Virus indetectableRésolu/Fermé

Question

Bonjour à tous,

Alors je suis nouveau sur ce forum, et je prend contact avec vous car depuis quelques temps j'ai de gros problèmes avec un virus informatique. Lorsque je surf sur le net j'ai régulièrement des petites fenêtres pubicitaires en russes qui apparaissent et qui me rendent vraiment fou aujourd'hui. Mon anti-virus (F-Secure) ne detecte rien, malwarebyte non plus.
L'utilisation de CCleaner n'a rien donné.
J'ai reformaté mon disque dur et réinstallé mon système d'éxploitation, le tout 2 fois, et rien n'y fait, je fini toujours par avoir ces popup. J'ai même cru un moment que le virus s'était mis dans mon secteur de demarrage principal, mais faire un fixmbr et fixboot n'a rien changé.
 
Voilà j'espère vraiment que quelqu'un pourra m'aider car je ne sais vraiment plus quoi faire.

Grand merci à ceux qui m'aiderons

kalimusic · Answer

Bonsoir,

Si en formatant 2 fois, l'infection réapparaît.
C'est que tu la réinstalles à ton insu.
Soit avec Windows, soit avec un logiciel, soit avec tes documents (avec une clé usb ou un DD externe) car elle présente sur ce support.

Tu as ces pubs avec n'importe quel navigateur ?

A +

Gilad · Answer

Bonsoir,

j'ai essayé avec google chrome et j'ai le même problème. Des pubs en russe avec bien souvent ecrit popunder.ru dessus. J'ai effectivement un DD externe que j'ai aussi scanné plusieur fois avec different logiciel mais rien n'est trouvé.

merci

kalimusic · Answer

re,

Nous allons utiliser cet outil de diagnostic afin d'essayer d'identifier le problème.


Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
%systemroot%\Tasks\*.* /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

kalimusic · Answer

Bonjour,

Je regarde les rapports reçus en mp, A +

kalimusic · Answer

re,

Je ne vois rien d'anormal.


1. Relance Firefox en mode sans échec et regarde ce que ça donne.


2. Télécharge  RogueKiller  (par Tigzy) sur le bureau
&#x25CF;   Ferme toutes tes applications en cours 
&#x25CF;  Lance RogueKiller.exe  
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
&#x25CF; Laisse le prescan se terminer, clique sur Scan
&#x25CF; Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.


A +

Gilad · Answer

re,

je t'ai envoyé le rapport de RogueKiller en MP. 

à bientôt

Gilad · Answer

Au fait j'ai fait la manip pour firefox, et effectivement je n'ai plus rien eu de suspect. Par contre en normal rien ne change...

à+

kalimusic · Answer

re,

Roguekiller confirme ce que je pensais en voyant le rapport OTL.
Pas d'infection, par contre un logiciel que tu as du installer a mis un plugin ou une extension qui affiche ses pubs dans les navigateurs.
 
Dans la barre d'adresse, copie/coller et aller about:support
Copier le texte dans le presse papier.
Colle le rapport dans le bloc-note et tu me l'envoies.

A +

afideg · Answer

Salut,

Je te reçois bien.

C'est vrai que certains forums n'affichent pas les rapports; et plus particulièrement pour le lecteur lambda NON-membre.
Bien souvent, il suffit d'être membre pour lire les rapports postés par l'internaute (soit en fichier joint, soit en lien d'hébergement).

Mais ici, sur CCM, il est d'usage de poster les rapports à la lecture de chacun.
Et si l'internaute suspecte des données privées à "cacher", il peut en discuter avec le Helper.

Toutefois, si je te lis bien < https://forums.commentcamarche.net/forum/affich-27773774-virus-indetectable#8 >: «Colle le rapport dans le bloc-note et tu me l'envoies.», cela ne laisse plus beaucoup de place au respect de la charte des Helpers qui prescrit qu'aucune désinfection ne peut se faire en MP.
Je rappelle que l'espace "Contributeurs Sécu" t'autoriserait à poster les rapports produits, même s'ils sont vides d'informations dites "Importantes ou Dignes d'intérêt".

Je pense en tout cas qu'il ne faudrait pas que cette façon de faire devienne une habitude sur CCM.
Sauf à considérer, comme tu le faisais observer, que "les rapports sont verrouillés, seuls l'équipe de désinfection = les Helpers, les Contributeurs et la Modération ont accès".

Cela mérite débat.
Le plus simple serait de ne pas changer nos habitudes. ;)
CDT.
Albert

Gilad · Answer

Bonsoir tout le monde, tout d'abord désolé de ne pas avoir respecté les règles de bonnes pratique de ce site mais je les ignorais. Comme je l'ai dit plus haut, je suis nouveau sur CCM et je dois dire que moi aussi j'ai l'occasion d'aller sur d'autre forum où poster les rapports n'est pas "obligatoire". Je posterai donc les rapports pour la suite. Voici déjà le rapport de RogueKiller : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : XXXXX [Droits d'admin] Mode : Recherche -- Date : 10/05/2013 19:34:13 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1001FALS-00E8B0 ATA Device +++++ --- User --- [MBR] 90c7cdfab2d1c46974858c7b34ae0cea [BSP] 9668f9150e9f0af211ac4744ee5fad35 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300000 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 614402048 | Size: 653867 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_10052013_193413.txt >> RKreport[1]_S_10052013_193413.txt Pour en revenir au dernier message de kalimusic, puis-je te demander plus de précision lorsque tu dis "Dans la barre d'adresse, copie/coller et aller about:support"? Je ne suis pas sur de te comprendre... Bàv, Gilad

Gilad · Answer

Bonjour,

voici :

  Paramètres de base de l'application

        Nom
        Firefox

        Version
        20.0.1

        Agent utilisateur
        Mozilla/5.0 (Windows NT 6.0; rv:20.0) Gecko/20100101 Firefox/20.0

        Configuration de compilation

          about:buildconfig

  Extensions

        Nom

        Version

        Activée

        ID

        Microsoft .NET Framework Assistant
        0.0.0
        false
        {20a82645-c095-46ed-80e3-08825760534b}

  Préférences modifiées importantes

      Nom

      Valeur

        browser.cache.disk.capacity
        358400

        browser.cache.disk.smart_size.first_run
        false

        browser.cache.disk.smart_size.use_old_max
        false

        browser.cache.disk.smart_size_cached_value
        358400

        browser.places.smartBookmarksVersion
        4

        browser.privatebrowsing.autostart
        true

        browser.startup.homepage_override.buildID
        20130409194949

        browser.startup.homepage_override.mstone
        20.0.1

        dom.w3c_touch_events.expose
        false

        extensions.lastAppVersion
        20.0.1

        javascript.enabled
        false

        network.cookie.prefsMigrated
        true

        places.history.expiration.transient_current_max_pages
        87194

        plugin.disable_full_page_plugin_for_types
        application/pdf

        privacy.donottrackheader.enabled
        true

        privacy.sanitize.migrateFx3Prefs
        true

  Accélération graphique

        Date du pilote
        12-1-2008

        Description de la carte
        ASUS EAH4870 series

        Direct2D activé
        Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 10.6 ou supérieure.

        DirectWrite activé
        false (7.0.6002.18592)

        Fenêtres avec accélération graphique
        0/1 Basic Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

        GPU #2 active
        false

        ID du périphérique
        0x9440

        ID du vendeur
        0x1002

        Pilotes de la carte
        atidxx32 atidxx64 atiumdag atiumdva atiumd64 atiumd6a atitmm64

        RAM de la carte
        Unknown

        Rendu WebGL
        Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

        Version du pilote
        8.561.0.0

        AzureCanvasBackend
        cairo

        AzureContentBackend
        none

        AzureFallbackCanvasBackend
        none

  JavaScript

        Ramasse-miettes incrémentiel
        true

  Accessibilité

        Activée
        false

        Empêcher l'accessibilité
        0

  Versions des bibliothèques

        Version minimale attendue

        Version utilisée

        NSPR
        4.9.5
        4.9.5

        NSS
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSSMIME
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSSSL
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSUTIL
        3.14.3.0
        3.14.3.0


Cordialement,

Gilad

kalimusic · Answer

ok,


Dans la barre d'adresse de Firefox, copie/colle about:support
 -> Entrée -> Restaurer Firefox dans son état initial
Clique sur le bouton Réinitialiser Firefox   
 

A+

Gilad · Answer

re,

c'est fait :



  Paramètres de base de l'application

        Nom
        Firefox

        Version
        20.0.1

        Agent utilisateur
        Mozilla/5.0 (Windows NT 6.0; rv:20.0) Gecko/20100101 Firefox/20.0

        Configuration de compilation

          about:buildconfig

  Extensions

        Nom

        Version

        Activée

        ID

        Microsoft .NET Framework Assistant
        0.0.0
        false
        {20a82645-c095-46ed-80e3-08825760534b}

  Préférences modifiées importantes

      Nom

      Valeur

        browser.cache.disk.capacity
        358400

        browser.cache.disk.smart_size.first_run
        false

        browser.cache.disk.smart_size.use_old_max
        false

        browser.cache.disk.smart_size_cached_value
        358400

        browser.places.smartBookmarksVersion
        4

        browser.startup.homepage_override.buildID
        20130409194949

        browser.startup.homepage_override.mstone
        20.0.1

        dom.w3c_touch_events.expose
        false

        extensions.lastAppVersion
        20.0.1

        network.cookie.prefsMigrated
        true

        places.history.expiration.transient_current_max_pages
        87194

        plugin.disable_full_page_plugin_for_types
        application/pdf

        privacy.sanitize.migrateFx3Prefs
        true

  Accélération graphique

        Date du pilote
        12-1-2008

        Description de la carte
        ASUS EAH4870 series

        Direct2D activé
        Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 10.6 ou supérieure.

        DirectWrite activé
        false (7.0.6002.18592)

        Fenêtres avec accélération graphique
        0/1 Basic Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

        GPU #2 active
        false

        ID du périphérique
        0x9440

        ID du vendeur
        0x1002

        Pilotes de la carte
        atidxx32 atidxx64 atiumdag atiumdva atiumd64 atiumd6a atitmm64

        RAM de la carte
        Unknown

        Rendu WebGL
        Bloqué pour la version de votre pilote graphique. Essayez de faire la mise à jour de votre pilote graphique vers la version 9.6 ou supérieure.

        Version du pilote
        8.561.0.0

        AzureCanvasBackend
        cairo

        AzureContentBackend
        none

        AzureFallbackCanvasBackend
        none

  JavaScript

        Ramasse-miettes incrémentiel
        true

  Accessibilité

        Activée
        false

        Empêcher l'accessibilité
        0

  Versions des bibliothèques

        Version minimale attendue

        Version utilisée

        NSPR
        4.9.5
        4.9.5

        NSS
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSSMIME
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSSSL
        3.14.3.0 Basic ECC
        3.14.3.0 Basic ECC

        NSSUTIL
        3.14.3.0
        3.14.3.0


Gilad

kalimusic · Answer

Toujours ces pubs en russes ?

A+

Gilad · Answer

oui, toujours. Ca n'a rien changé sur FireFox et bien sur idem sur internet explorer.

bàt,

Gilad

Gilad · Answer

En tout cas, cela m'a permi de voir que mes pilotes graphique étaient obsoletes (pas encore fait depuis mon dernier formatage).Je vais déjà faire ça

à+

kalimusic · Answer

re,

Comme dis au début de mon intervention, lors de la réinstallation du système, des programmes, etc... il y a une application qui place cette infection quelque part.

Firefox en mode sans échec, cela fonctionnait pourtant ?
Je vais me renseigner et je reviens vers toi.


A +

Gilad · Answer

oui effectivement cela fonctionne en mode sans echec.

Merci pour ton aide,

Gilad

kalimusic · Answer

re,

Est ce tu es connecté via une box ou un routeur ?
Quel est ton fournisseur Internet ? Est-il situé au Pays-Bas ?


1. Analyse le fichier C:\Windows\System32\ASDR.exe sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal 


2. Télécharge MiniToolBox (by Farbar) sur ton Bureau.
&#9656;  Sous XP double-clic sur l'icône pour lancer l'outil. 
&#9656;  Sous Vista/Seven/8  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Coche la case située devant les lignes suivantes :

Flush DNS
Report IE Proxy Settings
Report FF Proxy Settings
List content of Hosts
List IP configuration
&#x25CF; Clique sur le bouton GO
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 

Poste le rapport Result.txt
(à héberger si trop long)

A +

Gilad · Answer

Salut,

mon fournisseur est Scarlet (Belgique et Pays-Bas) et j'utilise un routeur. Pour la manip que tu me conseil, je reviens vers toi demain : je n'ai pas accès à mon ordi pour le moment.

Bàt,

Gilad

Gilad · Answer

Bonjour,

me revoilà. Voici le resulta de virustotal :

https://www.virustotal.com/gui/file/948a7ee58e74244b94f08b122c915fb3cfc3467beb9acb360aa8373143b3c485

et voici pour minitool box

http://up.security-x.fr/file.php?h=R1ce3686311804c101c1840dfee981825 

Bàt,

Gilad

kalimusic · Answer

Bonjour,

Ces 2 analyses ne donnant rien, revenons à  ma 1er idée :

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

hklm\software\mozillaplugins /s
hklm\software\microsoft\internet explorer\plugins /s
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
&#x25CF; Copie/colle le dans ton prochain message (à héberger si trop long).


2. Firefox > Modules complémentaires > Plugins
Essaye de faire une ou deux copie d'écran montrant tous les plugins présents.
Héberge les images et poste les liens.

A +

Gilad · Answer

Bonsoir,

voici le nouveau rapport OTL:

http://up.security-x.fr/file.php?h=Rc6098715d159dec1a6bc4eac1566d435

et pour les plugins :

http://up.security-x.fr/file.php?h=R9f319c9ed77c86b0c9059e140f8c9265

Cdt,

Gilad

kalimusic · Answer

Bonsoir,

Malheureusement, cette piste ne mène nul part.

Afin d'éliminer une possibilité, parlons avec franchise.
Est-ce que la version installée de Windows est officielle ?
Est-ce que des logiciels cr*ckés ont été installés ?

Peux tu me faire une copie d'écran avec ces pubs stp.


A +

Gilad · Answer

Bonjour,

Alors en toute franchise il n'y que des versions officielles installées sur mon PC, que ce soit pour windows ou pour tout autre logiciel. Ce ne serait pas dans mon intéret de mentir là-dessus,mon but étant réelement de me débarasser de ce problème une bonne fois pour toute...
Les quelques logiciels gratuits que j'ai (VLC, Skype, ...) ont été téléchargés sur les sites officiels. De plus mon utilisation du net se résume au plus simple (mails, news, skype...) ce qui fait que je ne comprend vraiment pas comment j'ai attrapé ce truc!

Voici deux captures prises sur ce forum juste avant de répondre au dernier message :

http://up.security-x.fr/file.php?h=R705d4f17df90674a6444a1307b6a7088

http://up.security-x.fr/file.php?h=Rf4d1074f68bd7bb35a5ac0d08376191f

Ca commence à m'inquiéter là...

Bàt,

Gilad

kalimusic · Answer

Bonjour,

Il fallait poser la question car dans ce cas, un fichier système aurait pu être modifié dés le départ et pourrait s'avérer indétectable.
Tous les scans depuis le début ne montrant aucune infection.

Télécharge Process Explorer
&#x25CF; Dézippe le sur ton Bureau.
&#x25CF; Lance le et agrandi la fenêtre si nécessaire.
&#x25CF Lance un navigateur, et quand une pub apparait fait une copie d'écran de la fenêtre de Process Explorer


Est ce que tu peux faire un reset de ton routeur pour voir ce que ça donne ?


A +

Gilad · Answer

Voici déjà les captures (2, je ne sais pas tout capturer en une fois) :

http://up.security-x.fr/file.php?h=R099b55ac30cf78ebe50a229dad823e01

http://up.security-x.fr/file.php?h=R823fc97931f2765891aae0c136277787

Je reset le routeur et reviens.

Gilad

Gilad · Answer

Re,

alors j'ai fais un reset routeur et verdict : plus rien depuis!
Tu sembles avoir trouvé qqch, mais je dois dire que je comprend pas trop. 
Maintenant, est-ce que le problème est vraiment résolu? J'ai formaté mon PC 2 fois et à chaque fois c'est revenu (immediatement la 1e fois et après 1 semaine disons la 2e).
Je me sentirai quand même rassuré en sachant ce qui provoque ce problème... Cela a-t-il un rapport avec mon fournisseur (tu me demandais plus haut pour les Pays-bas...) ?

En tout cas un grand merci à toi kali pour ton aide, tu ne m'as pas laissé tombé ! Franchement j'aurai jamais pensé à ça!

Bàt,

Gilad

kalimusic · Answer

re,

Cela ressemble à un Hijack DNS : https://www.malekal.com/livebox-et-hijack-dns-redirections-google/

Logique puisque depuis le début, aucun fichiers malicieux, aucun modules ou plugins suspects dans les navigateurs et le formatage n'avait pas résolu le problème.
Le fait que Firefox fonctionnait en mode sans échec m'avait un peu égaré.

Concernant la question sur le fournisseur internet, j'ai vu dans OTL :

Locale: 0000080c | Country: Belgique | Language: FRB | Date Format: d/MM/yyyy Mais que les DNS du FAI était situé au Pays-Bas : http://whois.domaintools.com/217.23.12.222
D'où ma question.

A +

Gilad · Answer

Bonjour,

alors plus rien à signaler depuis hier, je pense que le problème est résolu et je vais donc cloturer cette discussion. Je tiens encore une fois à te remercier kali pour ta persevérence!

à +

Gilad

kalimusic · Answer

Bonsoir,


Très important : change le mot de passe de ton routeur, cette infection a exploité la faiblesse de celui-ci (et à plus forte raison le mot de passe usine).

Choisir un mot de passe fort : https://www.commentcamarche.net/faq/29818-choisir-securiser-et-gerer-ses-mots-de-passe


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Lance OTL

&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau


 == == == == == == == == == MISES A JOUR == == == == == == == == == 

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

Tu peux installer WOT et ABP pour sécuriser Firefox

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Virus indetectable

31 réponses

Discussions similaires

Newsletters