Help Virus !

addis
Modifié (septembre 2008) dans Conseils codes malveillants

Je me connecte depuis un autre ordinateur car depuis ce matin je ne peux plus accéder aux pages des différents antivirus, aux pages de ce forum, google m'envoie vers des sites différents de ceux affichés sur sa propre page, etc.


Un seul phénomène récurrent : le passage par un site clearask... après google. Rien trouvé sur le net. Suis-je le premier ?


Edit : un scan de BD ne donne rien. 0 menaces... BD a-t-il laissé passer un virus ?


Reedit : j'ai la version 2009 de BD total security

Réponses

  • Bonjour Addis,


    Pour la redirection, c'est peut être le fichier Host de la machine qui est modifié ou un processus publicitaire qui attrape les trames HTTP à sa guide.


    Y a t-il d'autres symptômes sur le poste tel que :


    - L'absence du panneau de configuration dans le menu "Démarrer" ?


    - L'impossibilité d'accéder aux gestionnaire des tâches par un "ctrl+alt+supp" ?


    - L'apparition exagéré de fenêtres publicitaires ou des icônes étranges sur le bureau ?


    Nous allons dans un premier temps voir si quelque chose est repérable sur un rapport runscanner :


    Veuillez exécuter le logiciel sous zip disponible au lien ci-dessous :


    http://www.runscanner.net/runscanner.zip


    - Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".


    - Il vous faudra ensuite cliquer sur "Scan computer" et attendre que le processus se déroule.


    - Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers, il faudra poster le .run sur le forum (il sera peut être nécessaire de le zipper si celui-ci le refuse).

  • Question à mille francs (euros) !


    J'ai bien le fichier demandé mais, comment vous le transmettre alors que je ne peux pas me connecter au forum depuis le poste infecté ? Si je le copie sur une clé et que je l'envoie via mon autre ordinateur, je rique d'infecter la clé et l'autre ordi, non ?


    Je n'ai aucun des autres symptômes que vous décrivez, seule la redirection de google est affecté et je ne peux pas me connecter sur les sites des antivirus, donc du forum.

  • Je vous propose deux solutions :


    - Poster ce fichier sur un site de partage gratuit comme celui-ci :


    http://www.megaupload.com/fr/


    - Vous envoyer par webmail le fichier .run pour le diffuser à partir de l'autre ordinateur (le risque d'une reproduction dans un .run est plus que minime et même si cela était le cas c'est nous qui ouvrirons le fichier et prendrons donc l'éventuel risque).


  • D'accord pour envoyer par mail. Pouvez-vous m'indiquer à quelle adresse je l'expédie ?

  • fichier envoyé à l'adresse indiquée. Merci !

  • Désolé nous n'avons rien reçu pour le moment.


    Sinon, n'hésitez pas à mettre ce .run sous zip et à l'envoyer à vous même, ainsi, vous pourrez sur l'autre ordinateur relever ce fichier zip inoffensif par webmail et le poster directement sur le forum.

  • Inconnu
    Modifié (septembre 2008)

    Cela me fait penser à un Bagle.


    Voici ce que je propose :


    1/ Téléchargez du poste sain :


    - ComboFix :


    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    - Elibagla en cliquant sur le bouton 'Descargar ELIBAGLA 11.70' sur le site ci-dessous


    http://www.zonavirus.com/datos/descargas/95/elibagla.asp


    - ScanBit :


    ftp://ftp.editions-profil.fr/support/Scanbit.exe


    2/ Renommez le fichier "ELIBAGLA.B%D8%D8IB%D8%D8H.EXE" et "ComboFix" en autre chose (les codes malveillants ont sinon tendance à les repérer facilement).


    3/ Transférez ces fichiers sur votre ordinateur par l'intermédiaire d'un CD/clé USB et démarrez le poste en mode sans echec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).


    4/ Une fois en mode sans echec :


    Combofix :


    - Lancez alors ComboFix.


    - Quand il vous proposera le 'disclamer', appuyez sur 1 pour continuer.


    - Combofix lancera la sauvegarde du registre puis commencera le nettoyage.


    Nb : Il y a aura 41 étapes, ne touchez à rien pendant ces opérations.


    - Quand Combofix aura fini de travailler, il créera un fichier rapport qu'il ouvrira, sauvegardez le sur le bureau.


    Elibagla :


    Nb : si ComboFix vous a fait redémarrer le poste en mode normal, veuillez charger à nouveau le mode sans echec pour suivre le déroulement suivant :


    - Lancez le fichier relatif à Elibagla et choisissez "Explorar".


    - Ceci fait suivez les indications données par l'outil.


    ScanBit :


    Nb : si EliBagla vous a fait redémarrer le poste en mode normal, veuillez charger à nouveau le mode sans echec pour suivre le déroulement suivant :


    - Exécutez le fichier téléchargé "Scanbit.exe" qui proposera l'extraction dans "C:|ScanBit".


    - Ceci fait double-cliquez sur le fichier scanbit.bat dans ce répertoire.


    - Tapez 1 pour lancer une analyse de votre disque dur et validez par la touche Entrée


    - Une fois l'analyse terminée, le menu du départ va se remettre en place, l'analyse terminée, un fichier rapport nommé analyse.txt sera créé sur C:\


    - Pour quitter la fenêtre, tapez 3 et validez par la touche Entrée

  • addis
    Modifié (septembre 2008)

    Première chose : mon ordinateur semble refonctionner normalement. Google est redevenu "normal" et je vous écris depuis le poste qui "était" infecté, puisque j'ai de nouveau accès aux sites portant un nom d'antivirus.


    - ComboFix a fonctionné normalement et m'a effacé quelques DLL du type tdss* et d'autres actions que je ne saisis pas.


    Voici le fichier log


    /applications/core/interface/file/attachment.php?id=3088" data-fileid="3088" rel="">ComboFix.txt


    Il a relancé windows en mode normal et à l'ouverture, BD a détecté un fichier infecté par le "virus" Packer.Malware.Lighty.D qu'il a supprimé. Bizarre, non ?


    - Elibagla a fonctionné et n'a trouvé aucun fichier infecté. Fichier infosat ci-dessous.


    - ScanBit n'a pas fonctionné. Il s'est installé normalement, j'ai pu le lancer, mais il a immédiatement affiché une erreur et n'est pas allé plus loin.


    A la racine du disque, et datés d'aujourd'hui, j'ai le fichier combofix.txt, le fichier infosat de Elibagla et 4 fichiers en .sqm dont j'ignore la source et que j'ai renommé en .txt pour pouvoir vous les joindre.


    /applications/core/interface/file/attachment.php?id=3089" data-fileid="3089" rel="">InfoSat.txt


    /applications/core/interface/file/attachment.php?id=3090" data-fileid="3090" rel="">sqmdata00.txt


    /applications/core/interface/file/attachment.php?id=3091" data-fileid="3091" rel="">sqmdata01.txt


    /applications/core/interface/file/attachment.php?id=3092" data-fileid="3092" rel="">sqmnoopt00.txt


    /applications/core/interface/file/attachment.php?id=3093" data-fileid="3093" rel="">sqmnoopt01.txt


    Je ne sais pas si je suis débarrassé de ces codes malveillants, mais quoi qu'il en soit, je tiens à vous remercier pour votre action efficace et votre entière disponibilité. Même si nous râlons souvent sur les bugs de BD, force est de constater tout le mal que vous vous donnez pour répondre à tous les soucis émis pas les forumeurs. Encore un grand merci.


    Une question cependant. Comment se fait-il que BD puisse laisser passer un malware, et ne pas le détecter après une analyse approfondie. La version 2009 est-elle totalement fiable ou dois-je repasser à la version 2008 ?


    Enfin, j'ai un lecteur DD externe sur lequel je sauvegarde systématiquement le repertoire Mes documents et les mails de Windows Live Mail. Dès que j'ai réalisé qu'il y avait une infection, je l'ai deconnecté (USB). Dois-je le scanner avant de le réutiliser, et si oui, BD suffit-il, ou faut-il un logiciel spécifique ?

  • Inconnu
    Modifié (septembre 2008)

    Bonjour Addis,


    Merci pour votre message au sujet du forum :).


    Il y avait effectivement un logiciel publicitaire qui semblait avoir réussi à se greffer.


    Le problème du moment, c'est que beaucoup de logiciels publicitaires circulent sur Internet et se servent des failles de sécurité Windows/IE/Java/Flash non corrigés pour s'installer par dessus les outils de protections (quelque soit la marque ou sa technologie rien n'est possible techniquement dans ce cas), une fois installés il se protègent au maximum et n'hésitent pas à modifier Windows pour se rendre indétectables, il faut donc sans cesse trouver de nouvelles méthodes pour les déceler par la suite.


    Grâce au système des Iframes permettant l'imbrication de pages Internet dans d'autres, ces pirates ont juste à changer un seul élément pour mettre à jour des milliers de sites (qu'ils entretiennent ou ont piraté en injectant leurs codes), si les mises à jour tardent au niveau des développeurs corrigeant l'exploit Windows/IE/java/flash ou que la machine surfeuse ne l'a pas encore appliqué le risque est multiplié.


    L'autre problème bien sur est que ces logiciels publicitaires sont parfois présentés comme des "sponsors", justifiant ainsi la gratuité d'un logiciel et il n'est ainsi pas toujours évident pour les laboratoires de déterminer le moment à partir duquel on le considère réellement comme une menace potentielle ou une gêne pour l'utilisateur.


    Je pense que ComboFix a ici jugé à raison de supprimer les fichiers, la protection temps réel BitDefender a ensuite pris la suite et il ne semble plus avoir lieu de s'inquiéter pour le système (ni pour vos données car il est rare que les logiciels publicitaires de ce type parasites des fichiers (leurs buts n'est pas de se reproduire mais simplement d'envoyer leurs prospectus virtuels)).


    Bon week end.

  • Merci encore et bon week-end. :)