Se connecter / S'enregistrer
Votre question

Infection non détectée avec Bitdefender et Spybot

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Mai 2010 01:38:52

Une infection dangereuse que je vous résume en 3 étapes - A la base, je n'avais aucun antivirus, aucun anti-spywarre et j'ouvrais ma session sans mot de passe... Oui, je sais, j'étais inconscient mais je pensais q'un formatage tous les 6 mois, c'était moins chiant) :

1 ETAPE de l'infection : Il y a 15 jours alors que j'ai en vacances chez un ami, j'ai eu une grosse infection avec plantages nombreux, ralentissement du système, plantage répétitif d'IE et Firefox sur un PC portable.
Les premiers signes ont été l'apparition d'une fenêtre publicitaire sur l'astrologie depuis un clic sur un des sites que je développe (je suis webmaster) et que je mets en ligne via un FTP depuis un autre PC (ci-dessous).
2 jours après, l'attaque a été plus sérieuse et a planté le PC - Apparition d'une fenêtre nommée "Vista...quelque chose" faisant un scan de mon PC et m'informant que mon PC était défecteux et infecté.
Pensant à une pub intempestive, j'ai fait "Ctrl Alt Supp" mais il s'en est suivi plein de fenêtre sur des Antivirus et plus rien ne fonctionnait.

J'ai débranché le PC et est réallumé mais pareil avec en plus que des plantages.

J'ai tenté plusieurs de formater le disque en appuyant sur F11 (ordinateur HP Pavillon) et seulement au bout de 5 fois cela a bien voulu se faire... dur dur !

Parallèlement, j'ai pu constater que les 10 sites que je développe, avaient tous été modifiés :non: 

J'ai appelé un ami qu'il m'a conseillé de mettre un Antivirus, Parefeu et d'installer Spy bot et d'aller voir sur mes hébergements pour tout supprimer afin de ne pas répendre le "virus".

Après 8 heures de réinstallation, j'ai lancé les antivirus et Antispywar : Résultat= des bricoles... mais le PC fut très lent pendant 2 jours avant de revenir à la normal.
Aujourd'hui, il a l'air de fonctionner et je scanne tous les 2 jours avec Norton (préinstallé et gratuit pendant 60 jours, SpyBot et Destroy ainsi que que Ad-Aware.
Parfois il met du temps à ouvrir IE8 mais plus aucune pub et plus de plantage.
Je profite de ce PC pour installer le FTP et pour changer les MDP sur chaque compte et serveur (puisque le PC semble être sain avant de m'attaquer au second PC) sauf sur UN SITE "...sa.com" car je n'ai pas accès au compte !

2 ETAPE de l'infection : De retour de vacances, je me suis donc empressé de désintaller les sources des sites et là j'ai constaté qu'en effet, durant mon absence (alors que mon PC et ma connexion ADSL étaient éteints), les fichiers sur les serveurs avaient été modifiés (les pages index et les dossiers javascript uniquement).

Etant Webmaster et travaillant sur 3 PC muni de 2 clés USB pour navette, j'ai préféré installer Spybot et Bitdefender 2010 (suite complète) pour scanner le 2° PC (Seul PC où le FTP est installé pour tous les sites) avant d'envisager de remettre en ligne les sites s'il n'étaient pas infectéés.
Résultat=des bricoles là encore.

Voyant rien de spécial, j'ai tout de même décider de faire appel à mon ghost pour la stabilité du système avant de poursuivre mon travail de développeur.

Je réinstalle tous les sites et ils fonctionnent maintenant parfaitement sauf UN (le "...sa.com") qui continue parfois de balancer des fenètres publicitaires "123.astrologie" (qui se ferment par simple clic sur la croix).

Je désinstalle, je rescanne les fichiers de ce site ""...sa.com"", je reprend et j'inspecte un par un tous les dossiers manuellement mais RIEN ! Comment faire ? Je remet en ligne dans l'attente car il y a du monde qui visite...

3 ETAPE de l'infection : Cette après midi alors que je cause chez un pote, je clique sur ce dit-site ""...sa.com""et là MASSACRE !!!
Mon pote tente de fermer en cliquant sur la belle fenêtre qui le propose de fermer cette pub puis ça commence comme sur le premier PC (pub, scan, plantage, reboot sans cesse, etc...).
Il tente de réparer le disque qui semble être endommagé avec le CD mais rien impossible (Il est dépanneur informatique et est surpris par cette attaque car il est blinder pour la sécu sur son PC...).

Pensant à un 2° piratage des serveurs, je fonce chez moi (Toujours PC éteint durant) pour regarder mais je constate seulement un fichier modifié lundi dernier - Il s'agit comme par hasard de la page qui a déclenché ce massacre (en faite je ne sais pas si c'est moi au nom qu'il l'a modifié ou non... mais je suis certain d'avoir visité cette page hier et je n'ai rein eu comme attaque de mon côté).
Ma réaction fut de tout désintaller donc. MALHEUREUSEMENT impossible de supprimer le dossier "images" (les droits avaient changés et un fichier bizarre avec plein de 00000 était présent).
Je modifie les droits mais ça coupe l'accès au FTP. Je relance et au bout de 3 fois, ça fonctionne et je peux supprimer.
J'analyse de nouveau les dossiers et Rien !?
Je réinstalle le site et fais des tests et là, à ma grande surprise, les pub reviennent - J'en déduit que je suis infecté.

Et comme un chose ne va pas sans l'autre, mon PC commence à planter et a traîner.
* Je viens de mettre navilog1 mais aucun problème détecté
* j'ai mis Hijackthis afin de faire un rapport (ci-dessous)
Il faut savoir que IE8 me met un fenêtre du style "IE ne peut télécharger..."

Je vous demande donc de l'aide car je ne sais plus quoi faire et surtout comment remettre en ligne le site vérolé (c'est urgent pour elle).
Merci par avance
--------------

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Co...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 7432 bytes

Autres pages sur : infection detectee bitdefender spybot

8 Mai 2010 02:01:07

Voilà le rapport ZHPdiag que vous avez l'habitude de demander sur le forum :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijiQv63...
------------
Au passage, lors de l'analyse de ZHPdiag, Bitdenfender n'arrêtait pas de m'informer de la présence de fichier avec des noms "microsoft" à l'intérieur et de les autoriser ou non. Ce que j'ai du faire pour finir le rapport
Est-ce normal ?
-------------
8 Mai 2010 20:35:19

Personne pour se pencher sur mon infection ? Merci
10 Mai 2010 16:16:32



Bonjour,

BitDefender met à disposition un support en ligne : http://supportbd.com pas à pas.

Si les différentes options ne correspondent pas à l'incident que vous décrivez, des champs généralistes sont à votre disposition pour qualifier au mieux votre problème dans la rubrique "Autres incidents" (située en bas de la liste à gauche).


Autrement, vous pouvez également joindre nos équipes situées en France au 08 92 56 11 61.

Nous vous invitons vivement à consulter le support en ligne ou nos experts qui mettront tout en œuvre pour répondre au mieux à vos attentes.

Bien à vous,

Amélia
BitDefender en France


Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS