Accès www.google.fr impossibleRésolu/Fermé

Question

Bonjour, 

Depuis quelques jours, impossible d'accéder à la page www.google.fr.

De plus, l'ordinateur est beaucoup plus lent qu'avant pour des taches simples.

Un "expert" pourrait-il vérifier si l'ordinateur n'est pas infecté?

Merci d'avance

Configuration: Windows XP / Firefox 19.0

juju666 · Answer

Salut qu'entends-tu par "impossible d'accéder à la page www.google.fr" ?
Une autre page s'affiche ou le navigateur répond "404 page introuvable" ?

toki127 · Answer

J'arrive à afficher d'autres pages comme lrquipe.fr, bing.com,msn.com etc.......

Mais quand je tape "www.google.fr", le nom de l'onglet affiche "connexion en cours..." sans jamais rien afficher...

J'ai testé la page google.fr sur mon autre ordinateur et elle s'affiche parfaitement.

juju666 · Answer

Bizarre ...

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox

&#9654 Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


nslookup www.google.fr /c
msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0


&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Toki127 · Answer

OTL.txt : https://forums-fec.be/upload/www/?a=d&i=8184038167
Extras.txt : https://forums-fec.be/upload/www/?a=d&i=1380693006

Merci!

juju666 · Answer

Tu suis une désinfection ailleurs ? 

Tu as utilisé catchme de gMer

toki127 · Answer

Je ne suis pas d'autre désinfection.

Je n'ai pas utilisé "catchme" de Gmer non plus.

J'ai déjà été aidé pour des désinfections, mais pas sur ce PC, ou alors il y a longtemps peut-être(?)

juju666 · Answer

Les rapports ne mentent jamais : 

DRV - (catchme) -- C:\DOCUME~1\GIL\LOCALS~1\Temp\catchme.sys File not found
DRV - (5689) -- C:\DOCUME~1\GIL\LOCALS~1\Temp\5689.sys File not found 

Ou alors tu avais utilisé combofix ^^

~~

Vire l'extension PriceGong  de Google Chrome, désactive la synchronisation avec ton compte Google si nécessaire puis :

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

toki127 · Answer

Bonjour voici le lien concernant le rapport merci!
https://forums-fec.be/upload/www/?a=d&i=5043209978

juju666 · Answer

Hello

Pourquoi tu l'as mis dans un fichier doc ?
Tu pouvais le laisser en fichier texte (txt) et l'héberger ainsi, ça prend beaucoup moins de place de la sorte ... 
 
Tu peux aller sur google maintenant ?

toki127 · Answer

non tjs pas

juju666 · Answer

#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur  
 
A+

Toki127 · Answer

Bonjour,

désolé pour le délai, je n'ai pas eu le temps avant.
Voici le rapport complet de combo fix.
Pour info, je ne peux toujours pas accéder à la page www.google.fr... :(

ComboFix 13-04-06.02 - GIL 07/04/2013  17:26:40.5.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.510.285 [GMT 2:00]
Lancé depuis: c:\documents and settings\GIL\Bureau\Gilbert.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Service_NPF
-------\Service_usnjsvc
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-03-07 au 2013-04-07  ))))))))))))))))))))))))))))))))))))
.
.
2013-04-07 06:37 . 2013-03-19 04:50	7108640	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{70836597-922B-4D43-B04E-F4D737C7E543}\mpengine.dll
2013-03-22 09:47 . 2013-03-19 04:50	7108640	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-03-22 05:21 . 2012-06-02 13:18	214256	----a-w-	c:\windows\system32\muweb.dll
2013-03-22 05:21 . 2012-06-02 13:18	275696	----a-w-	c:\windows\system32\mucltui.dll
2013-03-22 05:13 . 2013-03-22 05:13	24576	----a-w-	c:\program files\Mozilla Firefox\plugins
prjplug.dll
2013-03-22 05:13 . 2013-03-22 05:13	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2013-03-22 05:13 . 2013-03-22 05:13	144984	----a-w-	c:\program files\Mozilla Firefox\plugins
ppl3260.dll
2013-03-22 05:12 . 2013-03-22 05:12	81920	----a-w-	c:\program files\Mozilla Firefox\plugins
prpjplug.dll
2013-03-22 05:10 . 2013-03-22 05:10	569397	----a-w-	c:\program files\Internet Explorer\PLUGINS\RichFX\Player
prfxins.dll
2013-03-21 08:23 . 2013-04-02 10:33	237088	------w-	c:\windows\system32\MpSigStub.exe
2013-03-21 08:15 . 2013-03-21 08:15	--------	d-----w-	c:\program files\Microsoft Security Client
2013-03-21 06:18 . 2013-03-21 06:18	--------	d-----w-	c:\documents and settings\GIL\chat-land
2013-03-20 06:37 . 2013-03-20 06:37	0	----a-w-	C:\PhysicalDisk0_MBR.bin
2013-03-20 06:20 . 2013-03-20 06:20	--------	d-----w-	C:\ZHP
2013-03-20 06:20 . 2013-03-20 06:20	--------	d-----w-	c:\program files\ZHPDiag
2013-03-18 16:15 . 2013-03-18 16:15	512	----a-w-	C:\PhysicalMBR.bin
2013-03-14 05:39 . 2013-02-11 23:32	12928	------w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-14 05:39 . 2013-02-11 23:32	12928	------w-	c:\windows\system32\dllcache\usb8023.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-14 09:22 . 2012-04-25 12:16	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-14 09:22 . 2011-07-29 16:20	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-26 05:43 . 2013-02-26 05:43	50704	----a-w-	c:\windows\system32\drivers
pf.sys
2013-02-11 23:32 . 2008-04-13 18:56	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-11 23:32 . 1979-12-31 22:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 18:56 . 1979-12-31 22:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 18:56 . 1979-12-31 22:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-02-05 18:56 . 1979-12-31 22:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-02-05 04:54 . 1979-12-31 22:00	385024	----a-w-	c:\windows\system32\html.iec
2013-01-26 02:55 . 1979-12-31 22:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-20 13:59 . 2013-01-20 13:59	195296	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-03-07 13:30 . 2013-03-18 14:59	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\wltray" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-19 69632]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-05-24 188416]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" [2008-01-29 583048]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-18 254696]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2012-10-25 421888]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2013-03-22 185896]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\MSMSGS.EXE"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\WINDOWS\System32\MSIEXEC.EXE"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
.
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [15/09/2012 11:32 398184]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [15/08/2012 18:04 682344]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01/01/1980 200192]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [15/08/2012 18:04 21104]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [24/03/2006 20:28 2343]
S1 mailKmd;mailKmd; [x]
S1 MpKslb9590814;MpKslb9590814;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{70836597-922B-4D43-B04E-F4D737C7E543}\MpKslb9590814.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{70836597-922B-4D43-B04E-F4D737C7E543}\MpKslb9590814.sys [?]
S2 5689;5689;\??\c:\docume~1\GIL\LOCALS~1\Temp\5689.sys --> c:\docume~1\GIL\LOCALS~1\Temp\5689.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys --> c:\windows\system32\drivers
mwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys --> c:\windows\system32\drivers
mwcdnsuc.sys [?]
S3 SI15CI;SI15CI;\??\c:\elements\1stboot\SI15CI.SYS --> c:\elements\1stboot\SI15CI.SYS [?]
.
Contenu du dossier 'Tâches planifiées'
.
2013-04-07 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\program files\Microsoft Security Client\MpCmdRun.exe [2013-01-27 09:11]
.
2013-04-07 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\MpCmdRun.exe [2013-01-27 09:11]
.
2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 09:22]
.
2013-04-07 c:\windows\Tasks\At1.job
- c:\program files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe [2010-11-16 19:12]
.
2013-04-06 c:\windows\Tasks\At2.job
- c:\program files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe [2010-11-16 19:12]
.
2013-04-07 c:\windows\Tasks\At3.job
- c:\program files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe [2010-11-16 19:12]
.
2013-04-07 c:\windows\Tasks\At4.job
- c:\program files\HP\HP Deskjet 3050 J610 series\Bin\HPCustPartic.exe [2010-11-16 19:12]
.
2013-04-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{191B36EC-9270-4EAA-9A46-E23B2C42B65E}: NameServer = 192.168.1.100
DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} - hxxp://minitelweb.minitel.com/imin_data/ocx/MDM.cab
FF - ProfilePath - c:\documents and settings\GIL\Application Data\Mozilla\Firefox\Profiles\wzvkzvcl.default-1363070337656\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-Video Converter Bundle by SweetPacks - c:\program files\sweetpacks bundle uninstaller\uninstaller.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-04-07 17:40
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'explorer.exe'(1408)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\wltrysvc.exe
c:\windows\System32\bcmwltry.exe
c:\acer\eManager\anbmServ.exe
c:\windows\system32\wltray.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\acer\eRecovery\Monitor.exe
c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2013-04-07  17:44:29 - La machine a redémarré
ComboFix-quarantined-files.txt  2013-04-07 15:44
.
Avant-CF: 8 528 265 216 octets libres
Après-CF: 9 164 259 328 octets libres
.
- - End Of File - - 4FCA3DF8758453694A8C93EA45493F3A

juju666 · Answer

Salut c'est étrange, il n'y a pas grand chose de visible ... à part des restes ! __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Folder:: c:\documents and settings\GIL\chat-land Driver:: mailKmd AtJob:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt A+

Toki127 · Answer

Ça fait deux fois que je fais la manip'.
Combofix charge bien, mais reste bloqué sur "le temps d analyse d une machine sévèrement infectée peut facilement doubler"
Mais rien ne se passe. J ai coupé au bout de 40 minutes sans que rien ne bouge...
Il faut laisser encore plus longtemps?

juju666 · Answer

Essaie en mode sans échec ?

Vire le AtJob:: du script

Toki127 · Answer

pas mieux, je l'ai laissé tourner toute la nuit, et il reste bloqué "le temps .... peut facilement doubler"

...?

juju666 · Answer

Salut,

Eh bien nous allons faire autrement.

Relance OTL, sous personnalisation colle ça : 

:Files
c:\documents and settings\GIL\chat-land
:services
mailKmd  
:commands
[EMPTYTEMP]

Click correction, le PC va redémarrer, et le rapport s'ouvrira à la fin. Copie/colle le.

A+

Toki127 · Answer

Voilà 30 minutes que j'ai lancé l'opération...
J'imagine qu'en bas d'OTL il y a une barre d'avancement qui reste désespérement blanche et immobile...
En dessous est écrit depuis le début : "Killing processes... DO NOT INTERRUPT..."

Pourquoi ca ne veut pas se passer normalement... ?

juju666 · Answer

Parce que c'est un reste d'infection, plutôt coriace apparemment.

Essaie avec ça comme script OTL : 

:Files
sc delete mailKmd /C

poste le mini rapport qui va s'ouvrir

Toki127 · Answer

========== FILES ==========
[color=#A23BEC]< sc delete mailKmd /C >[/color]
[SC] DeleteService SUCCESS
C:\Documents and Settings\GIL\Bureau\cmd.bat deleted successfully.
C:\Documents and Settings\GIL\Bureau\cmd.txt deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04082013_184020

juju666 · Answer

Pourquoi faire compliqué quand on peut faire simple ! ^^

Relance OTL, clique sur Analyse rapide (et touche à rien d'autre)

Envoie le nouveau rapport, hébergé 

A+

Toki127 · Answer

et voilà : 
 https://forums-fec.be/upload/www/?a=d&i=2254170548

juju666 · Answer

et pour google ça va mieux? :)
 ça le fait sur quel navigateur précisément ?

Toki127 · Answer

Non ca ne fonctionne toujours pas :
- sous IE : "IE ne peut afficher cette page Web"
- sous firefox : "le délai d'attente est dépassé".

