logo Homepage
+  NewbieContest
|-+  Divers» Informatique» xp infecté (étranges symptomes)
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: xp infecté (étranges symptomes)  (Lu 6583 fois)
stayflex

Profil challenge

Classement : 3120/54670

Néophyte
*
Hors ligne Hors ligne
Messages: 13


Voir le profil
« le: 31 Août 2008 à 21:03:45 »

bonjour,

j'ais un problème au demarage mon xp a changé de wallpaper  un truc blanc avec une fake fenaitre vista me disant que j'ai tel et tel virus et quil faut télécharger machinchause.

-bon check des procéssus un petit nouveau est apparu  logé dans system32 je le vire je vérifie le démarage, je le vire (msconfig)

-scan avast qui trouve un truc dans la mem et me dit de reeboot pour scanner avt le démarage OK

-il ne trouve rien

-le fake wallpaper est revenu

-reboot sous linux

-scan avec clamav de ma partoche win: 7 fichiers trouvés et suprimés

-reboot sous xp mon wallpaper originel est revenu je mate tcp, processus tout ça ... nada (ouf)

-je retourne glaner des info sur google et là chaque lien qu'il me donne (pour nimportequelle recherche)
si je clique dessus (même des très respectables) me redirige vers du porn, du vigra et des antivirus bidons
en passant par l'ip: 64.111.196.117 apparement connue pour le spam


5 QUESTIONS:


-comment fait il pour me rediriger depuis google?

-comment ais-je été infecté (pas d'éxecutables dl depuis un mois et rien fait de particulier)?

-pourquoi ce qui reste est indétectable est quel anti-quequ'chose me conseillez vous?

-comment je le fout dehors?

-quelles info vous faut-il pour m'aider?
Journalisée
s3th
Relecteur

Profil challenge

Classement : 422/54670

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 645


Voir le profil WWW
« #1 le: 31 Août 2008 à 21:24:28 »

t es en wifi ?
Journalisée

..\m/..  Tout n'est qu'illusion ..\m/..

http://backtrack-fr.net/

3NJ0Y et non pas enjoy comme certaine tapz
mogg41

Profil challenge

Classement : 455/54670

Membre Senior
****
Hors ligne Hors ligne
Messages: 267

Mogg41 pour vous aider!


Voir le profil
« #2 le: 31 Août 2008 à 21:27:19 »

Ce genre d'infection est fréquente sous xp. Tu peux ne pas y échapper (mais l'éviter dans de très nombreux cas) même si tu fais attention et si tu es correctement protégé.

Pour ma part, lorsque j'ai à faire à ce genres de virus, ver, malware (peu importe le nom)... j'ai toujours la même approche:

1- Hijackthis: logiciel très puissant. Je check les processus (taskmgr ne t'affiche pas tout) puis ce qui se lance au démarrage. Pour cela il faut avoir quelques connaissances en la matière et bien connaître ta machine (cela peux prendre du temps la première fois).

2- Généralement j'ai trouvé ce qui cloché, donc je passe en mode sans échec sans prise en charge du réseau (des fois ces petites bêtes se propagent à ton insu donc autant protéger les autres )

3- Après j'enchaîne les analyses Avast, Ad-aware, spybot search and destroy... Je supprime manuellement (avec précaution) les fichiers que j'ai repéré avec Hijackthis et qui n'ont peut être pas été supprimé par les analyses.

4- Je repasse en mode sans échec, je regarde si les symptômes sont toujours présent. Si oui, direction google puis scan en ligne...

Il se peut des fois que tu ne trouves pas par toi même ce qu'il cloche donc il n'y a plus que google pour t'aider.

2-3 conseils en vrac qu'il est peut être bon de rappeler pour se protéger:
- Avoir un AV. Il en existe de très bon gratuit, Avast en autre.
- Avoir un firewall, un vrai, pas celui de windows hein
- Ne faire confiance à personne, je sais cela fait parano, surtout en p2p.
- Faire des analyses fréquemment (pour ma part toutes les semaines).
- Faire des sauvegardes sur DD, DVD de ce qui compte à vos yeux. Des fois seul le formatage peut vous aider.
- Avoir tous vos logiciels à jour!
- Un nettoyeur de registre tel que regcleaner peut être utile aussi.
- Passer sous linux? (non je ne troll pas)

-reboot sous linux
Je n'ai jamais pratiqué du fait que je n'ai que Xp sur mon laptop. Est-ce efficace? Est-ce que les AV sous linux ont une base virale qui englobent les virus de windows? Je reste perplexe...

Pour ce qui est du comment cela marche, je ne répondrai pas de peur de dire des c*nneries plus grosses que moi. Je laisse la parole à ceux ayant déjà coder ce genre de prog (je suis sûr qu'il y en a parmi ceux qui me liront, ne vous cachez pas  ).

