redirection idésirable vers un site "webcry"

[douchou]

bonjour à tous,
lorsque je clique sur un lien sur un site de recherche (google ou msn par exemple), au lieu d'être connecté au site voulu, je suis redirigé vers un autre site qui s'appelle "www.webcry.com" et une fenêtre "ads.maxecpm.com" s'ouvre n'affichant que "404" sur page vierge. Ensuite une page avec des liens pour sites pornographiques.
j'ai fait toutes les analyses (antispyware, antivirus, ...) et je n'ai plus aucun élément affecté sur l'ordinateur, mais le problème persiste.
Que dois-je faire.
Merci à tous ceux qui velent m'aider, j'en ai vraiment besoin, surtout pour protéger mes enfants.

 

[moldar]

Il y a quoi dans ton fichier "hosts" (tape hosts dans l'interface de recherche) ?

 

[Grosbourge]

donne le lien qu'on teste pour voir si sa vient pas du site lui meme

 

[douchou]

hosts, hosts.ics, hosts.msn et lmhosts (fichier SAM) situés dans C:\WINDOWS\system32\drivers\etc

 

[douchou]

ça se produit quand je clique sur n'importe quel lien

 

[moldar]

Nan mais ça je sais où il se trouve, ce que je veux savoir c'est ce qu'il y a écrit dedans (fichier hosts tout court)

 

[douchou]

127.0.0.1 easywarez.com www.easywarez.com ftp.easywarez.com update.easywarez.com support.easywarez.com warezspot.com www.warezspot.com #fwav
127.0.0.1 www.warezspot.com ftp.warezspot.com update.warezspot.com support.warezspot.com freegirlfun.com www.freegirlfun.com ftp.freegirlfun.com #fwav
127.0.0.1 ftp.freegirlfun.com update.freegirlfun.com support.freegirlfun.com 204.177.92.193 www.204.177.92.193 ftp.204.177.92.193 update.204.177.92.193 #fwav
127.0.0.1 update.204.177.92.193 support.204.177.92.193 204.177.92.198 www.204.177.92.198 ftp.204.177.92.198 update.204.177.92.198 support.204.177.92.198 #fwav
127.0.0.1 support.204.177.92.198 free-memberships.net www.free-memberships.net ftp.free-memberships.net update.free-memberships.net support.free-memberships.net warezdownloads.info #fwav
127.0.0.1 warezdownloads.info www.warezdownloads.info ftp.warezdownloads.info update.warezdownloads.info support.warezdownloads.info easydownloads.net www.easydownloads.net #fwav
127.0.0.1 www.easydownloads.net ftp.easydownloads.net update.easydownloads.net support.easydownloads.net fullversion.com www.fullversion.com ftp.fullversion.com #fwav
127.0.0.1 ftp.fullversion.com update.fullversion.com support.fullversion.com wareztitan.com www.wareztitan.com ftp.wareztitan.com update.wareztitan.com #fwav
127.0.0.1 update.wareztitan.com support.wareztitan.com myddl.com www.myddl.com ftp.myddl.com update.myddl.com support.myddl.com #fwav
127.0.0.1 support.myddl.com shadow-software.com www.shadow-software.com ftp.shadow-software.com update.shadow-software.com support.shadow-software.com easywarez.com #fwav
127.0.0.1 easywarez.com www.easywarez.com ftp.easywarez.com update.easywarez.com support.easywarez.com warezspot.com www.warezspot.com #fwav
127.0.0.1 www.warezspot.com ftp.warezspot.com update.warezspot.com support.warezspot.com warez-vortex.net www.warez-vortex.net ftp.warez-vortex.net #fwav
127.0.0.1 ftp.warez-vortex.net update.warez-vortex.net support.warez-vortex.net ultradownloads.com www.ultradownloads.com ftp.ultradownloads.com update.ultradownloads.com #fwav
127.0.0.1 update.ultradownloads.com support.ultradownloads.com #fwav

 

[douchou]

c'est tout ce qu'il y a écrit dans mon fichier hosts

 

[moldar]

C'est bien ce qu'il me semblait
Tu peux tout supprimer et seulement laisser :
127.0.0.1 localhost

Redémarrer et passer un coup d'antivirus/antiwarez/antirouille/antispyware

 

[douchou]

j'ai essayé, mais ça n'a pas marché
j'utilisais IE et maintenant que j'ai installé firefox le problème et résolu.
merci infiniment pour votre aide.

 

[moldar]

Quand tu as redémarré ton fichier hosts s'est rerempli ou pas ?

 

[yermat]

colle ici un post hijackthis

Vous devez être connecté pour voir les liens.

enfin si tu arrives à aller sur le site

 

[badcamp]

bonsoir, j'ai également le meme probleme, je poste le log d'Hijackthis pour vous aider

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:59, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\e-buro.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\system32\fdewhbol.exe
C:\Program Files\Equant\Dialer\EACSvrMngr.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\quickres.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by e-buro
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: (no name) - {060B775B-7D35-47B2-B048-B542EADBC055} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64B94229-7967-860A-A0C2-034C02BA876B} - C:\Program Files\Xdufmdfq\ulmzgxln.dll
O2 - BHO: (no name) - {73960165-9503-4A98-B786-C38EA12AC467} - C:\WINNT\system32\ddayv.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {76F67C85-E911-4DE2-BEE7-83090D8F4049} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B8C4C9C2-5B95-40A5-BE75-6E31CE6ECA1C} - (no file)
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINNT\system32\hccjfqwg.dll (file missing)
O2 - BHO: (no name) - {E271F4E9-D46E-4C7A-8608-AFDD4A87E582} - C:\WINNT\system32\pmnomjg.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-AE41CD337CD5] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-AE41CD337CD5"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] quickres.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Appeler un correspondant - {B8327384-C68F-4F9C-B4DC-F84A1F08FA60} - C:\PROGRA~1\FRANCE~1\TSPCLI~1\IEAddin.dll
O9 - Extra 'Tools' menuitem: Appeler un correspondant - {B8327384-C68F-4F9C-B4DC-F84A1F08FA60} - C:\PROGRA~1\FRANCE~1\TSPCLI~1\IEAddin.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: ddayv - C:\WINNT\system32\ddayv.dll (file missing)
O20 - Winlogon Notify: pmnomjg - pmnomjg.dll (file missing)
O20 - Winlogon Notify: wintfj32 - wintfj32.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: DomainService - - C:\WINNT\system32\fdewhbol.exe
O23 - Service: (Equant Access Companion) Services Manager (EACSvrMngr) - Unknown owner - C:\Program Files\Equant\Dialer\EACSvrMngr.exe
O23 - Service: (Equant Access Companion) Devices and Services Monitoring (EACSys) - Unknown owner - C:\Program Files\Equant\Dialer\EACSys.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE

--
End of file - 10189 bytes


:ange: :ange:

 

[yermat]

tu peux poster ce log ici

Vous devez être connecté pour voir les liens.

sans dire que je m'y connais mieux qu'eux il peut arriver qu'ils en oublient parfois...

le truc Inconnu
C:\WINNT\system32\fdewhbol.exe
à mon avis tu peux supprimer mais je dis ça ne sachant pas ce que c'est et ne trouvant rien sur google donc ça doit pas être très catholique...
l'alerte sur tivoli je ne vois pas trop, vérifie

le O2 - BHO: (no name) - {64B94229-7967-860A-A0C2-034C02BA876B} - C:\Program Files\Xdufmdfq\ulmzgxln.dll à moins que ça ne te parle supprime le
tout ce qui est superflue supprime

 

[badcamp]

pour ce qui est de Tivoli, rien de méchant, c'est un logiciel pour envoyer des données.

jte remercie quand meme

 

[dauderland]

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost

voila ce que j'ai quand j'essaie d'ouvrir hosts