Bonjour à tous !
 
Je viens vous trouver car j'ai un soucis que je n'arrive pas a régler.
JE me suis fait infecter par Security Tools (ça change) et je l'ai virer dans les dossier, la base de registre, au démarrage puis fini avec Removal Tools for Security Tools.
 
Apparement ça a l'air OK, mais depuis impossible d'accéder à google. le "ping google.fr" me donne comme réponse (après 2 bonnes minutes d'attentes) :  
La requête Ping n'a pas pu trouver l'hôte google.fr. Vérifiez le nom et essayez à nouveau.
Et lorsque je veux accéder au site, j'ai l'erreur :
Petit problème... Internet Explorer n'est pas parvenu à trouver la page www.google.fr.
 
Sinon je peux acceder à tout les autres sites en tapant leur URL.
 
J'ai également remarqué que CCleaner et stinger étaient ralenti pendant leur recherches.
 
J'ai fait : spybot, ccleaner, stinger, malwarebytes, bitdefender en ligne, rien n'y a changer.
 
Mon fichier hosts ne comporte aucune ligne anormale.
 
Résultat, je sais plus quoi faire
 
Si quelqu'un à une idée, ou même une solution, je l'attend impatiemment !
 
Merci à vous

Quand tu fait le ping sur google.fr normalement il doit te donner une adresse IP. Quelle est cette adresse ? Est-la bonne adresse de google.fr ou une fausse.
Le virus/malware que tu as chopé à pu changer les parametres de host de ta machine manuellement.
Dans le bloc notes windows, ouvre le fichier hosts (sans extension) qui se trouve dans "c:\windows\system32\drivers\etc"
Regardes si ta pas une ligne google et une ip qui lui est associée. Si il y en a une supprimes la et sauvegarde le fichier.
Normalement ça doit refonctionner.

Lorsque je fait le ping sur google.fr j'obtiens ça :

 
 
Quand au fichier hosts il est correct, puisqu'il contient ceci :  
 

 
C'est pour ça que je sais plus ou chercher ni quoi faire

Fait un "ipconfig/flushdns" (pour nettoyer le cache du dns)
et retentes la connexion via IE et puis fait un ping pour voir ce que ça donne.
 
Essayes de voir si dans IE cette adresse IP te donnes quelque chose : http://66.249.92.104/

Au fait c'est quoi la dernière ligne de ton fichier hosts ?
::1 localhost
moi je suis sous XP donc je sais pas si quelque chose à changé dans le hosts pour vista/7. Tu es sur vista ou seven.
 
En tout cas si http://66.249.92.104/  te raménes sur google alors c'est que tu as un problème de dns (le lien entre le nom et l'ip d'un serveur). Ce qui est étrange est que les autres sites se connectent correctement.
 
Vu que tu avais un malware (security tool) fais une recherche de "google" dans la base de registre et regardes si il y a pas quelque chose de louche
genre google correspondant à une adresse IP par exemple.

Pas de changement après le flushdns
 
Par contre ton adresse IP m'amène bien sur la page d'accueil de google, mais si je lance une recherche j'obtiens toujours la meme erreur, page inaccessible
 
et je suis sous 7, cette ligne je l'ai toujours vu donc je sais pas

pour être sur, fait un ipconfig /displaydns
ça fait la liste du cache dns, si tu as du monde dedans fait un ipconfig /flushdns (normalement ça vide)
puis refait un ipconfig /displaydns pour voir si la liste à bel et bien été purgée (normalement il reste les site qui sont en dur dans le fichier host).
 
Petite question mais qui peut avoir son importance, tu es connecté en direct sur un box via wifi cable ect... ou bien la conneixon est partagée via un autre PC ? (sinon faudrait faire un display flush display sur le PC qui partage la connexion également)

Non je suis connecter directement sur ma box en wifi.
 
Le ipconfig /displaydns me sort :
 

Je vais la jouer IT Crowd sur ce coup la ! :
"Allo Service info ! Vous avez essayé en redémarrant l'ordinateur ? Bon ben allez y !"
 
Bon blague à part, je nage un peu sur ce problème :
 
- ipconfig/flushdns
- supression du cache des navigateur IE et FF
- REBOOT DU PC
- Reconnexion sur google.fr
Si ça marche toujours pas :
Vu que tu avais un malware (security tool) fais une recherche de "google" dans la base de registre et regardes si il y a pas quelque chose de louche  
genre google correspondant à une adresse IP par exemple (faut faire attention à pas supprimer n'importe quoi non plus )
 
- Reconnexion sur google.fr
 
Si ça marche c'est bien, si ça marche pas c'est pas bien (parce que la je sèche).

Bon bah rien trouver de spécial dans regedit
 
Est ce que ça pourrait venir d'un service ?
Parce que j'ai désactiver deux services qui avait des noms bizarre, jpense pas que ça soit ça mais bon.
Les services c'était "3o7931Aa" et "93yW93y7931793"
Je pense que c'est Security tool qui m'a foutu ça.

En tout cas, si j'avais eu des service avec ce nom la je l'ai aurais dégagé aussi.
A vrai dire j'ai un de mes utiliateurs qui à chopé le même malware sur son PC perso et ça lui a foutu une belle merde.
 
Je sais que c'est chiant comme la lune lol mais si tu as sauvegardé tes données, mot de passe ect... faudrait peut être reformater et tout réinstaller.
Je sais que c'est chiant et je deteste arriver à ce genre de conclusion, digne d'un réparateur du dimanche (je plaisante je ne veux vexer personne LOL).

Ça peut avoir l'air con, mais est-il possible que google soit verouillé dans le firewall de la box ADSL ? Ou dans le firewall de seven ?

Le service "client DNS" est bien démarré ?  
A la limite, l'arreter puis faire un ipconfig/flusdns puis relancer le service.

C'est vrai que formater ça me ferais vraiment chier, mais bon si on doit en arriver la bah tant pis, mais j'aimerais m'en passé quand meme
 
Pour les firewall des box j'ai essayer sur 2 différentes et j'avais le même problèmes. La j'ai désactivé celui de windows et toujours pareil.
 
Sinon pour le client DNS j'y avais pensé, mais le redémarrer n'a rien changer

bonsoir
as tu regardé du coté du fichier "hosts" ? si il n'y aviat pas un : 127.0.0.1         www.google.com
 
on peut faire une analyse complète de ton système ,si tu es d'accord fais ceci:
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

ne colle pas le rapport complet sur ce forum ,c'est interdit
 
note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr

Non, rien d'anormal dans le fichier host.
 
Pour le rapport de ZHPDiag, le voici :
http://www.cijoint.fr/cjlink.php?f [...] 5CHomQ.txt

bonjour

j'aimerais vérifier un point au sujet d'une éventuelle infection par support amovible,fais ceci Stp:

Ferme toutes tes applications et enregistre le travail en cours.

Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisi l'option 1 (recherche)
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

  * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

J'aurais bien voulu le faire mais je trouve plus ma clé USB
Sinon le reste crains rien ça fait un bon moment que je les ai pas brancher sur ce PC.
Je fais ça dès que je retrouve ma clé

bonsoir
 
fais le quand même Stp, juste pour vérifier le PC au niveau des autorun...

Dès que je retrouve ma clé je fais ça
 
Bon sinon j'ai quand meme essayer d'autres moteur de recherche au cas ou.
Google HS mais google maps OK, Bing HS, Yahoo le site OK mais les recherches HS, Voila OK
 
Donc moi pas comprendre

tu peux le faire(usbFix) même sans la clé,car en fait c'est d'abord le PC que je veux contrôler
ne fais que la recherche pour l'instant ,il n'est pas sûr qu'il y ait des fichiers infectés

autre chose utilises tu ou as tu utilisé un proxy?

Voila le rapport de UsbFix :
http://www.cijoint.fr/cjlink.php?f [...] 9NzqGM.txt  
 
 
Et oui j'ai utilisé un proxy, quand je suis à l'IUT.

bonjour
 
Pas de problème sur le rapport USBFix
 
par contre il y a encore une trace de malware (certainement le security tool)
 
note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône  
soit à partir du raccourci sur le Bureau si ZHPDiag a été fermé
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Copie toutes les lignes ci dessous:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
OPT:O23 - Service: IPX Interface via WinSock (adptif32) . (.Pas de propriétaire - Pas de description.) - ll32.exe (.not file.)
O43 - CFD:Common File Directory -SH-D- C:\ProgramData\Desktop    
 
(Ctrl+A pour tout sélectionner, Ctrl+C pour copier) ou avec la souris tout sélectionner, clic droit =>copier
 

• Clique sur l'icône représentant la lettre   (« coller les lignes Helper »)

les lignes se placent  dans la fenêtre de ZHPFix  => tu ne dois voir que celles-là

• valide par" OK"
• Clique sur « Tous », puis sur « Nettoyer »
•  héberge le rapport généré sur cijoint.fr et poste moi le lien fourni

ZHPFix exécuter, voici le rapport :  
 
http://www.cijoint.fr/cjlink.php?f [...] WTM8u1.txt  
 

je suppose que tu as toujours le souci
 
as tu essayé un ping sur les autres moteurs de recherche  
peux tu te connecter aux site des antivirus?
 
je sais bien que les autres sites fonctionnent ,mais là je n'ai plus d'idée
et si tu tentais les commandes de réinitialisation des paramètres de connexion ?
 
netsh winsock reset
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog
netsh int ipv6 reset catalog

Alors j'ai fait toute les commandes, malheureusement sans succès
 
Pour les ping j'ai fait les essais suivant :
ping google.fr -> pas de résultat
ping bing.fr -> envoie d'une requete, délai d'attente dépasé
ping voila.fr -> OK
ping yahoo.fr -> OK
 
Si on trouve pas reste une solution, formater

Bon je pense avoir résolu le soucis, j'ai virer un fichier qui s'appelait "555w5.sys" et depuis google refonctionne
 
Ce fichier contenait les lignes suivantes :  
 

 
J'ai trouver ce fichier car depuis hier je me prenais des écran bleu, mais je voyais pas ce qu'il indiquait car j'était jamais devant à ce moment.
Alors la je l'ai provoquer et j'ai attendu.
Et le BSOD indiquait ce fichier, donc je suis aller le chercher et j'ai vu qu'il avait été créé lors de mon infection donc vala

bonjour
 
Bravo !
 
tu peux refaire un ZHPFix et fixer cette ligne que je n'avais pas vu,c'est un reste de désinfection
 
O64 - Services: CurCS - (.not file.) - s555u (s555u)  .(.Pas de propriétaire - Pas de description.) - LEGACY_S555U  
 
pour des raisons de sécurité pense à mettre à jour ta version de java , la dernière est la 6 update 22

Ok, je vais faire ça pour finir alors
 
Merci encore pour votre aide !