Le petit encart de recherche google en haut à droite dans firefox ne fonctionne pas plus.Par contre, le reste de ma navigation fonctionne. C'est bizarre non?

juju666 · Answer

Eh bien oui c'est vraiment étrange car en plus le pc arrive à y accéder via l'invite de commande : 

[color=#E56717]========== Custom Scans ==========[/color]
 
[color=#A23BEC]< nslookup www.google.fr /c  >[/color]
Serveur :  UnKnown
Address:  192.168.1.254
Nom :    WWW.GOOGLE.FR
Addresses:  173.194.34.56, 173.194.34.63, 173.194.34.55 

Je vais me renseigner et te tiendrais au jus.

A+

Toki127 · Answer

Merci beaucoup pour toute l'aide apportée!
J'espère que tu trouveras le pourquoi du comment!
Bonne soirée et à bientôt

juju666 · Answer

Re,

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Toki127 · Answer

Bonjour,

alors deux fois quej'essaie, et même constat :
quand pré_scan se lance, il reste bloqué sur creating restorepoint. Une fenêtre apparait  "Warning! error saving file C:/c/pre_scan/save/scan/security"
au bout de quelques minutes de plus, apparait une nouvelle fenêtre :
"Exécuter en tant que...
Quel compte utilisateur voulez vous utiliser pour exécuter ce programme?"

Que faire... ?

juju666 · Answer

Laisse tomber pour le moment.

Perso je sèche, j'attends des news ...

Toki127 · Answer

ok!

je vais essayer avec les autres extensions de ton message précédent.

Encore merci

Toki127 · Answer

Finalement, en prenant le fichier en .pif, tout a fonctionné!!!

Voici le lien vers le rapport :

http://cjoint.com/?3DjtsEds2zv

juju666 · Answer

Ah cool :) et ça a changé quelque chose ?

Toki127 · Answer

J'espérais... mais non toujours pas d'accès à Google depuis IE ou Firefox...

Ca ne peut pas avoir un rapport avec le fichier "hosts"?

juju666 · Answer

C'est pour ça que j'ai voulu que tu utilise Pre_Scan, il a réparé quelques services ET le fichier hosts mais non.

De toute manière, si tu sais accéder à google outre la page d'accueil, le problème se situe plutôt aux niveau des navigateurs et non du fichier hosts.
Auquel cas, tu ne pourrais pas DU TOUT accéder à google.

Toki127 · Answer

Mais je ne peux absolument pas accéder à la page Google!!!
Que ce soit par la page d'accueil, par la barre de recherche, ou meme en l'écrivant dans la barre d'adresse.

juju666 · Answer

Ah ! Ben tu fais bien de le préciser.
Mais franchement moi je comprends plus :p

J'attends des news ....

g3n-h@ckm@n · Answer

salut possible d'avoir un "diag" avec pre_scan ?  

===============

le WMI a pris une tarte :

¤¤¤¤¤¤¤¤¤¤ | Running processes

Boot : Normal  


¤¤¤¤¤¤¤¤¤¤ | Winlogon User : OK !
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

Bien vu :) thx

g3n-h@ckm@n · Answer

le switch  

WMI::  

devrait fonctionner   

si la machine ne redemarre pas automatiquement suite à l'execution , c'est qu'il n'est pas passé 
   
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Toki127 · Answer

bonjour à tous les deux et merci pour votre persévérance!

Voici pour le rapport du Diag de Prescan: 

http://cjoint.com/?3DksDWFcskb

Pour le reste, je n'ai pas trop saisi! :)

g3n-h@ckm@n · Answer

hello pour avancer :

desinstalle adobe reader 9 si present

===========================

selectionne ce texte , puis Ctrl + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8b67ae13-9ee0-4794-83f9-7c78488ba543}]
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FC10957A-5D5D-41FE-B6F9-5DD50E93ED50}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}]
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}]     
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}]     
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{474597C5-AB09-49D6-A4D5-2E8D7341384E},]     
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2318C2B1-4965-11D4-9B18-009027A5CD4F}]     
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}]     
[HKLM\Software\MozillaPlugins\Adobe Reader]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\Software\SweetIM] 
[HKU\S-1-5-21-2799920498-4293975106-4281419557-1005\Software\YahooPartnerToolbar]     
[HKLM\Software\SweetIM] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\standardprofile\authorizedapplications\list]|[C:\Program Files\Messenger\MSMSGS.EXE]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\standardprofile\authorizedapplications\list]|[C:\WINDOWS\System32\MSIEXEC.EXE] 
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[1900:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[2869:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[139:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[445:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[137:UDP] 
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[138:UDP]
[HKCR\Installer\Products\68AB67CA7DA76301B7449A0500000010]

File|Fold::
C:\Recycled        
C:\Documents and Settings\GIL\chat-land 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\SweetPacks 
C:\Documents and Settings\GIL\Application Data\hpothb07.tif 
C:\Documents and Settings\All Users\Application Data\1196 
C:\Documents and Settings\All Users\Application Data\1A396 

Driver::
5689
NAVENG
NAVEX15
SYMDNS
SYMEVENT
SYMFW
SYMIDS
SYMIDSCO
SYMNDIS
SYMREDRV
SYMTDI

WMI::

Clean::

MBR::

Reboot::       
 
 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

juju666 · Answer

salut

après le Pre_Script, d'autres pistes émises par Regis59 : 

Sinon, un module additionnel/complémentaire/addons? Peut elle executer IE sans modules complémentaires et voir si Google est accessible?
Et si elle clique sur: https://www.google.com et https://www.google.com/?gws_rd=ssl , lequel fonctionnerait?  

Voir aussi ce que ça donne en mode sans échec avec prise en charge du réseau.

Toki127 · Answer

Bonjour,

Voici le lien :
http://cjoint.com/?3DlsGzWjRZJ

Malheureusement, impossible d'accéder à www.google.fr, que ce soit avec IE ou Firefox... :(

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Pre_Scan\MBR.bin

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Toki127 · Answer

https://www.virustotal.com/fr/file/0ad8be14d1dec89c66a50d43c07e15d4e01ad539f7f60f8a994f2f4382385069/analysis/1365702492/

juju666 · Answer

Tu sais quoi, la meilleure des choses à faire, surtout un XP : formater.

Toki127 · Answer

j'ai bien cette idée en tête, mais s'il y avait moyen d'éviter, ca aurait été bien... ;)

je vais attendre le verdict de g3n-h@ckm@n

g3n-h@ckm@n · Answer

repasse un coup de Gilbert.exe

Toki127 · Answer

http://cjoint.com/?3DluBUgzCZG

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:0 Driver:: 5689 NAVENG NAVEX15 SYMDNS SYMEVENT SYMFW SYMIDS SYMIDSCO SYMNDIS SYMREDRV SYMTDI RegLock:: [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Toki127 · Answer

http://cjoint.com/?3DlwbVCEomL

Regis59 · Answer

Et en mode sans échec avec prise en charge réseau?
Et IE sans modules additionnels?
Et si tu cliques sur: https://www.google.com et https://www.google.com/?gws_rd=ssl , lequel fonctionne?

Toki127 · Answer

en mode sans échec avec pise en charge du réseau... impossible de me connecter au WIFI...
donc je redémarre pour vous tenir informé, mais avant je teste une énième fois www.google.fr, et là... MIRACLE!
ca fonctionne sur IE et sur Firefox, en le tapant dans la barre d'adresse ou via l'onglet de recherche!
C'était vraiment inespéré!

Un énorme merci à vous pour votre aide, et surtout votre persévérance!
Pourriez vous me faire un petit résumé de ce qui s'est passé au final?

Encore merciiii et bonne soirée

juju666 · Answer

Apparemment c'était des restes de drivers de norton qui mettaient le bronx, et le wmi qui avait prit une tarte.

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Accès www.google.fr impossible

54 réponses

Discussions similaires

Newsletters