Moteur Google infecté: Suis-je le seul ???
Le
JyM
Salut au groupe
J'ai déjà posté des questions sur une infection du moteur Google,
apparemment personne n'a la réponse, et peu de gens sont touchés.
Apparemment, les anglo-saxons sont nettement + touchés (cependant je n'ai
pas trouvé de remède pertinent dans les groupes anglophones).
Symptômes:
Lors d'une recherche avec Google, les résultats de la recherche sont
redirigés vers d'autres sites, ou d'autres moteurs, à vocation commerciale
ou porno.
Aucun AntiSpyware ne décèle d'anomalie, SpyBot / AdAware / HiJackThis / MS
Windows Defender / etc
Aucun commentaire sur les sites Google.
Qui aurait enfin une piste ???
Merci
J'ai déjà posté des questions sur une infection du moteur Google,
apparemment personne n'a la réponse, et peu de gens sont touchés.
Apparemment, les anglo-saxons sont nettement + touchés (cependant je n'ai
pas trouvé de remède pertinent dans les groupes anglophones).
Symptômes:
Lors d'une recherche avec Google, les résultats de la recherche sont
redirigés vers d'autres sites, ou d'autres moteurs, à vocation commerciale
ou porno.
Aucun AntiSpyware ne décèle d'anomalie, SpyBot / AdAware / HiJackThis / MS
Windows Defender / etc
Aucun commentaire sur les sites Google.
Qui aurait enfin une piste ???
Merci
Poser une question
Pas plutôt un truc englué dans InterNUT Expl'horreur?
Pense que oui moi...
::)
Les WASPs ont des problème ?
Donne des exemples...
HijackThis : MDR : ça ne détecte rien tout seul...
::)
Envoie ton log de HJT ici pour voir
--
Claude LaFrenière :-{ mvp
http://climenole.wordpress.com/
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
Logfile of HijackThis v1.99.1
Scan saved at 22:03:33, on 24/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsoundman.exe
C:Program FilesWindows DefenderMSASCui.exe
C:PROGRA~1CAETRUST~1realmon.exe
C:Program FilesCAeTrust AntiviruseAVTrial.exe
C:Program FilesHPDigital Imagingbinhpqtra08.exe
C:Program FilesCAeTrust AntivirusInoRpc.exe
C:Program FilesCAeTrust AntivirusInoRT.exe
C:Program FilesCAeTrust AntivirusInoTask.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesHPDigital ImagingbinhpqSTE08.exe
C:WINDOWSsystem32wdfmgr.exe
C:WINDOWSSystem32alg.exe
C:JobsJobsDesign_060403.exe
C:WINDOWSsystem32ntvdm.exe
C:WINDOWSexplorer.exe
C:Program FilesOutlook Expressmsimn.exe
D:ArchivesProgrammeshijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.archistructures.org/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.archistructures.org/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O4 - HKLM..Run: [SoundMan] soundman.exe
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows
DefenderMSASCui.exe" -hide
O4 - HKLM..Run: [Realtime Monitor] C:PROGRA~1CAETRUST~1realmon.exe -s
O4 - HKLM..Run: [eAVTrial] C:Program FilesCAeTrust
AntiviruseAVTrial.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program
FilesHPDigital Imagingbinhpqtra08.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates
International, Inc. - C:Program FilesCAeTrust AntivirusInoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer
Associates International, Inc. - C:Program FilesCAeTrust
AntivirusInoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer
Associates International, Inc. - C:Program FilesCAeTrust
AntivirusInoTask.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
1)
Effectivement: aucun malware là-dedans...
2)
Cependant tu as 6 svchost...
N'aurais-tu pas des services démarrés inutilement sur ton PC?
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
3) Ton système a déjà planté...
Y a-t-il des erreurs signalées dans le gestionnaire des périphériques?
Démarrer | exécuter | devmgmt.msc
Explication des codes d'erreur générés par le Gestionnaire de périphériques
http://support.microsoft.com/Defaul...?kbid10123
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
4) pour les redirections intempestives avec Google pourrais-tu faire ceci:
a) une copie d'écran du navigateur et de l'adresseutilisée
et le résultat (le site rediruigé)
Avec ceci par exemple:
http://www.mirekw.com/winfreeware/mwsnap.html
et cela:
http://cjoint.com/
b) essayer avec un autre navigateur pour voir si ça donne la même chose.
5) Vérifie le fichier HOSTS: il se pourrait que la source du problème soit
là. Le fichier doit contenir au moins cette ligne:
127.0.0.1 localhost
s'il y a des ligne NON précédées par 127.0.0.1
efface-les.
Aussi utilise le fichier HOST des MVPs anglophones:
http://www.mvps.org/winhelp2002/hosts.htm
avec ceci aussi pour te faciliter les choses:
Hostsman
http://hostsman.abelhadigital.com/
A+
:)
--
Claude LaFrenière :-{ mvp
http://climenole.wordpress.com/
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
Mes réponses à tes questions:
2) Sans doute, il y a du ménage à faire (comment savoir de quels services il
s'agit? Msconfig ??)
3) Pas d'erreurs signalées dans les périph. Par contre, j'ai de fréquents
plantages avec l'explorateur (gel de la fenêtre), il faut que je me penche
sur la question.
4) J'ai lancé une recherche Google, et fait 2 captures qui sont là:
http://www.archistructures.org/fichiers.htm
La cap01 montre l'adresse recherchée dans la fenetre, et l'adresse redirigée
dans la barre des taches.
La cap02 montre le site redirigé (jamais le même).
A noter:
- L'adresse IP est toujours la même (85.255.117.4)
- Il suffit de recliquer sur OK pour que la page recherchée s'affiche
correctement
- Le problème est le même avec d'autres moteurs (Yahoo par ex.)
- J'ai trouvé quelques rares discussions sur ce même problème dans le groupe
IE6, mais aucune réponse pertinente
- Dans certains forums US, on fait remarquer que ce problème, relativement
anodin, peut devenir grave car de nombreux liens des pages redirigées mènent
à des programmes infectés.
5) Mon fichier Hosts est clean
Alors, docteur Claude ??
A +
"Claude LaFrenière" news: 1lm80vhhlppo7$
Ces 2 lignes m'intriguent...
Connais tu le programme JobsDesign_060403.exe ?
Pour la deuxième, cela indique que tu avais surement
un programme "DOS" 16 bits en cours d'exécution.
Est-ce voulu ?
Vérifie donc ces 2 points.
D'autre part, j'ai trouvé ton log HJT vraiment très "light".
C'est une machine qui vient d'être réinstallée ? Jette un oeil
sur un possible rootkit avec RootKitRevealer de
www.sysinternals.com
@+
--
~Jean-Marc~ MVP Shell/User Fr
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -