pop up phishing intempestive Résolu/Fermé

Question

Bonjour,

Je viens solliciter votre aide car depuis quelques jours, mon pc, celui de ma femme et son smartphone ont les mêmes symptômes : pop up qui s 'ouvre en demandant les coordonnées de compte google. C'est évidemment une tentative de phishing mais on arrive pas à s'en défaire ni à comprendre comment on a pu être infecté.

Bref, Je vais commencer à détailler les symptômes de mon pc :

Environ 5 pop up s'affichait au démarrage. J'ai retrouvé dans les tâches lancée au démarrage un certain wp-update que j'ai bloqué.
Désormais, ces pop-ups se lancent quand j'ouvre Thunderbird.

J'ai utilisé plusieurs outils de recherche de Malware : spybot, Malwarebytes anti-malwares et adwcleaner. J'ai également installé et lancé ZHP.
Le symptôme persiste malgré que spybot et Malwarebytes aient procédé à des désinfections mais je crois que ZHP a identifié des dysfonctionnements et la présence d'un virus.
Voici les rapports :

Rapport Spybot :

https://pjjoint.malekal.com/files.php?read=20141014_e7y9y5n14w8

rapport Adw Cleaner :

https://pjjoint.malekal.com/files.php?read=20141014_v9i14n9k10i14


Rapport Malwarebytes :

https://pjjoint.malekal.com/files.php?read=20141014_i11m1512g14s8

Rapport ZHP:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20141014_y8r14u9v14x12


Merci d'avance à tous ceux qui peuvent me filer un coup de main pour désinfecter mon pc.

Malekal_morte- · Answer

Salut,

Désinstalle Spybot puis :



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    


* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Raz101 · Answer

Merci pour ton intervention rapide.
Je vais suivre ce que tu me demande de faire et je poste les rapports tout à l'heure.

Raz101 · Answer

Durant l'analyse une fenêtre est apparue indiquant :
 cannot create file C:\Users\Julien\Desktop\cmd.bat.
J'ai appuyé sur ok, l'analyse a l'air de s'être arrêtée ( OTL est toujours ouvert mais affiche looking in folder :\... depuis un bon moment déjà sans autre réaction) et je ne trouve pas de fichier OTL.txt sur le bureau. Est il ailleurs?

Raz101 · Answer

Voici les rapports :

OTL

https://pjjoint.malekal.com/files.php?id=20141014_k7f14r6j812

Extras

https://pjjoint.malekal.com/files.php?id=20141014_v14d7q1512m14

Malekal_morte- · Answer

Rapport correct,

vu que ça le fait sur PC et Smartphone, ce serait bien d'avoir une capture d'ecran  de la page en question.
=> https://www.commentcamarche.net/faq/398-comment-faire-une-capture-d-ecran

Raz101 · Answer

Merci pour ta réponse

Voici le lien :

http://cjoint.com/14oc/DJoqnqsu4Ii.htm

Pour l'image du smartphone c'est différent mais je ne peux pas faire de capture pour l'instant.

Malekal_morte- · Answer

Déjà c'est pas normal.

Tu as vu le titre des fenêtres ?
"saisissez le nom et le mot de passe xxxxxx@gmail.com"
avec un nom aléatoire, on voit pas le tout, dommage, j'imagine que c'est un compte ou une adresse email.

Désormais, ces pop-ups se lancent quand j'ouvre Thunderbird. 

Tu as quoi dans les boite d'envoi ?

Tu as un compte email qui est configuré avec le SMTP de Gmail ?

Raz101 · Answer

J'ai bien vu le titre, c'est pourquoi je pensais à une tentative de phishing
En plus impossible de redimensionner les fenêtres

Pour info, lorsque la pop up se lance sur le pc de ma femme, c mon adresse gmail perso qui s'affiche

En ce qui concerne la boîte d'envoi, je n'ai pas remarqué de message sortant anormal

J'ai plusieurs comptes Gmail sur Thunderbird et tout ces comptes utilisent le serveur smtp Gmail

Malekal_morte- · Answer

Ca ne répond pas à la question pour Thunderbird.
Il faut qu'il soit ouvert ou non ?

Car ça peux être Thunderbird qui tente d'envoyer des emails.
Tu as aussi BitDefender AntiSpam, il peux être la cause.

Ca fait quoi si tu changes le SMTP dans Thunderbird ?

~~

il se trouve là ton wp-update ?
 c:/users/ton user/appdate/roaming/wp-update/wp-update.exe

Tu peux l'envoyer sur https://www.virustotal.com/gui/ et donner le lien de scan.


tu peux aussi vérifier avec Process Explorer
=> http://www.malekal.com/2010/11/12/tutorial-process-explorer/

Si lorsque tu redémarres l'ordinateur, tu as un cmd.exe qui est démarré.
Si oui double-clic dessus et donne le contenu de command line qui se trouve dans la nouvelle fenêtre.
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Raz101 · Answer

pour répondre à ta première question, les pop up arrivent lorsque j'ouvre thunderbird pour la première fois. Si je ferme les pop up et que j'utilise thunderbird pour envoyer des mails, elle n'apparaissent plus. 

je regarde pour le reste

J'ai modifié les adresses smtp et ca ne change rien

Raz101 · Answer

Je suis en train de m'arracher les cheveux car je ne trouve plus de dossier User, il y a qu'un seul fichier nommé utilisateur avec un dossier "Public". Pourtant je regarde à la racine.
En partant de C, je n'arrive même pas à trouver le fichier contenant mes documents, ma musique, etc ... 
Je viens de trouver également un dossier "b312e57c4e26a8b647c294f5" que je n'arrive pas à ouvrir.
Peux tu m'aider stp. Ca se trouve c moi qui fait n'importe quoi

J'ai lancé Process explorer mais je n'arrive pas vraiment à comprendre ce qu'il fait. Je vais devoir y aller et je reviendrais sur le forum demain pour voir si tu peux me guider. en tout cas, merci pour ton aide d'aujourd'hui et du temps passé à essayer de comprendre ce fichu bordel.

Je me demande également s'il faudrait pas mieux que je formate mon pc histoire de partir sur des bases saines. 

Bonne soirée

Malekal_morte- · Answer

Vu que le rapport OTL est propre, que BitDefender détecte probablement rien.

Je pense que ton prob est lié à Thunderbird et le fait que tu utilises le SMTP de Gmail.

Faudrait creuser de ce côté là.

Raz101 · Answer

Salut,

je vais essayé de reprendre les choses tranquillement dans l'ordre.

1/ J'ai essayé de changer les smtp Gmail mais le symptôme reste identique

2/ Concernant le fichier wp-udate, j'ai finalement trouvé le dossier correspondant. Le chemin est bien celui que tu as donné. Cependant, le dossier ne contient qu'un seul fichier : CurrentVersion.txt. Aucun fichier .exe, visible en tout cas.

3/J'ai lancé Process explorer et je n'ai pas trouvé de processus vraiment suspect. j'en ai vérifié quelques un sur Total virus mais il semble que c'était ok!

4/ J'ai relancé une analyse complète avec Bitdefender et pour l'instant, il a retrouvé 4 menaces. Je te transmets le rapport final dès que c'est fini.

Malekal_morte- · Answer

https://forums.mozfr.org/viewtopic.php?f=4&t=120490

C'est en effet le module Lightning 3.3 qui provoque cette fenêtre pop up et elle semble être l'originale de Google. En désactivant le module elle n'apparait plus.

Pop up phishing intempestive

14 réponses

Discussions similaires