ----D C:\Documents and Settings\Gros\Local Settings\Application Data\APN => Toolbar.eBay

O69 - SBI: C:\Documents and Settings\Gros\Application Data\Mozilla\Firefox\Profiles\6lqoj7ns.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

 

STP ne tente rien avec ZHPFIX avant d'avoir eu un avis , comme tu l'a fait . le nettoyage ne peu se faire qu'avec des outils spécifique.

 

je te recommande avec insistance de poster sur le forum indiqué ci dessus.(analyses et éradication malwares)

 

met le mien vers ce sujet ainsi que celui vers ton rapport ZHPDiag.

[DarkPig]

Ok, merci pour ton aide.

Modifié le 10 juillet 2012 par DarkPig

[ab-web]

hello

 

de rien

 

mais fait attention a ce que tu marque :je n'ai jamais demandé de rapport ZHPFIX mais un ZHPDIAG

 

tu a fait un ZHPFIX avant ma demande, en essayant de te dépanner toi meme.

je t'invite donc a modifier ton message posté sur la section désinfection.

 

bon la suite la-bas