Problème de recherche avec Google

Tout d'abord bonjour à tous. Je suis nouveau et solicite vos lumières, esperant que l'un d'entre vous poura m'aider.
Depuis 2 ou jours j'ai un problème avec google.fr. Lorsque je lance une recherche, google m'affiche les résultat, maus lorsque je cilc sur l'un d'entre eux, ma demande est automatiquement redirigée vers une site sans aucun rapport, souvent des site pour faire des recherche en anglais.
Exemple. je tape sncf dans google , j'ai la page avec les résultats. Et si je vais sur le site de réservation(voyage sncf ) je tombe sur un site de recherche en anglais (costavista.net ) voir d'autre site, parfois X. Cela m'a l'air completement aléatoire.
J'ai fais le ménage dans mes cookies et fichier temp. ( ce que je fais en général 2 à 3 fois par semaine )
J'ai mis à jour mon anti virus, j'ai scanné mon ordi.
Comme le problème semble n'avoir atteint ma session uniquement, je l'ai supprimé pour en créer une nouvelle le problème a cessé pendant 4-5 recherches, et puis hop de nouveau.
Pour finir j'ai scanné mon ordi avec spybot et AD AWARE. ça ma jetté un truc que je n'ai jamais installé sur mon pc ( UnspyPC ).
Je fonctionne sous Xp
Mon anti virus est panda

Mais le problème persiste. .
Tant qu'a éviter une solution radicale je m'adresse d'abord a vous.....!!

???????????

(j'ai posté ce message dans la partie logiciel sans faire attention , je le replace ici je ne suis pas sûr qu'il ait sa place là bas.

salut
clique ici
télécharge hijackthis, fais une première analyse, enregistre le résultat du scan, et poste le ici, on pourra voir s'il ya quelque chose de suspect dans les processus actifs de ton pc

@ plus

Merci déjà.

Alors j'ai fais le scan avec Hijackthis et l'analyse de log en ligne aussi.

Pour l'analyse du log en ligne le programme pointe du doigt les application de Panda antivirus ( notamant il cont les langues : archivo commune = fichiers commune en fait )

sinon le logiciel pointe ceci :

O4 - HKLM\..\Run: [dmrzl.exe] C:\WINDOWS\system32\dmrzl.exe
Eventuellement méchant
Taux de précision: 0,00 % (Résultats)
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier

et ceci :

O17 - HKLM\System\CCS\Services\Tcpip\..\{73AE5D65-8100-41B0-90A4-4B20AFBBDD92}: NameServer = 85.255.116.92,85.255.112.68
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
Effacer si l’IP ou le domaine '85.255.116.92,85.255.112.68' ne vous est pas connu.

J'ai pensé un moment avoir été infecté par un dialeur dans la mesure ou tout les clics sur les pages de recherche de google sont redirigés vers d'autre adresse IP. Pour avoir le bonne page je dois faire un copier coller dans la la barre d'adresse, ou passer par les favorits


Et sinon voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 23:43:09, on 08/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\avciman.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe
C:\Documents and Settings\Benoît\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [dmrzl.exe] C:\WINDOWS\system32\dmrzl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{73AE5D65-8100-41B0-90A4-4B20AFBBDD92}: NameServer = 85.255.116.92,85.255.112.68
O20 - AppInit_DLLs: sockspy.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

[ Ce message a ete modifié par : : Falken le 08-05-2006 23:59 ]


[ Ce message a ete modifié par : : Falken le 09-05-2006 00:00 ]

en vitesse (avant d'aller dormir ) je dirais :

- O4 - HKLM\..\Run: [dmrzl.exe] C:\WINDOWS\system32\dmrzl.exe
Eventuellement méchant
tu le supprimes, puisque "inconnu au bataillon" = suspect

et

O17 - HKLM\System\CCS\Services\Tcpip\..\{73AE5D65-8100-41B0-90A4-4B20AFBBDD92}: NameServer = 85.255.116.92,85.255.112.68
rarement méchant , en général en rapport avec ton FAI, mais je ne cherche plus ce soir
si ça te dit, tu vas sur http://network-tools.com/, tu peux essayer de regarder à qui est attribuée cette plage d'adresses...

@ plus


[ Ce message a ete modifié par : : GrosSabots le 09-05-2006 00:06 ]

Salut!!

Effectivement cela ressemble fort a un dialer....

Fix&check en suivant les indications de Grosabots, puis, je te conseille un petit scan en mode sans echec avec ce logiciel : SPYBOT

Te souhaitant une bonne fin de soirée....

Starz

J'ai supprimé deux fois et c'est revenu deux fois à chaque fois que je vais sur internet.

Je vais moi aussi au dodo. Je repasse demain histoire de voir si on peut cerner le problème.

