Système gravement infecté... Résolu/Fermé

Question

Bonjour,

Tel que  le titre de ce message l'indique, mon système est gravement infecté.

Tous les liens de recherches générés pas google sont détournés aillleurs que où ils doivent conduire.

J'ai installé Kaspersky Internet Security 2009 version 8.0.0.357 mais il m'est bsolument impossile de faire la moindre mise à jour car à chaque fois que je click sur Update, ça se termine par un message d'erreur disant ceci "Unable to connect to update server"

Toutes tentatives d'aller sur le site de KAspersky se solde par un échec, évidemment, puisque tous les liens de recherches de googles sont détournés...

Je ne sais vraiment plus sur quel pied danser et c'est au point d'en devenir complètement dingue tellement j'ai essayé de tentatives diverses opour résoudre ce problème.

La seule façon de naviguer que j'ai trouvé et qui m,a permis de venir ici est de copier les liens indiqués par google et de les coller dans la barre d'adresse d'Internet Explorer.

Alors, toute aide serait grandement apporécié avant que ma santé mentale ne me fasse défaut, hehehe...lolll

PS: À tout hasard j'ai copier le raport de highjackthis ci-bas.

Logfile of HijackThis v1.99.1
Scan saved at 00:09:22, on 2008-07-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\kxmixer.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
D:\Druide\Antidote\Gestionnaire Antidote.exe
D:\Adolix Wallpaper Changer\AWC.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\MagicDisc\MagicDisc.exe
D:\OpenOffice.org 2.1\program\soffice.exe
D:\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [openvpn-gui] D:\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] D:\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [Wallpaper Manager] D:\Adolix Wallpaper Changer\AWC.exe -startup
O4 - Startup: OpenOffice.org 2.1.lnk = D:\OpenOffice.org 2.1\program\quickstart.exe
O4 - Startup: MagicDisc.lnk = D:\Program Files\MagicDisc\MagicDisc.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - D:\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - D:\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - D:\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D15832E-A256-4E46-99C6-56798E942FAD}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: eqvwamkl - {0A7E252C-56E0-420D-824C-406F6B63BE65} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\OpenVPN\bin\openvpnserv.exe

^^Marie^^ · Accepted Answer

Slt

Installe un anti-virus + un pare feu

+++

oO · Answer

J'ai pas lu tout le post mais déjà va voir :

C:\Windows\system32\drivers\etc\hosts

tu ouvres avec notepad ou bloc note tu copies colles le contenu dans ton prochain post (sauf si plus de 50 lignes)

tu copie colles ce fichiers sur le bureau à titre de sauvegarde, tu supprime l'originale et test voir si ça marche le net ^^

[o.o]REplay · Answer

Sauvegarde tes données sur un dvd ou un disque externe,
Format ton ordinnateur,
réinstalle tout proprement avec un antivirus A JOUR,

Scan tes données sauvegardées a la première étape afin de vérifiées qu'elles ne contiennent pas le virus. Si c'est le cas, essaie de le virer. Le mieux serai de passer par un système d'exploitation UNIX ou tu pourrai analyser tes données sans risque. Il existe des version de linux tournant simplement sur une clef USB (DSM pour Damn Small Linux) , ça pourrai bien t'aider :)

C'est le mieux à faire à mon avis.
Même si un antivirus te supprime ton problème, ton système m'a l'air foutu!
Moi je formaterai sans hésiter. Mais n'oublie pas de sauvegarder avant! :)

Bonne journée, et courage.

^^Marie^^ · Answer

J'ai très bien lu ta demande initiale
En attendant, je répond à le lecture de ton log Hijakcthis
TON anti-virus n'apparait pas. 
TU l'as acheté Kaspersky ?
Mets antivir en attendant voir ce que ça donne et fais un scan

afideg · Answer

Coucou Marie, A)- C'est qui ce petit "formateur" ==> [o.o]REplay Comme quoi, les internautes ont raison de douter parfois. B)- Si son Kis8 ne fonctionne pas, c'est qu'il est mal installé. Et un Kis8 qui ne va pas, c'est autant dire qu'il n'a ni AV, ni Pare-feu ! C)- En attendant, cverrcv, lance ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. D)- Supprime ta version actuelle de HijackThis via "Panneau de configuration" > "Ajout/Suppr. de programmes". a)- - Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur. b)- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau. c)- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse et poster son rapport ici. e)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] > Tuto: https://bibou0007.forumpro.fr/t108-tutorial-de-hijackthis-v2-0-2 Al.

[o.o]REplay · Answer

Je le redis une n-ième fois: c'est ce que JE fais, c'est un CONSEIL, je n'ai jamais prétendu avoir la voix de la raison T_T faut se calmer là les hargneux. Si ce que je propose ne lui plaît pas, rien ne l'oblige à faire ce que je dis.

Encore une fois, je le précise parce que je sens qu'y en a qui vont se sentir tout excités à l'idée de me répondre avec un long monologue plein de gentillesse et d'amour: Je ne passe pas plus de deux heures à essayer de virer un virus, ensuite c'est de la perte de temps sans garantie de résultats. Je n'ai jamais critiqué ce que vous proposiez, je ne dis pas que ça ne marchera pas, alors merci d'en faire autant, sinon allez tout simplement aux toilettes ou lire un livre, bref ne prenez pas la peine de me répondre =)

En attendant vous vous battez depuis le début de la journée, mais si il avait suivi mes conseils il aurai déjà réglé son problème non? Et en plus il aurai eu un système propre, stable etc...

Faire un backup de ses données ça prend quelques heures en fonction de ce qu'il a à sauvegarder.
Réinstaller windaube: environ une heure ou plus en fonction de la config.

Je ne vois rien de compliqué là-dedans sinon il faut me dire où.

edit: j'oubliais =P Le petit formateur emmerde le nain hargneux ^^

Jiminsk · Answer

Bon sang,

Ca a l'air bien logique d'installer un antivirus et un pare-feu et puis faire un scan interne avec antivir (par exemple) puisqu'en ligne, ça ne marche paaaaaas puisque le host est détourné (même si ça n'apparaît pas, dirait-on.) 
Une analyse en ligne impossible suite à une infection c'est souvent le cas. 
Une fois les virus détruits et une nouvelle analyse HiJack qui déterminera ce qui reste comme nuisibles, on pourra restaurer le host, avant c'est complètement inutile puisque le virus redirigera IE où il est programmé pour.
J'ai pas bien suivi ?

afideg · Answer

Bonjour TLM,

Jiminsk, au post # 11 cverrcv écrit ceci: « Bon, j'ai copié le contenu de hosts et voici ce que ça donne: 127.0.0.1 localhost »
Donc, son fichier hosts est correct.

Si déjà il pouvait répondre au message # 15, nous en saurions un peu plus !

Quel indice te permet d'écrire ceci: « puisqu'en ligne, ça ne marche paaaaaas puisque le host est détourné (même si ça n'apparaît pas, dirait-on.) Une analyse en ligne impossible suite à une infection c'est souvent le cas. » ?

Apparemment, l'internaute a trouvé solution ailleurs.
Normal, puisqu'on ne lui proposait rien de mieux que "formatage" ==> sans aucune précision (bas ou haut niveau), et sans aucune procédure d'exécution !!
J'aurais fait pareil (je ne suis pas WebMaster!!).
NOTE: "Trop de formatages" est perçu par Microsoft comme "copie de WINDOWS"; et il bloque alors son utilisation, sauf nouvelle licence.

Merci
Al.

Jiminsk · Answer

Bonjour afideg,

Il y a quelques semaines j'ai été victime d'un détournement d'hosts.
Ceci était visible grâce à la commande netstat mais aussi par mon pare-feu Kerio.
J'ai alors tenté plusieurs désinfections en ligne, dont celle de Kaspersky, avec IE bien sur.
Elles échouaient toutes et F-secure ou Bit defender ne pouvaient même pas se lancer.
C'est pourquoi je dis qu'en ligne ça ne marche pas avec ce genre d'infection et qu'il faut d'abord faire un scan interne du système pour y voir plus clair et donc installer un antivirus.
De toute façon, comme tu dis, cverrcv a apparemment résolu le problème autrement.

Quant au problème de formatages multiples, les avis divergent. Tant que les formatages s'effectuent sur la même machine, il n'y a aucune limitation, d'après mon vendeur d'OEM. Mais comment savoir ce qui, pour Microsoft, défini unemachine ? Quels composants peut-on changer, modifier, ajouter...sans que ça ne change l' "identité" de cette machine? Y-a-t-il un système de "points" accordés aux différents composants?
Je n'ai rien trouvé d'officiel sur ce sujet; ou pas encore. 

Joyeux samedi !

J.

afideg · Answer

Bonsoir Jiminsk,

Merci pour ces précisions relativement à tes "indices" d'intervention.


Mais ton raisonnement pourrait être "valable" s'il y avait eu détournement de fichier hosts; ce qui n'est pas le cas.
De même, tu as hypothéquer que les antivirus en ligne ne fonctionnaient pas; alors qu'il n'avait pas testé KasperskyOnline.


Quant à formater et relativement à la réaction de Microsoft, elle était réelle.
J'en connais plus d'un qui ont été contraints de racheter une licence. 
Naturellement, les temps changent et les investigations de Crosoft également.
Ce qui est certain, c'est que des empreintes restent (et s'accumulent) sur le DD.
Je regrette que tu n'aies pas proposer de procédure.

Enfin, ici, nous aimons comprendre les infections; cela fait partie de la lutte anti-malwares.  ;)


Bonne fin de semaine.
Al.

cverrcv · Answer

ah oui, j'oubliais d'ajouter ceci;

Je sais que l'infection, ou du moins la mise en place des mesures prévues par la dite infection, s'est produite Mercredi le 23 Juiillet aux alentours de 00:23 car c'est à partir de ce moment que les premiers problèmes sont apparus.

Je tenais à le mentionner des fois que ça pourrait aider à truver le bogue...

gen-hackman · Answer

Le petit formateur emmerde le nain hargneux 

je n arrive pas a comprendre comment ceci n a pas ete censuré....pour de la courtoisie....c 'est de la courtoisie !!!

Utilisateur anonyme · Answer

Bonsoir

Pour suivre merci

gen-hackman · Answer

Certes............

cverrcv · Answer

Voici quelques faits additrionnels très intéressants que j'apporte dans l'éventualité ou ça pourrait aider à solutionner mon problème.

Je n'avais jamais réussi à le faire mais j'y suis enfin parvenu, c'est-à-dire copier le lien de départ vers lequel tous les liens d'internet Explorer sont redirigés. C'est qu'il fallait être vraiment très rapide pour y parvenir puisque ce lien n'était visible que le temps que le l'adresse URL du site final soit affichée dans la barre d'adresse.

--------------------------------------------------------------------------------------------------------

http://asiuoqgusdbaksd.com/go.php?u=SMLcxvw-YgiYISuVFGdEAFmoyR4E54gmhwCw18LT_3Iebm94sqiBe_E-yoxfkHSgUcqIEfauQoP_OCC1QHf4BFTzXuHHjnpISRQkVHmoqKGpyIFYRcFWrypqQSUss_b2OkCnM7Rr-ud8OH8e267l3182kBpoKe7w38zFpi6jKidkX1iH7ZfZiySO8F3akd_M4Fdc42rwbP9kyHQFSf64MNlsT3mO1PYyiq4nUTx6ix70DaPx01WtvBDNROdjWEoeb2t68_s1ztnd3farhf3I37R6niIzCFTuFUxeYRvRpREBppmEuZsw1PewSUd-vmH2dRb0a1Cf9f3hSzT64tucCUpjjA5K6KimLP57dv-gznudbnFW6IJXnuSXiX09lu_e-ezqpFuIgzlpKVjRVN1eshOMzaZUm-Y76tt53acv-8AtWZJMDfSlYLzfV6PFxqiIdN1k9K_MGrXFcAIrWkyQ8ANnzRApP0OAYBShYijMcKQBFWAFam04wUupYlcANmM-ZNPKRQAAYY4AgGgEk8-4AgqEH_IW7-Uy9TiQSUqOETSqOrUlvMZqqkUyc-xj0XcQchLKDuUCXGJEcTEXiCgPPM9dCZfCQ8XhQAkovmlkloNe%3Ds%3Fphp.c%2F711.691.111.46

----------------------------------------------------------------------------------------------------------

Ceci étant dit, croyant que ça pouvait être un contrôle Active-X quelconque ayant été ajouté récemment, j'ai testé pour voir ce que ça donnerais, en désactivant tous les modules supplémentaires d'Internet Explorer, option offerte en cliquant avec le bouton droit de la souris sur le logo Internet Explorer. Malheureusement, ça n'a rien donné et mes liens sont toujours tous détournés.

cverrcv · Answer

Bon, là, ça avance, je suis enfin sur une piste et la bonne à part ça, hehehe...lolll

N'étant pas le genre à rester assis sur son cul en attendant les réponses aux demandes d'aide, j'ai continué de mon coté à chercher et à fouiller comme un vrai dâmné et je suis enfin tombé sur la source même du problème.

C'est en visitant un site après avoir tapé les mots de recherches suivant dans l'outil de recherches Google "all Internet Explorer links are redirected" que je suis tombé sur le site suivant:

https://www.labnol.org/software/browsers/prevent-opendns-google-redirects-firefox-address-bar-ie/2662/

Alors, ayant suivi la procédure offerte, je me suis rendu dans la base de registre et j'ai édité ce qu'il fallait selon les indications données et j'Ai fait un test pour voir ce que ça donnait.

Alors, à ma très grande surprise, je ne fut pas, du moins pas immédiatement, redirigé vers un autre de ces sites de merdes voulant me vendre de quoi.

Toutefois, bien que ça ait pris plus de temps que normalement, je fut redirigé vers un site offrant Windows Antivirus 2008 qui s'acharnait à me faire un prétendu test à la gomme de mon système que j'ai immédiatement pris soins d'interrompre.

Alors, une fois le test interrompu, un pop-up s'afficha et me laissait le choix de 1: Continuer en cliquant sur ok ou 2: d'envoyer balader le test en cliquant sur le X du coin supérieur droit du pop-up.

C'est alors à ce moment précis que la mémoire m'est revenue et que je me suis souvenu que c'est précisément suite à une apparition de cette foutue offre de merde que mes problèmes ont commencés.

Donc, j'étais bien décidé à ne pas me laisser prendre une seconde fois d'autant plus que mon système n'est pas encore désinfecté de cette merde...lolll

Alors j'ai lancé le gestionnaire de tâches et j'ai mis fin au processus Internet Explorer affichant cette fenêtre car de toutes façons je n'avais qu'une seule et unique fenêtre Internet Explorer d'ouverte à ce moment là.

Une fois que ce fut fait, j'ai lancé Internet Explorer et j'ai immédiatement été voir l'historique des sites visités afin de repérer le briguant.

Voici donc ce qu'il s'est passé dans l'ordre:

Dans un premier temps, le srcipt de redirection ne pouvant me rediriger vers un de leurs sites bidons, puisque j'ai enlevé la partie du code nécessaire à cet effet dans le base de registre, alors, il me redirigea vers le site initial m'ayant harponné de ce foutu scrpt merdique.

Alors, puisque j'ai déjà fourni, précédemment, le lien initial de cette redirection, inutile de le reproduire à nouveau ici.

Ensuite, l'historique montre un icone avec le logo IE à la droite de laquelle apparaît le mot "Redirect" et en lisant les propriété de ce lien on trouve ceci:

"_*-"http://2780_13866.blueseek.com/..."_*-"

À noter que "_*-" ne fait pas parti de ce lien évidemment. C'est moi qui ai ajouté ces éléments afin que ce lien ne soit pas cliquable pour éviter que d'autres malheureux se fasse prendre en cliquant dessus.

bref, pour ceux qui n'auraient pas encore compris, NE VISITEZ PAS, JAMAIS AU GRAND JAMAIS CE SITE SINON, VOUS SEREZ INFECTÉ, voilà, alors j'espère avoir été assez clair.

Donc, je continue.

Ensuite, mon historique indque Jump avec le logo IE à sa gauche et les propriétés de ce lien sont les suivantes:

"_*-"http://scanner.win-antivir-2008.com/35/?adv=1096&ref=1249&p=1000000000"_*-"

Encore une fois, NE VISITEZ PAS, JAMAIS AU GRAND JAMAIS CE SITE SINON, VOUS SEREZ INFECTÉ

Ceci met en marche le pseudo foutue scanner en ligne qui m'a trouvé rien de moins de 11 fichiers infectés sur les 288 qu'il avait apparemment eu le temps de lire, rien de moins. Il est d'une étonnante efficacité ce scanner puisque Kaspersky et Cureit n'ont absolument rien truvé eux, hehehe, hahaha...lolll

Bin voilà, c'est ça et c'est là où j'en suis rendu.

Je connais maintenant la source exacte d'où provient mon infection mais sans connaître la nature exacte de cette infection.

Donc, si l'un de vous a une suggestion précise en ce qui concerne l'infection propagée par ce site de merde, je suis preneur.

gen-hackman · Answer

salut moi j aurais bien tente ca histoire d avoir une idee plus precise :



télécharge GenProc [http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre 

Aide en images : [http://www.alt-shift-return.org/Info/GenProc-HowTo.html

cverrcv · Answer

c'est quoi ça ce machin GenProc au juste, jamais entendu parler auparavant???

J'aimerais bien avoir quelques avis sur la fiabilité de ce machin, je suis déjà assez malfoutu comme ça que je ne vais pas commencer à me permettre de ramasser n'importe quel bidule douteux, sans vouloir t'offenser hackman, évidemment, j'espère que tu comprends...

gen-hackman · Answer

bien sur je comprends et c est normal.......en tout cas si marie te donne des conseils tu peux les suivre les yeux fermés.....bonjour marie......

BOB3 · Answer

Bonjour a vous tous,

cverrcv, tu n'es pas le seul a avoir eu ce probleme, ce qui est curieus c'est qu'en investiguant sur l'origine du site
asiuoqgusdbaksd.com qu'on a atteri sur le lien qui te concerne.
bref, ta machine a ete detournee.
dans un premier temps il faut eliminer les traces d'adressage du site
le probleme c'est que le trojan qui t'infecte contient les noms des antivirus+antimalwares+etc....
pour t'empecher de les lancer.
je te conseille de renommer a chaque fois l'utilitaire de desinfection que tu va utiliser.malwarebytes, renommes le par exemple en --->>>karamel.exe

Normalement Smitfraudfix+malwarebites peuvent s'en occuper
https://www.precisesecurity.com/tools

pour commencer,
ce que tu va faire, lorsque tu es sur le bureau, tu va creer un raccourci, et tu va coller cette adresse dedans
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
au moment du telechargement, choisis un dossier, et dans la fenetre qui te demande la destination, tu renommes
smitfraudfix.exe,  ------>>>>tarte.exe
reboot en mode sans echec, et lances tarte.exe, a l'ecran bleu, tu tapes 2, et tu laisses terminer le scan,
ensuite il te demande 
Registry cleaning
Do you want to clean the registry ? (y/n)

tu tapes Y + entree

il va rebooter pour teminer et va generer un rapport dans C:\rapport.txt
fait un copier coller pour voir qu'est ce qu'il a fait.

a+
BOB3

cverrcv · Answer

Quoi qu'il en soit, au sujet de GenProc, j'ai trouvé un utilitaire de dépistage de Malware et autres saloperies du genre qu'un ami à moi a pu passer sous test aux 24 antivirus offert sur le site virustotal.com, parce que moi je ne suis pas en mesure d'accéder aucun site du genre, malheureusement.

Cet application se nomme Spynomore.

Alors, je l'ai fait rouler et ça m'a trouvé 2 infections qui sont les suivantes:

Vundo trojan  (Adware/Trojan)  sur c:\windows\system32\asr_pfu.exe

que j'ai immédiatement effacé pour le voir presque immédiatement réapparaître, comme ça, tout seul,, sans être vraiment surpris...

Possiblement dû à une stratégie de restauration automatique des fichiers de Win XP, éventualité à considéré quoi que n'ayant pas reçu de message du système à cet effet...

ensuite, ça ma trouvé dans 

HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersions\Windows.Applnit_DLLs

une Applnit DLLs Malware/Spyware

et en allant vérifier ça immédiatement, je me suis rendu compte que ça, ça me semble être relié de très près à Kaspersky qui est en installation pendante puisque je n'arrive pas à contacter les serveurs pour valider mon installation.

Alors, je ne sais vraiment pas quoi penser de cette seconde menace car je me demande si ça ne serais pas identifié comme étant un faux positif par Spynomore...

Quoi qu'il en soit, voici les données inscrite sous cette clef dans la base de registre:

&#58055;&#31889;&#8679;&#31872;??&#7872;&#52420;P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

À noter que les 3 DLL en question n'ont pas été détectés comme étant potentiellement dangereux par Cureit cependant...

gen-hackman · Answer

smitfraudfix 2 sans le rapport du 1 !!!!!!!!!!?????????????????????

gen-hackman · Answer

infections = non pas 12 mais 25..........as tu redemarré ?

as tu fait le scan de malwarebytes en sans echec??

n'hesite pas a refaire un scan et renvoyer un rapoort complet

cverrcv · Answer

ouais,bon, enfin, j'y suis finalement parvenu et tout est au pooint maintenant

il a fallu que je roule une série d'applications antimachintrucs en tous genre dont MalwareBytes, puis ComboFix renommé Antibagle et finalement Spybot Search & Destroy pour remettre de l'ordre à tout ça avant de finalement être en mesure de pouvoir installer le Service Pack 3 mais c'est MalwareBytes qui a eu le plus d'effets car il a détecté et éradiquer 2 virus.

On a beau dire, mais même lorsque la partie semble gagnée, on ne peut jamais être tout à fait certain tant qu'on a pas passé en revue le système sous la loupe d'un vaste choix d'applications de désinfection très varié parce que ce que certaines applicaions ne voient pas, d'autres le voient et sont en mesure d'intervenir efficacement.

J'ai toujours dis qu'il n'existait pas d'antivirus parfait et je continue de prétendre que cette affirmation tient parfaitement la route.

En ce qui concerne la création d'un nouveau point de restauration du système, ça ne s'applique pas à mon cas mon cher BOB3 puisque je désactive toujours la restauration du système en préférant utiliser Ghost pour me sauvegarder une image de mon système tel qu'il est installé au moment ou il opère dans les conditons idéales et c'est ce que je me prépare à faire une fois que j'aurai scanné tout mes disques durs avec Kaspersky Internet Security 2009 que j'ai en essai pour 30 jours et la base de virus la plus récente qui vient tout juste de se charger.

Alors mes plus sincères remerciements à ceux ayant portés assistance au solutionnement de ce problème et ne vas surtout pas croire que ça t'inclut [o.o]REplay...

[o.o]REplay · Answer

Je t'aime xD

MyT · Answer

Bonjour à tous !

La réponse est à cette adresse : 

https://forum.zebulon.fr/topic/148163-infection-virus-alert#entry1266936

Cordialement

MyT

Ps : Excusez-moi je me suis permis de mettre souvent ce message à certaines pages (3 ou 4 je ne sais plus).
Car dans la recherche Google c'était les pages qui m'ont été favorables a trouver la solution.

afideg · Answer

Salut MyT,

??? .......... ???
Yeah indeed !

Al.

Système gravement infecté...

27 réponses

Discussions similaires