A voir également:
- Modif auto des Options Internet+redirection
- Gps sans internet - Guide
- Suivi des modifications word - Guide
- Telecharger internet explorer - Télécharger - Navigateurs
- Auto click - Télécharger - Divers Utilitaires
- Auto keyboard - Télécharger - Divers Utilitaires
11 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 janv. 2012 à 17:16
17 janv. 2012 à 17:16
Salut,
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Et voilà!
OTL.txt:
http://pjjoint.malekal.com/files.php?id=20120118_k9x14s14r6k9
Extras.txt:
http://pjjoint.malekal.com/files.php?id=20120118_h7r10z11x8g11
Encore merci de votre rapidité!
OTL.txt:
http://pjjoint.malekal.com/files.php?id=20120118_k9x14s14r6k9
Extras.txt:
http://pjjoint.malekal.com/files.php?id=20120118_h7r10z11x8g11
Encore merci de votre rapidité!
Bon... je suis en train de résoudre le problème à la manière forte... manuellement.
Premièrement, un immense merci pour Pijoint, Malekal! J'ai cliqué sur l'outil d'évaluation de fichiers, et il m'a aidé à traquer le fautif. enfin, l'un des fautifs.
J'avais une information nommée "Windows Messanger" (remarquez le A au lieu du E de Messenger), qui pointaint vers Java.exe, mais aussi un fichier de c:\windows\temp... qui était le fichier d'installation de TeamViewer, un utilitaire de gestion de bureau à distance qu'un ami me proposait d'installer afin de trouver d'où venait l'infection. J'ai supprimé toutes les entrées de la base de registre qui mentionnaient Messanger, et j'ai supprimé le fichier d'installation de TeamViewer.
Dans un deuxième temps, j'ai fait une recherche sur tous les fichiers modifiés le jour de l'attaque. Je me suis rendu compte que la première détection a eu lieu à eu lieu à 21:27, tandis qu'un logiciel s'est installé de lui-même à 21:25.
Le logiciel en question est Smad, de Sanctionned Media... un adware dont la solution a été trouvée il y a moins de 24 heures. J'ai dont supprimé toute mention de lui dans la base de registre, puis j'ai supprimé le fichier en question: C:\documents and settings\Ma Session\Local settings\Application Data\SanctionedMedia\Smad\NDde.dll
Par ailleurs, un fichier système, dxd8e7w2fbvq - faisant 1166 octets, a été créé dans C:\documents and settings\Ma Session\Application Data , C:\documents and settings\ma session\templates , C:\documents\All Users\\Application Data et C:\documents and settings\Ma Session\Local Settings\Temp - cependant, aucune mention dans le registre. Les 4 fichiers ont été supprimés.
J'ai du coup ré-essayé les options internet... qui ne marchent toujours pas, les modifications sont re-modifiées quelques instants après les avoir validés, mais au mois... j'ai fait du ménage. :D
Premièrement, un immense merci pour Pijoint, Malekal! J'ai cliqué sur l'outil d'évaluation de fichiers, et il m'a aidé à traquer le fautif. enfin, l'un des fautifs.
J'avais une information nommée "Windows Messanger" (remarquez le A au lieu du E de Messenger), qui pointaint vers Java.exe, mais aussi un fichier de c:\windows\temp... qui était le fichier d'installation de TeamViewer, un utilitaire de gestion de bureau à distance qu'un ami me proposait d'installer afin de trouver d'où venait l'infection. J'ai supprimé toutes les entrées de la base de registre qui mentionnaient Messanger, et j'ai supprimé le fichier d'installation de TeamViewer.
Dans un deuxième temps, j'ai fait une recherche sur tous les fichiers modifiés le jour de l'attaque. Je me suis rendu compte que la première détection a eu lieu à eu lieu à 21:27, tandis qu'un logiciel s'est installé de lui-même à 21:25.
Le logiciel en question est Smad, de Sanctionned Media... un adware dont la solution a été trouvée il y a moins de 24 heures. J'ai dont supprimé toute mention de lui dans la base de registre, puis j'ai supprimé le fichier en question: C:\documents and settings\Ma Session\Local settings\Application Data\SanctionedMedia\Smad\NDde.dll
Par ailleurs, un fichier système, dxd8e7w2fbvq - faisant 1166 octets, a été créé dans C:\documents and settings\Ma Session\Application Data , C:\documents and settings\ma session\templates , C:\documents\All Users\\Application Data et C:\documents and settings\Ma Session\Local Settings\Temp - cependant, aucune mention dans le registre. Les 4 fichiers ont été supprimés.
J'ai du coup ré-essayé les options internet... qui ne marchent toujours pas, les modifications sont re-modifiées quelques instants après les avoir validés, mais au mois... j'ai fait du ménage. :D
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
18 janv. 2012 à 17:51
18 janv. 2012 à 17:51
Ca fait très RAt ton truc qui va par disque amovible.
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mouais... si j'ai eu un virus par cette méthode, je connais le site en question: TopGFX, un site de téléchargement illégal de modèles 3d, qui redirige vers des hébergeurs de fichiers... je cherchais après un modèle 3d bien spécifique, j'ai ouvert plusieurs résultats google à la suite (ctrl+clic pour ouvrir dans nouvel onglet). Je fuis ce genre de sites comme la peste, mais le temps que je me rende compte de mon erreur, le site s'était déjà chargé. l'alerte de détection de virus s'est en effet déclenchée quelques minutes plus tard.
Je télécharge énormément, mais uniquement des modèles 3d depuis des sites sécurisés: Renderosity, ShareCG, et ces fichiers ne sont jamais des exécutables... J'ai sur mon disque dur plus de 30 Go de modèles 3D téléchargés gratuitement (et légalement), sans être tombé ne serait-ce qu'une seule fois sur le moindre petit virus!
J'ai branché Internet sur mon PC infecté le temps d'une mise à jour MBAM et Avira. Après un scan complet en mode sans échec, Malwarebytes n'a rien trouvé. Avira, par contre, m'a détecté un TR/Aluroot.b.68, et tourne encore. Détail intéressant, la détection d'Avira correspond à une infection référencée sur l'antivirus d'Avira que depuis le 16 janvier. l'attaque ayant eu lieu le 12, on dirait que je me suis pris une cochonnerie toute nouvelle...
Je télécharge énormément, mais uniquement des modèles 3d depuis des sites sécurisés: Renderosity, ShareCG, et ces fichiers ne sont jamais des exécutables... J'ai sur mon disque dur plus de 30 Go de modèles 3D téléchargés gratuitement (et légalement), sans être tombé ne serait-ce qu'une seule fois sur le moindre petit virus!
J'ai branché Internet sur mon PC infecté le temps d'une mise à jour MBAM et Avira. Après un scan complet en mode sans échec, Malwarebytes n'a rien trouvé. Avira, par contre, m'a détecté un TR/Aluroot.b.68, et tourne encore. Détail intéressant, la détection d'Avira correspond à une infection référencée sur l'antivirus d'Avira que depuis le 16 janvier. l'attaque ayant eu lieu le 12, on dirait que je me suis pris une cochonnerie toute nouvelle...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
19 janv. 2012 à 08:58
19 janv. 2012 à 08:58
Je te demande pas de te justifier.
Tu fais ce que tu veux.
Juste que tu saches que le risque 0 n'existe pas.
Et que ces trucs là, ça vole et notamment les mots de passe qui sont stockés sur les navigateurs WEB.
Donc déjà change les.
Si tu as une idée de quel lien c'est (pour récupérer l'installeur du malwar), ça m'interesse.
Pour Antivir fais un scan complet et envoie le sur pjjoint pour voir si ça revient.
Tu fais ce que tu veux.
Juste que tu saches que le risque 0 n'existe pas.
Et que ces trucs là, ça vole et notamment les mots de passe qui sont stockés sur les navigateurs WEB.
Donc déjà change les.
Si tu as une idée de quel lien c'est (pour récupérer l'installeur du malwar), ça m'interesse.
Pour Antivir fais un scan complet et envoie le sur pjjoint pour voir si ça revient.
Voilà le lien sur lequel j'ai cliqué, et qui contient vraisemblablement le malware:
topgfx[dot]com/search/ad+mertail.html
5ème résultat de google quand on cherche "AD mertail"... je pensais que google filtrait automatiquement ces sites hors de son moteur... ça m'apprendra.
Antivir a fini son scan, je posterai le rapport ce soir, hors de question pour moi de connecter une clé USB sur les PC de la fac. Par contre, le virus trouvé est le suivant:
TR/Aluroot.B.68
localisé dans:
C:\windows\system32\drivers\ipsec.sys
or ipsec.sys est un fichier qui gère la connection à Internet... J'ai vérifié le souci que j'avais avant, et les options internet ne changent plus automatiquement, on dirait que l'infection est terminée. Par contre, je n'ai plus d'accès à Internet, que ce soit en wifi ou directement en connectant le port ethernet.
j'ai essayé sans succès les méthodes suivantes:
- copier/coller une copie de ipsec.sys qui se trouvait dans C:\windows\system32\dllcache
- sfc /scannow
- réinitialisation de TCP/IP par la méthode suggérée par Microsoft: http://support.microsoft.com/kb/299357/fr
un site propose de réinstaller le protocole TCP/ip, mais je ne sais pas trop si je devrais:
http://jdsportsonline.com/computer/issues/ipsec-sys-got-deleted-lost-internet-connection-how-i-fixed-the-issue.html
plusieurs sites redirigent vers celui-ci en cas de soucis liés à un ipsec.sys infecté.
topgfx[dot]com/search/ad+mertail.html
5ème résultat de google quand on cherche "AD mertail"... je pensais que google filtrait automatiquement ces sites hors de son moteur... ça m'apprendra.
Antivir a fini son scan, je posterai le rapport ce soir, hors de question pour moi de connecter une clé USB sur les PC de la fac. Par contre, le virus trouvé est le suivant:
TR/Aluroot.B.68
localisé dans:
C:\windows\system32\drivers\ipsec.sys
or ipsec.sys est un fichier qui gère la connection à Internet... J'ai vérifié le souci que j'avais avant, et les options internet ne changent plus automatiquement, on dirait que l'infection est terminée. Par contre, je n'ai plus d'accès à Internet, que ce soit en wifi ou directement en connectant le port ethernet.
j'ai essayé sans succès les méthodes suivantes:
- copier/coller une copie de ipsec.sys qui se trouvait dans C:\windows\system32\dllcache
- sfc /scannow
- réinitialisation de TCP/IP par la méthode suggérée par Microsoft: http://support.microsoft.com/kb/299357/fr
un site propose de réinstaller le protocole TCP/ip, mais je ne sais pas trop si je devrais:
http://jdsportsonline.com/computer/issues/ipsec-sys-got-deleted-lost-internet-connection-how-i-fixed-the-issue.html
plusieurs sites redirigent vers celui-ci en cas de soucis liés à un ipsec.sys infecté.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
19 janv. 2012 à 10:46
19 janv. 2012 à 10:46
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
Désolé... J'ai suivi la méthode expliquée dans le lien posté ci-dessus... et ça a marché à la perfection, le réseau est revenu. ça m'a pris moins de 10 minutes, et tout à l'air de marcher comme sur des roulettes. Je garde mon PC en observation et je te donne des nouvelles dans quelques heures.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
19 janv. 2012 à 11:15
19 janv. 2012 à 11:15
Ton ZeroAccess ça m'étonnerait que tu l'aie choppé sur le site que tu mentionnes.
C'est plus sur ce genre de trucs : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/
ou faux codec porno.
(Je te dis ça à titre informatif)
~~
A faire, utilise un peu le PC et genre ce soir ou demain, tu cnfirmes si tout est OK.
ET on coclotuera :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
C'est plus sur ce genre de trucs : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/
ou faux codec porno.
(Je te dis ça à titre informatif)
~~
A faire, utilise un peu le PC et genre ce soir ou demain, tu cnfirmes si tout est OK.
ET on coclotuera :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
En fait, j'ai 2 possibilités: ou le site que j'ai mentionné... ou bien une souris Razer Lachesis que j'ai acheté à Boulanger le jour de l'infection. Il s'agissait d'une souris ayant déjà fait l'objet d'un premier usage. Je l'ai essayé pendant une partie de la soirée, puis l'infection est arrivée. Je me suis rendu compte de personnes faisant mention de malwares dans les drivers de cette souris, jusque sur le CD d'installation de cette souris!
Mon PC infecté est un netbook, et n'a donc pas de lecteur CD, et je n'ai pas cherché à installer des drivers dessus. Cependant, vu que la souris est un retour client... serait-ce possible que le malware se soit retrouvé sur la mémoire intégrée (32ko) de la souris elle-même?
Je sais que ça parait énorme, la Razer Lachesis étant sortie en 2007, mais les forums mentionnant ce problême parlaient d'un trojan dropper. Ce serait la première fois que j'entendrais parler d'un malware passant sur la mémoire intégrée d'une souris...
J'ai reporté la souris au magasin, par principe de précaution... mais le doute subsiste.
Mon PC infecté est un netbook, et n'a donc pas de lecteur CD, et je n'ai pas cherché à installer des drivers dessus. Cependant, vu que la souris est un retour client... serait-ce possible que le malware se soit retrouvé sur la mémoire intégrée (32ko) de la souris elle-même?
Je sais que ça parait énorme, la Razer Lachesis étant sortie en 2007, mais les forums mentionnant ce problême parlaient d'un trojan dropper. Ce serait la première fois que j'entendrais parler d'un malware passant sur la mémoire intégrée d'une souris...
J'ai reporté la souris au magasin, par principe de précaution... mais le doute subsiste.
