Problème google 'redirection' vers blogmaty
Résolu
ace_delicat
Messages postés
9
Statut
Membre
-
ace_delicat Messages postés 9 Statut Membre -
ace_delicat Messages postés 9 Statut Membre -
Bonjour,
Quand j'effectue une recherche google, il y a visiblement un problème des premiers résultats qui redirige vers blogmaty.com ou mogosets.com . Je n'ai pas fait attention la première fois, et du coup j'ai cliqué sur le premier résultat des recherches. J'ai été redirigé je ne sais pas ou (il y avait des fenetres qui s'ouvrait dans tout les sens) mais j'ai vu un message que ma machine est infecté par un Trojan avant de tout fermer.
J'ai vu dans le forum une discussion sur le même sujet et la personne concerné a du faire tourner plusieurs applications pour néttoyer le problème, mais en lisant le fil de la discussion, j'avoue ne pas me sentir suffisament confiante de le faire toute seule. Es-ce que une personne de ce forum voudra bien m'accompagner dans les étapes necessaires pour supprimer ce problème?
Ceci n'a pas l'air d'être un problème très connu car le seul résultat en français que je trouve sur ce sujet est sur le forum ici. Savez vous ce que fait ce Trojan?
J'ai éffectué un scan complet de Norton Antivirus mais qui n'a rien détecté.
En vous remerciant par avance de l'aide que vous pouvez m'apporter.
Quand j'effectue une recherche google, il y a visiblement un problème des premiers résultats qui redirige vers blogmaty.com ou mogosets.com . Je n'ai pas fait attention la première fois, et du coup j'ai cliqué sur le premier résultat des recherches. J'ai été redirigé je ne sais pas ou (il y avait des fenetres qui s'ouvrait dans tout les sens) mais j'ai vu un message que ma machine est infecté par un Trojan avant de tout fermer.
J'ai vu dans le forum une discussion sur le même sujet et la personne concerné a du faire tourner plusieurs applications pour néttoyer le problème, mais en lisant le fil de la discussion, j'avoue ne pas me sentir suffisament confiante de le faire toute seule. Es-ce que une personne de ce forum voudra bien m'accompagner dans les étapes necessaires pour supprimer ce problème?
Ceci n'a pas l'air d'être un problème très connu car le seul résultat en français que je trouve sur ce sujet est sur le forum ici. Savez vous ce que fait ce Trojan?
J'ai éffectué un scan complet de Norton Antivirus mais qui n'a rien détecté.
En vous remerciant par avance de l'aide que vous pouvez m'apporter.
A voir également:
- Problème google 'redirection' vers blogmaty
- Google maps satellite - Guide
- Google photo - Télécharger - Albums photo
- Dns google - Guide
- Créer un compte google - Guide
- Google drive - Accueil - Arnaque
31 réponses
Merci, c'est en cours. Juste pour info - plein de fenetres se sont ouverts avec des sites marchands quand je l'ai lancé (rue du commerce par exemple) - c'est normal?
Je sais pas trop, je ne vois pas d'infection ni sur hijackthis ni sur RSIT.
Pour vérification :
Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO)
= = = = >>> En cliquant ici <<< = = = =
* La console noire de Navilog1 doit s’ouvrir après l’installation
* Sinon, pour l’ouvrir, double-clique sur le raccourci « Navilog1 » sur ton bureau
* Appuie sur la lettre F de ton clavier puis sur la touche Entrée
* Appuie sur une touche de ton clavier pour continuer...
* Tape 1, puis appuie sur la touche Entrée de ton clavier
* Ainsi, Navilog1 va effectuer la recherche des fichiers infectieux sur ton PC.
* NE PAS UTILISER L’OPTION 2, 3, 4 SANS AVIS
* Sois patient, cela peut prendre une dizaine de minutes
* Navilog1 t’informe que la recherche est terminée
* Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré
* Le rapport sera sauvegardé dans le fichier suivant : « fixnavi.txt » à la racine de ton disque dur (C:\fixnavi.txt).
* Poste le rapport généré
Pour vérification :
Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO)
= = = = >>> En cliquant ici <<< = = = =
* La console noire de Navilog1 doit s’ouvrir après l’installation
* Sinon, pour l’ouvrir, double-clique sur le raccourci « Navilog1 » sur ton bureau
* Appuie sur la lettre F de ton clavier puis sur la touche Entrée
* Appuie sur une touche de ton clavier pour continuer...
* Tape 1, puis appuie sur la touche Entrée de ton clavier
* Ainsi, Navilog1 va effectuer la recherche des fichiers infectieux sur ton PC.
* NE PAS UTILISER L’OPTION 2, 3, 4 SANS AVIS
* Sois patient, cela peut prendre une dizaine de minutes
* Navilog1 t’informe que la recherche est terminée
* Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré
* Le rapport sera sauvegardé dans le fichier suivant : « fixnavi.txt » à la racine de ton disque dur (C:\fixnavi.txt).
* Poste le rapport généré
ok merci. L'analyse Kapersky est en cours. Il m'a demandé de désactiver mes autres anti-virus, alors j'ai désactivé Norton. Je post le résultat ici dès que c'est terminé et je lance ensuite navilog1.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kapersky est à un peu près 50% - en attendant, que pensez vous de ce que j'ai lu concernant le fichier
wdmaud.sys de 17k dans le repertoire c:\windows\system32 ?
Ce que j'ai lu c'est qu'il semble fonctionner comme un 'rootkit'? et qui se cache des processus de scan
normaux.
J'ai effectivement ce fichier de 17k dans le repertoire c:\windows\system32 aussi bien qu'un fichier wdmaud.sys
(mais de 81k - qu'ils semblent dire être légitime contrairement à celui de 17k)
dans le repertoire c:\windows\system32\drivers.
Pensez vous que ceci peut effectivement être la racine du problème que je devrais effacer ? (uniquement
le ficher wdmaud.sys de 17k qui est dans le repertoire c:\windows\system32)
Je ne voudrais pas l'éffacer sans avoir un avis pour être sur que je ne rajoute pas
un problème sur celui déjà existant :)
wdmaud.sys de 17k dans le repertoire c:\windows\system32 ?
Ce que j'ai lu c'est qu'il semble fonctionner comme un 'rootkit'? et qui se cache des processus de scan
normaux.
J'ai effectivement ce fichier de 17k dans le repertoire c:\windows\system32 aussi bien qu'un fichier wdmaud.sys
(mais de 81k - qu'ils semblent dire être légitime contrairement à celui de 17k)
dans le repertoire c:\windows\system32\drivers.
Pensez vous que ceci peut effectivement être la racine du problème que je devrais effacer ? (uniquement
le ficher wdmaud.sys de 17k qui est dans le repertoire c:\windows\system32)
Je ne voudrais pas l'éffacer sans avoir un avis pour être sur que je ne rajoute pas
un problème sur celui déjà existant :)
slt
juste pour ceci i=>wdmaud.sys
doit etre dans C:\Windows\System32\drivers et pese 82944 bytes (95% of all occurrence), 77440 bytes.
logé dans c:\windows\system32 == malware
https://www.file.net/process/wdmaud.sys.html
un conseil , au bénéfice du doute renomme wdmaud.sys suspect( i7k) en wdmaud.sys.old , si par la suite tu ne remarque aucun probl. de fonctionnement vire le.
aussi ... adware alexa
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll (file missing)
http://www.spywaredata.com/spyware/malware/alxtb1.dll.php
juste pour ceci i=>wdmaud.sys
doit etre dans C:\Windows\System32\drivers et pese 82944 bytes (95% of all occurrence), 77440 bytes.
logé dans c:\windows\system32 == malware
https://www.file.net/process/wdmaud.sys.html
un conseil , au bénéfice du doute renomme wdmaud.sys suspect( i7k) en wdmaud.sys.old , si par la suite tu ne remarque aucun probl. de fonctionnement vire le.
aussi ... adware alexa
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll (file missing)
http://www.spywaredata.com/spyware/malware/alxtb1.dll.php
En faisant un click droit sur le fichier wdmaud.sys qui pèse 17k, j'ai noté qu'il ne contient pas la signautre microsoft (contrairement aux autres fichiers wdmaus.sys de 81k sur mon ordinateur).
J'ai décidé de soumettre juste ce fichier au site VirusTotal, et il semble dire qu'il est effectivement un Trojan qui s'appelle 'Daonol', mais qui a été detecté seulement par quelques antivirus dans les résultats du scan.
Apparament, ce Trojan se logait dans un fichier qui s'appellait 'sysaudio.sys' jusqu'a très recemment (début 2009), donc il semble que c'est une possible raison que les autres antivirus ne le trouve pas encore.
Je vais laisser finir le scan Kapersky online se terminer, et ensuite tenter de renommer ce fichier pour voir si cela règle le problème et je vous tiens au courant des résultats.
Voici une copie du log VirusTotal:
Fichier wdmaud.sys reçu le 2009.01.14 22:51:10 (CET)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.14 -
AhnLab-V3 2009.1.15.0 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 -
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 -
AVG 8.0.0.229 2009.01.14 Rootkit-Agent.CN
BitDefender 7.2 2009.01.14 -
CAT-QuickHeal 10.00 2009.01.14 -
ClamAV 0.94.1 2009.01.14 -
Comodo 931 2009.01.14 -
DrWeb 4.44.0.09170 2009.01.14 -
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6307 2009.01.14 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.14 -
Fortinet 3.117.0.0 2009.01.14 -
GData 19 2009.01.14 -
Ikarus T3.1.1.45.0 2009.01.14 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.14 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.14 Trojan:Win32/Daonol.B
NOD32 3766 2009.01.14 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.14 Malicious Software
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 Trojan.LooksLike.Daonol
Sophos 4.37.0 2009.01.14 Troj/Daonol-Fam
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.14 -
VBA32 3.12.8.10 2009.01.13 -
ViRobot 2009.1.14.1559 2009.01.14 -
VirusBuster 4.5.11.0 2009.01.14 -
Information additionnelle
File size: 16896 bytes
MD5...: 4b16981d8641e47b0210f6f7b28eaa99
SHA1..: d482d8d40ea5068efcb782a78d48e2e1028496c0
SHA256: 461d9c4f427070acbbc6656c0487b30cbd2aa4c33741cbe6568431af831d1668
SHA512: c14be3e95dd5005208f2b695a2a84922652ed5ac417919e2c391fb5ad55fbadd<BR>61214d94eab9694b60fd077da19c60a1dceca46e1af83e468bde88221082acaa<BR>
ssdeep: 384:WAFuXCapaiAvcR/hB3SzKucBlbpOdxVe8EAHE:W7SakXUN3SzVcBFsE<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (58.3%)<BR>Win16/32 Executable Delphi generic (14.1%)<BR>Generic Win/DOS Executable (13.7%)<BR>DOS Executable Generic (13.6%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x40414c<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>CODE 0x1000 0x316c 0x3200 6.48 972964c7da7be621a80e7388c8e93ea5<BR>DATA 0x5000 0x1d0 0x200 4.42 3411a59b785ce49cc6e9dd5b3e7f5877<BR>BSS 0x6000 0xd2f5 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x14000 0x33c 0x400 3.90 6cb0182cc59f08a3fb7686e45a5d8b9e<BR>.reloc 0x15000 0x230 0x400 4.09 66046ac4008d471a56de95aee7da9615<BR>.rsrc 0x16000 0x18c 0x200 2.55 236d18225ee095f804e9e952f06d531f<BR><BR>( 3 imports ) <BR>> kernel32.dll: GetCurrentThreadId, ExitProcess, UnhandledExceptionFilter, RtlUnwind, RaiseException, TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, FreeLibrary, GetProcessHeap<BR>> kernel32.dll: VirtualFree, VirtualAlloc, Sleep, ReadFile, LoadLibraryA, HeapFree, HeapAlloc, GetTickCount, GetProcessHeap, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLastError, GetFileSize, GetComputerNameA, FindAtomA, ExitProcess, CreateThread, CreateMutexA, CreateFileA, CloseHandle, AddAtomA<BR>> wsock32.dll: WSAGetLastError<BR><BR>( 0 exports ) <BR>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E254BAAE00DFC7B042030061E4EE9E00E2CB512D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E254BAAE00DFC7B042030061E4EE9E00E2CB512D</a>
J'ai décidé de soumettre juste ce fichier au site VirusTotal, et il semble dire qu'il est effectivement un Trojan qui s'appelle 'Daonol', mais qui a été detecté seulement par quelques antivirus dans les résultats du scan.
Apparament, ce Trojan se logait dans un fichier qui s'appellait 'sysaudio.sys' jusqu'a très recemment (début 2009), donc il semble que c'est une possible raison que les autres antivirus ne le trouve pas encore.
Je vais laisser finir le scan Kapersky online se terminer, et ensuite tenter de renommer ce fichier pour voir si cela règle le problème et je vous tiens au courant des résultats.
Voici une copie du log VirusTotal:
Fichier wdmaud.sys reçu le 2009.01.14 22:51:10 (CET)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.14 -
AhnLab-V3 2009.1.15.0 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 -
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 -
AVG 8.0.0.229 2009.01.14 Rootkit-Agent.CN
BitDefender 7.2 2009.01.14 -
CAT-QuickHeal 10.00 2009.01.14 -
ClamAV 0.94.1 2009.01.14 -
Comodo 931 2009.01.14 -
DrWeb 4.44.0.09170 2009.01.14 -
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6307 2009.01.14 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.14 -
Fortinet 3.117.0.0 2009.01.14 -
GData 19 2009.01.14 -
Ikarus T3.1.1.45.0 2009.01.14 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.14 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.14 Trojan:Win32/Daonol.B
NOD32 3766 2009.01.14 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.14 Malicious Software
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 Trojan.LooksLike.Daonol
Sophos 4.37.0 2009.01.14 Troj/Daonol-Fam
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.14 -
VBA32 3.12.8.10 2009.01.13 -
ViRobot 2009.1.14.1559 2009.01.14 -
VirusBuster 4.5.11.0 2009.01.14 -
Information additionnelle
File size: 16896 bytes
MD5...: 4b16981d8641e47b0210f6f7b28eaa99
SHA1..: d482d8d40ea5068efcb782a78d48e2e1028496c0
SHA256: 461d9c4f427070acbbc6656c0487b30cbd2aa4c33741cbe6568431af831d1668
SHA512: c14be3e95dd5005208f2b695a2a84922652ed5ac417919e2c391fb5ad55fbadd<BR>61214d94eab9694b60fd077da19c60a1dceca46e1af83e468bde88221082acaa<BR>
ssdeep: 384:WAFuXCapaiAvcR/hB3SzKucBlbpOdxVe8EAHE:W7SakXUN3SzVcBFsE<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (58.3%)<BR>Win16/32 Executable Delphi generic (14.1%)<BR>Generic Win/DOS Executable (13.7%)<BR>DOS Executable Generic (13.6%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x40414c<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>CODE 0x1000 0x316c 0x3200 6.48 972964c7da7be621a80e7388c8e93ea5<BR>DATA 0x5000 0x1d0 0x200 4.42 3411a59b785ce49cc6e9dd5b3e7f5877<BR>BSS 0x6000 0xd2f5 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x14000 0x33c 0x400 3.90 6cb0182cc59f08a3fb7686e45a5d8b9e<BR>.reloc 0x15000 0x230 0x400 4.09 66046ac4008d471a56de95aee7da9615<BR>.rsrc 0x16000 0x18c 0x200 2.55 236d18225ee095f804e9e952f06d531f<BR><BR>( 3 imports ) <BR>> kernel32.dll: GetCurrentThreadId, ExitProcess, UnhandledExceptionFilter, RtlUnwind, RaiseException, TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, FreeLibrary, GetProcessHeap<BR>> kernel32.dll: VirtualFree, VirtualAlloc, Sleep, ReadFile, LoadLibraryA, HeapFree, HeapAlloc, GetTickCount, GetProcessHeap, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLastError, GetFileSize, GetComputerNameA, FindAtomA, ExitProcess, CreateThread, CreateMutexA, CreateFileA, CloseHandle, AddAtomA<BR>> wsock32.dll: WSAGetLastError<BR><BR>( 0 exports ) <BR>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E254BAAE00DFC7B042030061E4EE9E00E2CB512D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E254BAAE00DFC7B042030061E4EE9E00E2CB512D</a>
Merci omeg@68 , on a du poster en même temps. C'est effectivement ce que je vais essayer de faire pour le fichier wdmaud.sys.
Vous mentionnez un autre : O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll (file missing)
Je le fait en même temps ou après?
Vous mentionnez un autre : O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll (file missing)
Je le fait en même temps ou après?
Bonjour,
J'ai fini par laisser tourner Kapersky pendant la nuit, mais quand je suis venu devant l'ordinateur ce matin, il semblait avoir redemarré, donc j'ai perdu le résultat de l'analyse.
J'ai donc retesté les deux problèmes (orange mail ainsi que les recherches google) et ils étaient toujours présents.
J'ai décidé de tester le fichier wdmaud.sys de 17k. Je l'ai renommé et je l'ai changé de répertoire. Ensuite, j'ai retesté et les deux problèmes que j'avais avant semble ne plus se manifester et les deux (google search et orange mail) fonctionnent correctement. Il semble que c'est ce fichier qui impactait la recherche google ainsi que la fonction d'envoi de mails d'orange. Je ne sais pas si il y a d'autres entrées du registre qui sont affectés, donc je vais surveiller comment évolue l'analyse du cheval de troie par les differents fournisseurs de protection malware.
Voici mon analyse (donc pas forcément exact) des symptomes, de l'origine, l'impact, la prévention et le correctif actuel.
1) Les Symptomes
- Une recherche simple sur google produit une liste de résultats ou les liens ne sont pas corrects (dans mon cas c'était mogosets, blogmaty etc, mais ça aurait pu être plein d'autres). Ce qui caractérise ces 'mauvais liens' c'est l'absence du www. avant le nom du site.
- Une recherche sur d'autres moteurs de recherche (yahoo, lycos etc) peuvent être impactés aussi de la même manière que google
- La fonction mail peut se trouver impacter. Dans mon cas la fonction envoi des mails orange était impacté (et j'ai lu sur un forum que quelqu'un d'autre ne pouvait pas accèder à son compte gmail). Je ne sais pas si c'est uniquement pour ceux qui se loge directement sur le mail en ligne ou si c'est également le cas pour ceux qui utilise outlook.
- Une recherche avancé sur google ou une recherche une fois connecté à son compte google produit les bons résultats de recherche et pas les 'mauvais liens'
2) L'origine
- De ce que j'ai lu, il semble se trouver dans des fichiers PDF. Il profite d'un trou de sécurité dans les anciens versions de acrobat reader (je n'avais pas un acrobat reader à jour).
En reflechissant aux évennements, j'ai effectivement ouvert un fichier PDF juste avant que tout cela commence. Il avait 'buggé' la première fois, mais j'ai ensuite réussi à le lancer. Mais les problèmes sont venus après.
- Il installe un fichier wdmaud.sys qui peut peser entre 14k et 20k dans le repertoire c:\windows\system32
3) L'impact
- Il ne semble pas encore très clair ce que fait ce malware, mais il est possible que vu qu'il affiche les bons résultats une fois connecté sur un compte google/yahoo ou autre, qu'il pousse l'utilisateur à faire ça - peut-être il recupere donc l'utilisateur et mot de passe?
- Il y a un script qui tourne en pointant sur un node 1.2.3.0 ou 7.7.7.0 qui modifie les résultats de la recherche
4) La prévention
J'aurais pu faire deux choses pour éviter l'infection
a) être à jour dans les mis à jour Acrobat
b) être à jour dans les mis à jours Windows (car il semble que Windows aurait identifié ce cheval de Troie et l'empecher de s'installer)
Il est également noté que sous Firefox, il y a un plug-in 'NoScript' qui empêche les scripts de tourner sans votre permission. Utilisant Internet Explorer, je n'avais pas ce plug-in qui empêche les scripts de tourner.
5) Le correctif
- Pour l'instant le seul correctif proposé est de rechercher ce fichier wdmaud.sys et de l'effacer du système (à ne pas confondre avec le ou les fichiers légitimes de 81/82k). En faisant un click droit sur ce fichier, il n'aurait pas de signature microsoft contrairement aux 'bons' fichiers.
- Il est noté qu'avant que des cas identifié avec ce fichier wdmaud.sys (comme moi par exemple) , cette même chose se produisait mais il s'agissait du fichier sysaudio.sys .
Malwarebytes (entre autre) sont apparament au courants de ce problème relativement nouveau et travaillent dessus.
Pour finir:
Merci beaucoup à crapoulou pour ton temps. J'apprecie enormément que des gens comme toi donne de leur temps pour aider des gens comme moi :)
J'espère qu'en postant ceci , ca pourra aider une autre personne qui affiche les mêmes symptômes que moi.
Au final, le titre du problème n'aurait pas du être problème google redirection vers blogmaty, mais 'problème moteur de recherche qui redirige vers des 'mauvais' liens.
J'ai fini par laisser tourner Kapersky pendant la nuit, mais quand je suis venu devant l'ordinateur ce matin, il semblait avoir redemarré, donc j'ai perdu le résultat de l'analyse.
J'ai donc retesté les deux problèmes (orange mail ainsi que les recherches google) et ils étaient toujours présents.
J'ai décidé de tester le fichier wdmaud.sys de 17k. Je l'ai renommé et je l'ai changé de répertoire. Ensuite, j'ai retesté et les deux problèmes que j'avais avant semble ne plus se manifester et les deux (google search et orange mail) fonctionnent correctement. Il semble que c'est ce fichier qui impactait la recherche google ainsi que la fonction d'envoi de mails d'orange. Je ne sais pas si il y a d'autres entrées du registre qui sont affectés, donc je vais surveiller comment évolue l'analyse du cheval de troie par les differents fournisseurs de protection malware.
Voici mon analyse (donc pas forcément exact) des symptomes, de l'origine, l'impact, la prévention et le correctif actuel.
1) Les Symptomes
- Une recherche simple sur google produit une liste de résultats ou les liens ne sont pas corrects (dans mon cas c'était mogosets, blogmaty etc, mais ça aurait pu être plein d'autres). Ce qui caractérise ces 'mauvais liens' c'est l'absence du www. avant le nom du site.
- Une recherche sur d'autres moteurs de recherche (yahoo, lycos etc) peuvent être impactés aussi de la même manière que google
- La fonction mail peut se trouver impacter. Dans mon cas la fonction envoi des mails orange était impacté (et j'ai lu sur un forum que quelqu'un d'autre ne pouvait pas accèder à son compte gmail). Je ne sais pas si c'est uniquement pour ceux qui se loge directement sur le mail en ligne ou si c'est également le cas pour ceux qui utilise outlook.
- Une recherche avancé sur google ou une recherche une fois connecté à son compte google produit les bons résultats de recherche et pas les 'mauvais liens'
2) L'origine
- De ce que j'ai lu, il semble se trouver dans des fichiers PDF. Il profite d'un trou de sécurité dans les anciens versions de acrobat reader (je n'avais pas un acrobat reader à jour).
En reflechissant aux évennements, j'ai effectivement ouvert un fichier PDF juste avant que tout cela commence. Il avait 'buggé' la première fois, mais j'ai ensuite réussi à le lancer. Mais les problèmes sont venus après.
- Il installe un fichier wdmaud.sys qui peut peser entre 14k et 20k dans le repertoire c:\windows\system32
3) L'impact
- Il ne semble pas encore très clair ce que fait ce malware, mais il est possible que vu qu'il affiche les bons résultats une fois connecté sur un compte google/yahoo ou autre, qu'il pousse l'utilisateur à faire ça - peut-être il recupere donc l'utilisateur et mot de passe?
- Il y a un script qui tourne en pointant sur un node 1.2.3.0 ou 7.7.7.0 qui modifie les résultats de la recherche
4) La prévention
J'aurais pu faire deux choses pour éviter l'infection
a) être à jour dans les mis à jour Acrobat
b) être à jour dans les mis à jours Windows (car il semble que Windows aurait identifié ce cheval de Troie et l'empecher de s'installer)
Il est également noté que sous Firefox, il y a un plug-in 'NoScript' qui empêche les scripts de tourner sans votre permission. Utilisant Internet Explorer, je n'avais pas ce plug-in qui empêche les scripts de tourner.
5) Le correctif
- Pour l'instant le seul correctif proposé est de rechercher ce fichier wdmaud.sys et de l'effacer du système (à ne pas confondre avec le ou les fichiers légitimes de 81/82k). En faisant un click droit sur ce fichier, il n'aurait pas de signature microsoft contrairement aux 'bons' fichiers.
- Il est noté qu'avant que des cas identifié avec ce fichier wdmaud.sys (comme moi par exemple) , cette même chose se produisait mais il s'agissait du fichier sysaudio.sys .
Malwarebytes (entre autre) sont apparament au courants de ce problème relativement nouveau et travaillent dessus.
Pour finir:
Merci beaucoup à crapoulou pour ton temps. J'apprecie enormément que des gens comme toi donne de leur temps pour aider des gens comme moi :)
J'espère qu'en postant ceci , ca pourra aider une autre personne qui affiche les mêmes symptômes que moi.
Au final, le titre du problème n'aurait pas du être problème google redirection vers blogmaty, mais 'problème moteur de recherche qui redirige vers des 'mauvais' liens.
Merci beaucoup pour ce récapitulatif pour d'autres qui pourraient avoir ce même problème.
En effet, les derniers virus passent par les failles de sécurité de Acrobat Reader et Java pour les versions pas à jour, car les navigateurs sont de plus en pus sécurisés.
J'imagine que maintenant tu as bien la version d'Acrobat Reader et plus la 7 ...!
*********
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
Télécharge toolscleaner sur ton Bureau
= = = =>>> En cliquant ici <<<= = = =
* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse.
En effet, les derniers virus passent par les failles de sécurité de Acrobat Reader et Java pour les versions pas à jour, car les navigateurs sont de plus en pus sécurisés.
J'imagine que maintenant tu as bien la version d'Acrobat Reader et plus la 7 ...!
*********
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
Télécharge toolscleaner sur ton Bureau
= = = =>>> En cliquant ici <<<= = = =
* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse.
