Se connecter / S'enregistrer
Votre question

Pages de pub intempestives, et plus!

Tags :
  • Virus
  • Demarrage
  • Communauté
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Mai 2012 12:40:56

Bonjour à toute la communauté de Tom'sGuide,
Je vous écris j'ai des problèmes avec un virus depuis quelques temps. Je vais vous expliquer en partant du début.

Il y a environs 2 semaine, je cherchais des cracks (je sais, ce n'est pas bien et j'en suis désolé :pfff:  ). Et j'ai téléchargé un crack qui n'était rien d'autre qu'un bon virus.
Lorsque j'ai lancé le crack, j'ai immédiatement remarqué que c'était un virus, car le fichier a disparu du dossier et rien ne s'est passé (comportement typique d'un virus).
J'ai immédiatement lancé le scan MalwareBytes à travers toute la machine et ce dernier n'a rien trouvé :/  ! Alors j'ai fais tout mon possible pour le traquer:
- Je suis allé voir les processus qui se lancent au démarrage ainsi que les services (depuis msconfig), j'ai absolument tout regardé et tout filtré et il n'y a rien qui appartienne à une activité malveillante.
- Finalement je suis allé voir dans le gestionnaire de tâche s'il y avait des processus inhabituels à ma connaissance et j'ai trouvé 3 processus inconnus du nom: ping.exe.
ping.exe ne se lançait pas avant que je sois infecté par ce virus. J'ai localisé le point de départ de ce processus depuis ProcessExplorer, et apparemment ping.exe est un processus totalement légale de Windows qui est lancé par svchost.exe.
Finalement je ne me suis pas inquiété plus que ça, j'ai pensé que j'étais paranoïaque et qu'il n'y avait finalement pas de virus, que ping.exe était bien lancé par Windows et qu'il était non malicieux (sachant que MalwareBytes ne le détecte pas comme étant un élément dangereux).
Mais peu de temps après, sur le navigateur GOOGLE CHROME, je me suis aperçu que j'avais des problèmes de redirections aléatoires lorsque j'ouvre des liens depuis Google. Cela m'affiche cette page puis me redirige
Your request is loading... If you are not redirected within 2 seconds click here to continue ( et il ne dit même pas "s'ils-te-plaît" :fou:  )
J'ai également remarqué que je ne pouvais plus accéder à Twitter et que Google et Facebook avait des problèmes de certificats. L'élément en image:
Le certificat de sécurité du site a été signé avec un algorithme de signature faible.
J'ai le même message d'erreur pour Google et Facebook, à l'exception du fait que je peux "poursuivre quand même".
J'ai pensé que le fameux crack avait modifié des paramètres de Google Chrome et qu'il s'était ensuite supprimé, d'où le fait qu'il ne laisse aucune trace. J'ai donc totalement supprimé Google Chrome sans aucune pitié avec RevoUninstaller et je l'ai réinstallé, mais le problème pertsiste...
Du côté de Firefox, je n'ai pas de problème de certificat, mais juste de redirection.

Mais le meilleur reste à venir ;)  ! Figurez-vous qu'il me ramène ses potes x) ! J'ai été touché par le "virus de la gendarmerie", qui n'est autre que le fichier wpbt0.dll. Je tiens à faire remarqué que je dois être touché par une nouvelle forme de ce dernier car il passe à travers les scans MalwareByte. Donc évidemment j'ai payé l'amande de 5000€ aux gendarmes.

Je n'ai pas d'antivirus, en règle général, je fais des analyses MalwareBytes sur tout ce que je télécharge et je fais un scan approfondi chaque fin de semaine.
SI vous voulez des informations particulières, je reste bien évidemment à votre disposition!

Je fais quelques autres précisions:
1. J'ai mis du temps avant de vous contacter car je suis principalement utilisateur Linux. Donc Windows, le fait qu'il soit infecté par un "petit" virus ne me dérange pas vraiment. Mais le virus prend de l'ampleur en ce moment donc je réagis.
2. Je suspecte principalement ping.exe (il est probable que je me trompe, n'étant pas expert). Donc si cela peut vous être utile, voici les informations données par ProcessExplorer sur ping.exe:
ping.exe dans ProcessExplorer

Merci pour votre aide et merci à Tom'sGuide,
JeyJer

Autres pages sur : pages pub intempestives

a c 614 8 Sécurité
26 Mai 2012 22:47:02

Bonsoir,

Tu as ouvert une brèche avec le crack, et le dropper a installé un downloader, d'où le reste ...

On va regarder :

1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    3) Télécharge MbrScan (de Eric71) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "report", un rapport texte va s'ouvrir, copie-le moi dans ta prochaine réponse.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS