problème avec le moteur GOOGLE

[invite824adc59]

Bonjour,


Depuis quelques jours, j'ai un sérieux problème avec le moteur de recherche GOOGLE: à chaque fois que le l'utilise, quel que soit l'objet de ma recherche, je reçois en résultat les liens suivants:
1. Le 1° résultat fourni un lien vers drivecleaner.nl
2. le second est un lien vers systemdoctor.com
3. le troisieme résultat est un lien vers upspiral.com
4. le quatrième est un lien vers winantivirus.com

ensuite suivent des liens plus ou moins pertinents vers des sites en relations avec ma recherche

Quand je passe à la 2° page de résultats GOOGLE, les 4 premiers liens affichés sont identique aux 4 premeirs affichés en page 1...

Il en va ainsi des différentes pages de résultats.

Moralité: GOOGLE est quasi inutilisable, puisque les 4 premiers résultats (et les liens associés) de chaque page ne sont pas pertinents... (ainsi, je n'arrive plus à retrouver FUTURA SCIENCE par Google...

C'est trèèèèèèèèès agaçant..

Le PC de mon fils est connecté sur mon router (via wifi) - et sur son pc, aucun problème: GOOGLE fonctionne normalement...

Je présume donc que mon pc est infecté.

Après 3 nuits (quasi blanches...) de recherches sur le net, la seule anomalie a été détectée par a-squared, qui me signale l'existence du troyen Trojan-Clicker.Win32.Agent.hz - pour lequel il n'a aucune description...

Je n'ai rien trouvé sur le site secuser.com, les logiciels sophos et virusrescue n'ont pour leur part rien détecté.

Je n'ai trouvé aucune info sur le net -si ce n'est la date d'apparition du virus (le 10 octobre 2006 en Corée...) et quelques alias (adclicker-CJ, trojan-clicker.win32.agent.cr, etc).

Aucun logiciel ne fournit de méthode de désinfection - ni du retse de descripton précise des effets du troyen..

Je me demande donc.si mes problèmes avec GOOGLE y sont liés.

Quelqu'un a-t'il déjà rencontré ce problème ?

D'avance merci...
-----

[invitec35bc9ea]

bonsoir,
fais ceci, et attends le passage de Cyrrus, Igor, ou Synthexe.
bonne chance

[invite275db609]

Bonjour a tous les 2

Merci einstein d'orienter plurielle ...
Plurielle, suis la procédure indiquée par einstein, on passera ensuiite de dire quoi faire pour te débarasser de ton infection ...
Merci d'avoir détaillé tes symptomes, ca nous aide deja a cerner un peu le probleme

Bonne journée ...

[invite824adc59]

Un grand merci pour le coup de main... : - )

Bon alors j'ai suivi la procédure. J'ai effectué un ccleaner, ensuite avg antispyware.

J'ai noté qu'à ce stade, mes problèmes avec les moteurs de recherche étaient résolus (les liens n'étaient plus vérolés). J'ai quand même lancé hijackthis (les problèmes s'étaient intensifiés ce we: chargement du pc impossible une fois sur deux)

Les rapports sont ici:


Que dois-je faire maintenant? (en attendant votre réponse, je fonce lire le dosseir sur la protetcion d'un pc...

D'avance merci à tous ... : - )

[A voir en vidéo sur Futura]

[invite275db609]

Bonjour

Tu es effectivement infecté.

La procédure est longue car très détaillée, lis la bien jusqu'au bout pour bien comprendre tout ce que tu auras a faire.
Si tu as la moindre question avant de te lancer, pose la, n'hésite pas ...
Si tu n'as pas de questions, suis bien la procédure en entier, en pas a pas, et si tu ne trouves pas quelque chose, ce n'est pas grave, mentionne le juste dans ta prochaine réponse apres avoir fini entierement la procédure.
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 2, gratuits et performants :
Tu as par exemple zone alarm, parefeu gratuit et performant :
*Téléchargement de ZoneAlarm :http://www.zonelabs.com/store/conten...&ctry=&lang=fr
*Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1
Tu as aussi Kerio Personnal Firewall très bon et gratuit aussi :
*Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
*Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Désinstalle par Ajout/Suppression de Programmes les programmes suivants (si présents) :
VirusRescue

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

*Télécharge clean.zip de Malekal_Morte ( http://www.malekal.com/download/clean.zip ), décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

• Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
• Dézippe la totalité de l'archive smitfraudfix.zip
  Utilisation ----- option 1 - Recherche :
• Double clique sur smitfraudfix.cmd
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
• Poste le rapport dans ta prochaine réponse.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Redémarre en mode sans echec ...

• Cliques sur Démarrer --> Exécuter
• Saisis : Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant:
  vrsvc (peut-etre Virusrescue aussi)
• Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
  puis déroule le Type de Démarrage pour le modifier en Désactivé
• Clique sur Appliquer puis OK
• Lance Hijackthis, choisir Open the Misc.Tools section
  la fenêtre "Configuration" va s'ouvrir
• Clique sur Delete a NT service...
  la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entre dans la zone de dialogue :
  vrsvc
  Note : assures-toi de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  Clique NO

Relance hijackthis et clique sur Do a System Scan Only
Coche les lignes suivantes (si présentes) :

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\pv\Bureau\10292119.dl l (file missing)
O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\mirc.exe
O4 - HKLM\..\Run: [VirusRescue] C:\Program Files\VirusRescue\VirusRescue. exe /s
O23 - Service: vrsvc - Unknown owner - C:\Program Files\VirusRescue\vrsvc.exe

Ferme tous les programmes ouverts, sauf hijackthis et clique sur Fix Checked

*Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Cherche et supprime les fichiers suivants (en gras), si présents :

C:\Documents and Settings\pv\Bureau\10292119.dll <-- le fichier
C:\WINDOWS\system32\mirc.exe <-- le fichier
C:\Program Files\VirusRescue <-- le dossier complet
C:\WINDOWS\service32.exe <-- le fichier

Redémarre en mode normal.

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi les rapports suivants :

• clean
• smitfraudfix option1
• blacklight
• kaspersky
• un nouveau rapport hijackthis

Qu'en est-il de tes dysfonctionnements ? As-tu toujours des problemes ?

[invite824adc59]

merci beaucoup, Synthexe ...

Bon je vais me lacer, ça risque de prendre du temps.

J'ai un mal fou à démarrer le pc - en fait j'ai dû désinstaller en mode sans echec le logiciel avg antispyware, car il me signalait au chargement la présence d'un malware et le pc se bloqait à ce stade (clavier et souris mortes...)

Bon je croise les doigts en espérant arriver au bout de la procédure sans encombres...


encore merci!

Dès que j'ai fini, je poste les fichiers demandés.

[invite824adc59]

!!!!!!!!!! problèmes !!!!!!!!!

Bon, j'ai commencé à suivre ce que Synthexe m'a indiqué.

J'ai installé zonealarm.

Je peux déjà fournir les 2 premiers rapports (blacklight et smitfraudfix) - je vais d'ailleurs déjà les mettre en annexe, pour le cas où je n'arriverais plus à me connecter de mon pc...

Le problème que je rencontre est le suivant: après smitfraudfix, il faut démarrer en mode sans échec, executer services.msc, aller en mode étendu puis cliquer sur VRSVC.

Or VRSVC ne fait pas partie de la liste !!!!!!!!!!!!!!!!!!

Je ne peux donc cliquer dessus...

Je fais quoi ?? je passe directement à l'étape hihijackthis ??

merci déjà pour les infos que vous me donnerez...


Autre souci (mineur, pour l'instant... ): depusi que zone alarm est installé, je ne sais plus me connecter à msn messenger (en fait au démarrage zonealarm me signale que msn messenger veut se connecter et agir comme un serveur. Quelle que soit la réponse, zonealarm se bloque, et une fois sur deux le démarrage du pc aussi, car j'ai tout le temps un sablier, et la souris et le clavier ne répondent plus - tout à l'heure j'ai attendu 1/2 heure, rien n'avait changé - donc comme el système était planté, j'ai dû arrêter le pc en poussant sur le bouton.......)

C'est grave, docteur ?

Bon, merci encore pour le coup de main, parce que làà je nage.........

[invite824adc59]

bon, j'ai oublié de poster les deux premeirs rapports. Les voici:

[invite824adc59]

voici l'autre

[invite824adc59]

bon je n'y arrive décidement pas, je vais donc faire un copier-coller:


Log supprimé et mis en pièces jointes.

yoda1234.

[invite275db609]

Bonsoir

Tu avais bien démarré ... comme dit au début de la procédure, il faut la faire en entier, recommence tout (sauf smitfraudfix et blacklight) et ce que tu ne trouve pas, laisse le de coté et mentionne le, une fois la procédure terminée et les rapports postés ... (pense bien a faire les opération en mode sans echec depuis le .... mode sans echec ...)

On recommence, bon courage

[invite824adc59]

Bon, voici les fichiers demandés, qui contiennent les analyses clean, kaspersky et hijackthis:

[invite824adc59]

bon, j'ai eu des problèmes de format..

j'envoie le suivant:

[yoda1234]

Bonjour,

tu as oublié le rapport HJT.

[invite824adc59]

désolée, j'ai de gros problèmes pour me connecter sur le net (et rester connectée plus de 10 secondes...), à cause du firewall zonealarm (là il ne tourne pas... je suppose qu'il est simplement mal paramétré, enfin je verrai plus tard, le plus urgent est de résoudre ce problème de virus)

voilà donc le rapport hijackthis

encore un tout grand merci à l'équipe...

[invite275db609]

Bonjour plurielle Yoda

plurielle, je t'ais mis dans les liens sur Zone Alarm un tutorial a suivre pour bien le configurer ...
Je n'ais pas le temps de te rédiger une procédure maintenant, mais je repasserais ce soir ...

Bonne apres-midi

[invite824adc59]

bon, je ne sais pas si j'ai bien fait, mais je viens juste de terminer un scan online avec bitdefender... ce qui m'a donné le rapport ci-annexé...

[invite824adc59]

pour être complète, j'ajoute que j'ai aussi installé service pack 2, antivir et ad-aware.. pour le firewall je crois que je vais installer kerio...

[invite275db609]

Bonsoir plurielle

Très bon boulot de ta part, le rapport hijackthis est super propre ...

Redémarre en mode sans echec ...

Lance hijackthis et clique sur Do a System Scan Only.
Coche et fixe la ligne R3.

Tu peux supprimer les 2 fichiers suivants (si présents), a partir du mode sans echec :
C:\WINDOWS\22797114116.exe
C:\WINDOWS\scrss32.dll

Vide la corbeille, ainsi que la quarantaine de A-Squared ...

Lance CCleaner comme demandé dans la procédure de pré-nettoyage ...

Tu peux supprimer les programmes suivants :
¤ clean
¤ smitfraudfix
¤ blacklight

Fais un dernier petit scan kaspersky pour s'assurer que tout c'est bien passer, et on pourra en finir avec les conseils de sécurité ...

Poste moi le rapport Kaspesky ...

Bonne soirée

[invite275db609]

Je viens de m'apercevoir que dans ton rapport hijackthis, il n'y a aucun antivirus ....
J'espere que tu as bien installé avast comme tu l'as dis le post suivant ...

Bonne soirée

[invite824adc59]

merci, Synthexe...

mais bon là j'ai pas tout suivi: je fais un Clean en mdoe sans echec... ok ... mais hijackthis et kaspersky ? aussi en mode sans echec ??? (kaspersky je suppose que non mais hijackthis ??)

[invite824adc59]

euh non je reprends... donc:

1° hijackthis en mode sans echec
2° cclean en mode sans echec
3° kaspersky ?? pas en mode sans echec, je suppose ??

... et encore merci pour le coup de main... : - )

[invite275db609]

non non, le rapport hijackthis en mode normal stp et kaspersky aussi evidemment

[invite824adc59]

attends , là je suis perdue...

dans le post 19, tu disais qu'il fallait démarrer en mode sans echec puis lancer hijackthis

Là tu le dis de le faire en mode normal ??


euhhhhh je fais quoi, alors ?

[invite275db609]

Oui, c'etait pour fixer la ligne et passer CCleaner ...
Mais si tu ne l'a pas fait, ce n'est pas grave, fixe la en mode normal et poste moi les 2 rapports stp ... en mode normal ...

Encore des questions ? Dis moi, n'hésite pas si tu ne comprends pas encore quelque chose ...

Bonne nuitée

[invite824adc59]

Bon, voilà le rapport Kaspersky...

Apparemment le scan en ligne indique un virus (trojan-spy ?) et 2 fichiers infestés...

Je me demande s'il s'agit d'un nouveau cheval de troie, ou c'est un ancien qui n'a pas été enlevé ...??

Encore merci à l'équipe, et plus spécialement à Synthexe...

[invite824adc59]

bon, je vois que le rapport n'est pas joint ... je recommence donc..

[invite824adc59]

Bon, si j'ai bien lu le rapport kaspersky, le virus se trouve dans les mails supprimés d'outlook express... je viens donc de vider ce dossier...

Par ailleurs je me souviens avoir décoché une case au sujet des controles activex, pour pouvoir exécuter je ne sais plus quel logiciel d'analyse en ligne de mon pc.. (logiciel qui demandait qu'on accepte le contrôle activex - message que je n'ai jamais eu vu la valeur décochée sur mon pc...)

Bien sûr je n'arrive plus à retrouver ni l'endroit où on peut modifier les activex, ni la ligne qu'il faut cocher/décocher

Question: quand on modifie quelque chose à ce niveau, est ce qu'au chargement suivant du pc, tout se réinitialise ? ou faut-il que j'essaie de retrouver ce que j'ai modifié ?

[invite275db609]

Bonjour plurielle

Beau travail, félicitations ... tu as bien fait de supprimer ces 2 fixhiers, la machine a l'air toute propre maintenant

Alors, tu peux maintenant supprimer tous les programmes que je t'ais fait télécharge, ainsi que tous les rapports, tu peux conserver 2 de ces programmes pour faire des scans 1 fois pas semaine :
AVG-AS et CCleaner, supprime tout le reste de ce que je t'ais fait télécharger ...

On va, maintenant que le pc a l'air désinfecter, nettoyer la restauration systeme :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."
  Et voila, un nouveau point de restauration qui est a priori propre

Je te conseille de lire le tres bon dossier de Futura sur la protection d'un ordinateur personnel de JPL, il y a beaucoup a apprendre ... et a mettre en oeuvre pour sécuriser sa machine ...

Bonne journée et @u plaisir

PS : pour ta question, tu trouveras les options des ActiveX ici :
Internet Explorer --> Outils --> Options Internet --> Sécurité --> Personnaliser le niveau

[invite824adc59]

Bon voilà c'est fait, le point de restauration a été nettoyé/modifié

Mon pc est tout propre, tout net, et en plus il est maintenant équipé de SP2, d'un firewall, d'un anitvirus et de 2 antispyware... ) plus question de me faire ré-infecter !! : - )

Une tout grand merci à l'équipe antimalware, tout spécialement à Synthexe... )) Sans vous, rien n'aurait été possible, j'en aurais été réduite à réinstaller windows...


Merci Merci Merci ....