Votre question
Résolu

Kaspersky m'indique que je suis victime d'attaques

Tags :
  • PC
  • Sécurité
  • Kaspersky
Dernière réponse : dans Sécurité et virus
25 Février 2015 10:57:51

Bonjour à toutes et à tous,
Sur mon pc portable (MSI GT70) Kaspersky m'indique tous les jours que quelqu'un essaye d'attaquer mon PC.
Cela dure pendant quelques minutes des dizaine d'attaques que Kaspersky semble bloquer.
Je n'ai aucun soucis sur mon PC (apparent en tout cas), mes recherches de virus et malwares sont négatives, mais je continue à être victime des ces attaques plusieurs fois par jours.

Mon PC est relié en WIFI à ma boxe SFR.

J’utilise donc Kaspersky comme antivirus et je scan quotidiennement mon PC à la recherche de virus et malware (avec Malwarebytes).

Les IP de l'ordi qui m'attaque changent à chaque attaque et Kaspersky m'indique que l'IP semble être fausse.

Auriez-vous des conseils à me donner s'il vous plaît, car bien que ne souffrant pas littéralement d'infection j'aimerai bien que tout cela cesse.

Merci d'avance.

Autres pages sur : kaspersky indique victime attaques

a c 614 8 Sécurité
26 Février 2015 08:32:42

Bonjour,

On peut avoir quelques exemple de ces adresses IP ?

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 614 8 Sécurité
    27 Février 2015 08:56:22

    Re,

    Ces IP ne ressemblent effectivement pas à des attaques types de ce genre, sauf si elles sont effectivement masquées ...

    Mais ...

    - BitSpirit / BitRaider Streaming Client

    Peut-être que c'est lié à ce client de partage p2p ...

    Y'a quand même aussi quelques traces d'adwares sur le pc (logiciel publicitaires), mais j'ai des doutes que ces IP en soient lié ...)


    ~~~~~~~~~~~~~~~~~~~~~~~~~~


    1)
    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CloseProcesses:
      EmptyTemp:
      CreateRestorePoint:
      Task: {3BC69D45-5065-4FB0-B274-B1BF9AC918CE} - \Advanced-System Protector_startup No Task File <==== ATTENTION
      Task: {7EB4490C-1662-48AE-ADCC-288D5A85BE61} - System32\Tasks\SoftwareUpdateTaskMachineUA => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe <==== ATTENTION
      Task: {9D0F5D53-74F1-4886-8E46-032D29F68F39} - \Run_Bobby_Browser No Task File <==== ATTENTION
      Task: {BA478D90-869F-4155-93CD-3BF801DA0D27} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
      Task: {FF288F96-93C0-468A-9652-0310550DD955} - \RegClean Pro No Task File <==== ATTENTION
      Task: C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe <==== ATTENTION
      C:\Users\Fred\AppData\Roaming\cacaoweb
      HKU\S-1-5-21-707355479-659798331-1075511327-1001\...\Run: [cacaoweb] => C:\Users\Fred\AppData\Roaming\cacaoweb\cacaoweb.exe [504112 2015-01-01] ()
      HKU\S-1-5-21-707355479-659798331-1075511327-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
      SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
      SearchScopes: HKU\S-1-5-21-707355479-659798331-1075511327-1001 -> DefaultScope {85A60A59-D3D8-468F-B598-FB4393789EF4} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_tele_15_07&cd=2XzuyEtN2Y1L1QzuyEyEzz0AyD0B0E0D0BtByCtAtA0CtAzztN0D0Tzu0StCtCyEtCtN1L2XzutAtFyBtFyBtFyDtN1L1CzutCyEtBzytDyD1V1BtAtN1L1G1B1V1N2Y1L1Qzu2StA0F0Bzz0B0AzzyEtG0E0D0DyCtG0DyE0FtBtG0A0AyDtAtGyE0E0F0D0BtC0CzyyBzy0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDyBtAzyyC0EyE0DtGtA0FyDyDtGyEyByD0BtGzz0DtC0CtGtBzy0CyB0E0FyCtDzy0C0FtD2Q&cr=128212588&ir=
      SearchScopes: HKU\S-1-5-21-707355479-659798331-1075511327-1001 -> {85A60A59-D3D8-468F-B598-FB4393789EF4} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_tele_15_07&cd=2XzuyEtN2Y1L1QzuyEyEzz0AyD0B0E0D0BtByCtAtA0CtAzztN0D0Tzu0StCtCyEtCtN1L2XzutAtFyBtFyBtFyDtN1L1CzutCyEtBzytDyD1V1BtAtN1L1G1B1V1N2Y1L1Qzu2StA0F0Bzz0B0AzzyEtG0E0D0DyCtG0DyE0FtBtG0A0AyDtAtGyE0E0F0D0BtC0CzyyBzy0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDyBtAzyyC0EyE0DtGtA0FyDyDtGyEyByD0BtGzz0DtC0CtGtBzy0CyB0E0FyCtDzy0C0FtD2Q&cr=128212588&ir=
      SearchScopes: HKU\S-1-5-21-707355479-659798331-1075511327-1001 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10088_01net_150214&q={searchTerms}
      FF SelectedSearchEngine: Binkiland
      FF Extension: cacaoweb - C:\Users\Fred\AppData\Roaming\Mozilla\Firefox\Profiles\eo4omzat.default\Extensions\cacaoweb@cacaoweb.org [2015-01-01]
      C:\Program Files (x86)\Software
      C:\Program Files (x86)\MyPC Backup
      C:\Program Files (x86)\Lavasoft
      C:\Users\Fred\AppData\Roaming\cacaoweb
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    28 Février 2015 04:57:41

    Voici le fixlog.txt

    http://up.security-x.fr/file.php?h=Ree046099f20c0832966...

    Et merci encore Hyunkel30 de te pencher sur mon attaque.

    J'étais étonné quand même de voir des trucs en grec, c'est normal?

    Συλλογή φωτογραφιών (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Основи Windows Live (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Основные компоненты Windows Live (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Фотоальбом (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Фотогалерия (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Фотографии (общедоступная версия) (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    Фотоколекція (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    גלריית התמונות (x32 Version: 16.4.3522.0110 - Microsoft Corporation) Hidden
    m
    0
    l
    a c 614 8 Sécurité
    28 Février 2015 08:22:39

    Re,

    Non c'est assez classique avec Windows Live, pas d'inquiétudes.

    Est-ce que les détections persistent ?

    Si oui, faudrait voir à désactiver/désinstaller le client p2p pour voir :
    - BitSpirit / BitRaider Streaming Client
    m
    0
    l
    28 Février 2015 14:17:21

    Pour le moment pas de nouvelles attaques, je te tiens au courant.

    Serait-ce possible de m’expliquer en quelques mots la manip que tu m'as fais faire s'il te plaît?
    m
    0
    l
    a c 614 8 Sécurité
    28 Février 2015 22:36:38

    Re,

    On regarde alors si elles réapparaissent d'ici demain ou après-demain, si c'est ok, on conclura ;) 

    Citation :
    Serait-ce possible de m’expliquer en quelques mots la manip que tu m'as fais faire s'il te plaît?


    J'ai créé un script qui a été interprété par l'outil FRST pour "nettoyer" des choses non utile ou illégitime sur ton système

    :jap: 
    m
    0
    l
    2 Mars 2015 20:26:31

    Il semblerait que je n'ai pas eu d'attaques depuis la manip.

    Je voulais encore te remercier, ce fut clair et concis, top efficacité.

    Mille merci.
    m
    0
    l

    Meilleure solution

    a c 614 8 Sécurité
    2 Mars 2015 23:40:49

    Re,

    Très bien, pour conclure alors :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~

    ~
    Prévention :

    Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

    Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

    Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

    Télécharge Adware Prevention (de guigui0001) sur ton bureau.

    Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Lance-le en double-cliquant sur Adware_Prevention.exe
    • Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.

      Tutoriel en images

    • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !


  • Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration

    ~~~~~~~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : Ghostery ou Scriptsafe ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux utiliser un outil comme SXCU pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    3 Mars 2015 20:56:41

    Est-ce grave si je ne fais pas cette étape?

    Car Kaspersky s'est allumé dans tous les sens et a effacé Delfix dès qu'il a été téléchargé.

    Je ne sais pas si je dois réessayer de le télécharger.
    m
    0
    l
    a c 1009 8 Sécurité
    4 Mars 2015 07:39:11

    Bonjour,

    Hyunkel30 est en déplacement.
    Pour avancer et finaliser ce sujet, désactive temporairement Kaspersky le temps de télécharger Delfix et lancer l'outil.
    L'outil Delfix est sûr.
    Cet outil Delfix va supprimer toute trace des outils utilisés pendant la procédure et purger la restauration système pour repartir sur des points "propres".

    @+
    m
    0
    l
    4 Mars 2015 22:53:25

    Voilà c'est fait, voici le rapport.

    # DelFix v10.9 - Rapport créé le 04/03/2015 à 22:50:52
    # Mis à jour le 27/02/2015 par Xplode
    # Nom d'utilisateur : Fred - MSI
    # Système d'exploitation : Windows 8.1 (64 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST

    ~ Purge de la restauration système ...

    Supprimé : RP #23 [AA11 | 02/14/2015 07:31:14]
    Supprimé : RP #24 [Point de contrôle planifié | 02/22/2015 15:54:21]
    Supprimé : RP #26 [Restore Point Created by FRST | 02/28/2015 03:51:09]

    Nouveau point de restauration créé !

    ########## - EOF - ##########

    Merci beaucoup.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS