Multi attaque site web

Underground -  
Underground57 Messages postés 106 Statut Membre -
Bonsoir je ne sais par quel moyen j'ai choppé une attaque super énervante, non vu par MBAM, ni par SPYBOT, et pas non plus par NOD32

Le nom de l'attaque est un site web, voici l'adresse :

Je ne sais pas quoi faire ni par ou commencer.

si on pouvait me donner un coup de main je serais ravi.

23 réponses

  • 1
  • 2
Résumé de la discussion

Des attaques et des barres d’outils indésirables apparaissent sur Windows XP avec Firefox 3.0.8, non détectées par MBAM, Spybot ou NOD32, et associées à un site malveillant. Des conseils proposent des nettoyages multiprojets utilisant MBAM, ZHPDiag et des outils comme Combofix, TDSSKiller et mbr.exe, avec des rapports à partager et des désinstallations de barres telles que Ask Toolbar. En cas d’infection, les conseils mettent en garde contre les installations groupées de logiciels gratuits et recommandent d’utiliser des procédures étape par étape avec AD-Remover, TDSSKiller et vérifier les rapports pour poursuivre le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Tu peux supprimer Spybot et me donner le rapport Malwarebytes?

    ensuite

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    0
  2. Underground
     
    Merci pour ton aide, sur mon lieu de travail pour le moment, je ne pourrais procéder à ce diag qu'après 19h.

    En espérant que tu pourras suivre cette affaire en soirée.

    Bonne journée.
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      bonjour vous deux
      tu peu faire une description de l'attaque?


      pour suivre
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut
      Oui ça m'intéresse aussi ^^
      0
  3. Underground
     
    Et bien l'attaque est surtout lié visiblement a un fichier que je ne trouve nul part ...

    Si je regarde dans la quarantaine de nod ça me dit attaque bloqué :

    "site web" et puis ensuite multi attaques ...

    J'ai fait une analyse avec spybot en MS config il me trouve un fichier dans System 32 quand je le cherche il n'y a rien ...

    J'ai fais la même analyse avec MBAM et NOD32 V4 en msconfig tous trouve l'attaque mais elle n'est pas visible.

    L'attaque se matérialise par la disparition d'une page de recherche, j'ouvre Google chrome je tape dans le champs rechercher : " comment ça marche " ça valide et la page disparait ...

    Des fois la page arrive et d'un coup d'un seul elle se coupe sans aucune action de ma part. Comme si quelqu'un fermait la page similaire a une action de keyloger ou autre malware.

    Même sévices sous firefox et sous IE8

    Quand je rentre je te donne le nom du fichier qui devrait être dans System32 et je note les emplacements de ce dernier.

    merci de se pencher sur mon problème ;)
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ba envoi le log MBAM et ZHPDiag
      0
  4. Underground
     
    je vais en refaire un de diag MBAM et ZHPDiag en mode sans echec regarde ce que trouve NOD32

    http://img571.imageshack.us/img571/9397/nod32.jpg
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as été sur ce site?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Underground
     
    Absolument pas de mon plein gré ... je sais même pas ce que c'est O_o

    je te met le rapport ZHPdiag et je te colle le dernier diag que j'avais fais en Mode sans échec pour MBAM

    MBAM d'hier (j'en refais un nouveau en ce moment) :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4084

    Windows 6.1.7600 (Safe Mode)
    Internet Explorer 8.0.7600.16385

    10/05/2010 20:21:24
    mbam-log-2010-05-10 (20-21-24).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 365594
    Temps écoulé: 22 minute(s), 52 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):

    C:\Users\Nick\Documents\Downloads\rk_uninstall.exe (Keylogger.Logixoft) -> Not selected for removal.

    ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201005/cijC6dQhbK.txt
    0
  7. Underground
     
    Du nouveau dans le diag voici ce que me trouve NOD32 a présent ...

    J'y comprends plus rien :/

    http://img163.imageshack.us/img163/7240/nod32n.jpg

    on dirait qu'il a back up les fichiers infectés de Spybot.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui c'est normal.
      Le keylogger c'est toi qui l'a installé?
      0
    2. Underground
       
      Ouais, pas confiance en ma nana xD
      quand je suis pas la, je veux savoir ce qu'elle fait.
      0
  8. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Super le copain...

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus

    ------

    Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
    d'avoir été infectés

    Télécharger USBFix

    - Lancer USBFix.exe
    - Choisir F pour Français => Touche Entrée
    - Taper 1 => Entrée pour recherche
    - Puis ok
    - Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
    - laisser le nom par défaut, enregistrer sur le bureau
    - copier coller le contenu du fichier texte dans la fenetre de réponse
    0
  9. Underground
     
    Bien le bonsoir ... alors voici comme demandé les rapports ...

    combo fix (sacré outils)

    http://www.cijoint.fr/cjlink.php?file=cj201005/cij6fYxegc.txt

    Usb fix

    http://www.cijoint.fr/cjlink.php?file=cj201005/cij4jtwYgp.txt

    voilà chef, merci de suivre mon dossier ... je m'en remet à vous.
    0
  10. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Fais ceci

    = Copier ce texte qui est en gras


    KillAll::
    File::
    c:\windows\system32\drivers\lvuvc.hs
    Mbr::


    ------------------------------

    = Ouvrir le Bloc-Notes
    = Clic-droit ==> coller
    = Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
    = Le nommer CFScript.txt
    = Fermer le bloc-note
    = prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
    = L'amener dans Combofix et relacher le clic
    = Combofix se relance seul
    = mettre le rapport dans la réponse

    -----

    Télécharger et dézipper sur le bureau TDSSKiller

    = Lancer TDSSKiller en faisant un double clique
    = Une fois le scan fini, un rapport s'ouvre
    = Copier coller le contenu dans la prochaine réponse
    = Le rapport se trouve également dans C:\TDSSKiller.XXXXXX_log.txt.( X correspondant a la version, la date et l'heure )

    ----

    *Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
    *Désactivez vos protections et coupez la connexion.

    *cliquer sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
    *Sous XP : "%userprofile%\Bureau\mbr" -f
    *Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
    *Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
    *Postez le rapport

    -------

    refaire un rapport Combofix
    0
  11. Underground
     
    Merci pour ces nouvelles instructions :
    ____________________________________________________

    ComboFix 10-05-13.04 - Nick 14/05/2010 19:28:16.2.2 - x86 :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijYFNBYwC.txt

    TDSSKiller.2.2.8.1_14.05.2010_19.50.45_log :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijlCyd6hU.txt

    Log mbr :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijFdjVfHt.txt

    ComboFix 10-05-13.04 - Nick 14/05/2010 20:08:52.3.2 - x86 :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijahTxjph.txt
    0
  12. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    On dirait qu'il a planté...

    Telécharge sur le bureau Defogger

    = Double click sur Defogger
    = Une fenêtre apparait clique Disable
    = Redemarre ton PC si demandé

    ------

    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport
    0
  13. underground
     
    Bonsoir,

    comme demandé je te fais suivre l'analyse faite par gmer.

    Je me tiens à ta disposition pour d'autres tests si besoin. Merci d'avance du temps que tu m'accordes.

    rapport gmer :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijSJOwyYC.txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ton log Gmer est propre.
      Supprime ta version de COmbofix, retélécharge le et refait un log. J'espère qu'il ne plantera pas cette fois.
      0
  14. Underground
     
    Merci de nouveau pour ton temps, et ta précieuse aide.

    voici le rapport combofix :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cij6Dbp92n.txt
    0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Tu peux supprimer Spybot?

    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Faire Scanner
    = En fin de scan donner le rapport
    0
  16. Underground
     
    Bonsoir,

    sur ta demande je supprime l'outils spybot ;)

    Voici le rapport AD-R :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 07/05/10 à 16:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 02:00:57 le 17/05/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows 7(TM) Ultimate - X86
    Nom du PC: NICK-PC (System manufacturer Maximus Formula)
    Utilisateur actuel: Nick
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    .
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Users\Nick\..\42x2y7z7.default\prefs.js - browser.download.dir: C:\\Users\\Nick\\Downloads
    C:\Users\Nick\..\42x2y7z7.default\prefs.js - browser.download.lastDir: C:\\Users\\Nick\\Desktop
    C:\Users\Nick\..\42x2y7z7.default\prefs.js - browser.startup.homepage: google.fr
    C:\Users\Nick\..\42x2y7z7.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    .
    .
    * Internet Explorer Version 8.0.7600.16385 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Start Page Restore: hxxp://www.google.fr/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 2039 Octet(s)
    .
    Fin à: 02:11:01, 17/05/2010
    .
    ============== E.O.F - SCAN[1] ==============
    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    On en est ou? Plus de problèmes?

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    0
  18. Underground57 Messages postés 106 Statut Membre
     
    Bonsoir,

    plus de problèmes virales je dirais ... Mais Windows est mal en point, j'aurais envie de te montrer un log pour illustrer ça, mais j'ai bien peur qu'un formatage s'impose :/

    Rapport SFC :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijbOgoib1.txt

    J'ai supprimé spybot sur ta demande, et voici le log ZHP que tu as demandé :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijhhUQOn9.txt

    Me conseille-tu un formatage, ou as-tu une solution miracle pour me sortir de là, pour info la commande suivante ne donne rien :/ :

    sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      JE ne sais pas à quoi correspondent les paramètres avec scannow...
      Tu as essayé juste: sfc /scannow
      Il doit demander le CD si il manque des fichiers;
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Si ça ne s'arrange pas, au moins ton PC est propre (niveau MBR) donc le formatage se passera bien
      0
  19. Underground57 Messages postés 106 Statut Membre
     
    Bonjour,

    en fait j'ai fait cette restauration Avec le cd d'installation en mode invite de commande dans la restauration

    Tu sais avec sources X:

    Mon pc était bien infecté alors ?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui

      C:\ErrLog.txt
      c:\programdata\hpeC453.dll
      c:\users\Nick\AppData\Roaming\cr-wdp2010.exe
      c:\windows\system32\%appdata%
      c:\windows\system32\dumphive.exe
      c:\windows\system32\Process.exe
      c:\windows\system32\SrchSTS.exe
      c:\windows\system32\VCCLSID.exe
      c:\windows\system32\WS2Fix.exe
      c:\windows\system32\drivers\lvuvc.hs

      +

      Une infection USB
      0
  20. Underground57 Messages postés 106 Statut Membre
     
    Bien le bonjour, sur tes conseils j'ai pris mon courage a deux mains et j'ai tout formaté.

    En prenant soin de faire un formatage bas level a l'aide de Ultimate boot CD 5

    on peut faire un dernier check up pour voir si l'infection est complètement éradiquée. Et tu me conseil de ne plus utiliser spybot ?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Pas besoin du check up en principe si ça a été bien fait.
      Tu peux au pire envoyer un rapport ZHPDiag

      Non n'utilise pas Spybot, c'est inefficace. Un tuto que j'ai écrit ce matin, si ça peut t'aider:
      https://www.luanagames.com/index.fr.html
      0
  21. Underground57 Messages postés 106 Statut Membre
     
    Merci chef pour ce dernier check ;)

    Voici le rapport champion :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijJRZSgh6.txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Arf, t'as déjà réussi à remettre un Ask bar ;)
      Ajout/suppresion de programmes => désinstalle cette daube.

      il faut faire attention quand tu installes les logiciels gratos, à bien décocher certaines cases qui installent automatiquement d'autre bidules à la con.
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Sinon c'est ok ;)
      0
  • 1
  • 2