Concernant les adresse ça donne ça :

TraceRoute to 85.255.116.92

Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net
2 0 1 0 66.98.241.16 gphou-66-98-241-16.ev1.net
3 1 0 0 66.98.240.15 gphou-66-98-240-15.ev1.net
4 1 1 0 38.99.206.177 -
5 3 1 1 66.28.64.61 g0-1.core01.iah01.atlas.cogentco.com
6 6 6 6 66.28.4.97 p5-0.core01.dfw01.atlas.cogentco.com
7 9 9 8 154.54.2.22 p1-0.core01.dfw03.atlas.cogentco.com
8 9 9 9 69.31.63.69 psi.0.so-1-0-1.cr1.dfw1.us.nlayer.net
9 57 53 50 69.22.142.85 0.so-2-1-0.cr1.sfo1.us.nlayer.net
10 52 49 49 69.22.143.2 ge1-1.hr1.sfo1.us.nlayer.net
11 49 48 49 69.22.128.250 atrivo.ge1-4.hr1.sfo1.us.nlayer.net
12 48 49 49 85.255.116.92 -


et ça

TraceRoute to 85.255.112.68

Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net
2 0 0 0 66.98.241.16 gphou-66-98-241-16.ev1.net
3 0 0 0 66.98.240.13 gphou-66-98-240-13.ev1.net
4 2 2 1 129.250.11.137 ge-1-2-0.r02.hstntx01.us.bb.verio.net
5 7 8 6 129.250.5.30 unknown.r20.dllstx09.us.bb
6 8 10 9 129.250.2.185 p16-3-0-0.r01.dllstx09.us.bb.verio.net
7 12 10 9 208.173.178.153 dpr1-so-1-2-3.dallasequinix.savvis.net
8 11 9 9 204.70.194.66 dcr1-so-1-1-0.dallas.savvis.net
9 11 12 12 208.172.131.81 dcr1-so-3-3-0.dallas.savvis.net
10 21 11 21 204.70.192.69 dcr2-so-6-0-0.atlanta.savvis.net
11 21 20 21 204.70.192.41 dcr1-as0-0.atlanta.savvis.net
12 21 45 23 204.70.192.41 dcr1-as0-0.atlanta.savvis.net
13 44 46 45 204.70.192.34 bcs2-so-7-0-0.washington.savvis.net
14 51 49 45 204.70.192.34 bcs2-so-7-0-0.washington.savvis.net
15 51 49 50 204.70.192.2 bcs2-so-2-0-0.newyork.savvis.net
16 51 41 49 204.70.193.29 mar1-pos-6-0.newyorknyd.savvis.net


Mais je sai spas vraiment à quoi ça peut bien correspondre
[ Ce message a ete modifié par : : Falken le 09-05-2006 00:24 ]


[ Ce message a ete modifié par : : Falken le 09-05-2006 00:26 ]

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI "status:" definitions
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: NON-REGISTRY
remarks: *************************************
remarks: * Abuse contacts: abuse@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: support@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered

person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +357 99 117759
e-mail: support@fwebhost.com
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered

ça vient de tes copains ukrainiens !

j'ai fait un "whois" chez http://www.ripe.net/

Tu vas essayer la manip suivante :
- redémarrer en mode sans échec (touche F8 à l'allumage du PC)
- nettoyer ta bécane avec l'utilitaire ci-dessous :


Hitman Pro n'a absolument rien à voir avec le jeu du même nom. Il s'agit en fait d'un anti-spyware dont la particularité est d'automatiser l'exécution des anti-spyware les plus connus (Ad-Aware SE 6.2, Webroot SpySweeper 3, Spybot Search & Destroy 1.3, SpywareBlaster 3.2, McAfee Stinger)

clique ici, Hitman

@ plus

Salut.
J'ai suivit la manip comme indiqué en mode sans echec. Hitman a juste localiser un truc nommé Pipa.as.

Le troyen semble revenu sous un autre nom :

O4 - HKLM\..\Run: [dmvoc.exe] C:\WINDOWS\system32\dmvoc.exe
Eventuellement méchant
Taux de précision: 0,00 % (Résultats)
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier.

J'ai ensuite suivit la manip proposée par Glad concernant le Worm 32 je crois .
Donc téléchargé ewido et Cclean, puis effectuer les scan sous xp sans échec.
Il semble que ce soit revenu à la normal je croise les doigts
Je vais donc testé pendant un moment pour voir et je vous tiens au jus.




[ Ce message a ete modifié par : : Falken le 09-05-2006 12:33 ]


[ Ce message a ete modifié par : : Falken le 09-05-2006 12:34 ]

A prioris , après une petite demi-journée de test tout est revenu à la normale.
Les recherche sur google s'effectue correctement.

Un grand merci a vous !!!!! cette mésaventure m'a en plus permis de découvrir un forum sympatique. Alors c'est encore mieux.

Bonjour à tous !!

Alors je relance ce topic parce que j'ai vu quelque chose qui m'a impressioné. J'essaie de comprendre comment marche http://network-tools.com/ mais je n'y arrive pas.

J'administre un forum, et le seul truc que j'ai réussi à faire avec network et les IP des utilisateurs et invités, c'est repérer les googlebots..

Je voudrais savoir. Comment faire pour avoir des indices sur la personne dont on a l'IP (localisation, ...) parce que j'ai eu des problèmes de piratage de comptes et je voudrais savoir d'où ça vient...

Merci ^^