Mogg.
« Dernière édition: 31 Août 2008 à 21:53:21 par mogg41 » Journalisée

"Il ne savait pas que c'était impossible alors il l'a fait." Mark Twain
Spaulding

Profil challenge

Classement : 8/54670

Membre Complet
***
Hors ligne Hors ligne
Messages: 190


Voir le profil WWW
« #3 le: 31 Août 2008 à 21:43:20 »


-je retourne glaner des info sur google et là chaque lien qu'il me donne (pour nimportequelle recherche)
si je clique dessus (même des très respectables) me redirige vers du porn, du vigra et des antivirus bidons
en passant par l'ip: 64.111.196.117 apparement connue pour le spam

-comment fait il pour me rediriger depuis google?

Regarde peut-être du côté de \WINDOWS\system32\drivers\etc\hosts
Journalisée

---------------
Shakan

Profil challenge

Classement : 1067/54670

Membre Complet
***
Hors ligne Hors ligne
Messages: 181


Voir le profil WWW
« #4 le: 31 Août 2008 à 22:15:31 »

Ou sinon il peut aller sur ce site embêter les messieurs qui s'en occupe ils ont l'habitude de ca.
De ce fait ils te répondront dans l'heure qui suit ton post si ce n'est dans la minute ^^

Le site ==> http://www.sosordi.net/
Journalisée

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+: a-- C++ UL- P L++ E--- W++ N+ o K- w
O-- M-- V-- PS PE Y PGP- t+ 5 X+ R tv- b++ DI D++
G e++ h! r++ y+
------END GEEK CODE BLOCK------
stayflex

Profil challenge

Classement : 3120/54670

Néophyte
*
Hors ligne Hors ligne
Messages: 13


Voir le profil
« #5 le: 31 Août 2008 à 22:29:09 »

à s3th:
alors je suis ethernet

à mogg41:
hijackthis je me documente demain
comme av: avast
firewall:  zonne alarme


Citation
Passer sous linux?
en fait j'y suis déjà 50~60% du temps  

je **orthographe !** de tester spybot rien de nouveau

Les bases des av linux (avast existe sous linux il me semble) sont visiblement communes enfin pour ceux  qui sont multiplateforme; j'avais trouvé clamav en faisant une recherche sur le forum ubuntu avec genre "scanner partition windows depuis linux".


à Spaulding :

Citation
\WINDOWS\system32\drivers\etc\hosts

oh merci je ne connaissais pas mais il est d'origine:
des commentaire et mon ip local host dans le doute j'ais regardé tout le répertoire mais rien



merci de votre aide demain je fais tourner hijackthis et je vous dit quoi.
Journalisée
_o_
Relecteur

Profil challenge

Classement : 43/54670

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #6 le: 31 Août 2008 à 22:50:34 »

Est-ce que les AV sous linux ont une base virale qui englobent les virus de windows? Je reste perplexe...

Et ils servent à quoi les antivirus sous Linux, dans leur grande majorité ?
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
stayflex

Profil challenge

Classement : 3120/54670

Néophyte
*
Hors ligne Hors ligne
Messages: 13


Voir le profil
« #7 le: 01 Septembre 2008 à 09:04:06 »

bonjour,


Alors les nouvelles :

hijackthis : rien de suspect sauf 2/3 truc des traces de vieux soft viré depuis des lustres
bon le problème persiste:

+nouveau symptome : les telechargement s'arretent au bout de quelque % mais en faisant "reprendre" ( une dizaine de fois ) sous opera ça passe.

annalyse nod 32: rien
kaspersky : rien
bitdefender :rien

et en mode sans echec le prob persiste

conclusion j'ai viré la cause mais les problèmes sont restés


Citation
-comment fait il pour me rediriger depuis google?
en plus c'est dans l'esprit du nc cette question quel(s) fichier(s) a-t-il modifiés?


-comment ais-je été infecté (pas d'éxecutables dl depuis un mois et rien fait de particulier)?
sans importance finalement

-pourquoi ce qui reste est indétectable est quel anti-quequ'chose me conseillez vous?parce qu'il est mort

-comment je le fout dehors?c'est fait

-quelles info vous faut-il pour m'aider?



Journalisée
Spaulding

Profil challenge

Classement : 8/54670

Membre Complet
***
Hors ligne Hors ligne
Messages: 190


Voir le profil WWW
« #8 le: 01 Septembre 2008 à 19:09:14 »

Citation
-comment fait il pour me rediriger depuis google?

Ben si c'est pas le fichier host, c'est plus troublant : tu vas sur www.google.fr ou tu utilises la boite de recherche de ton navigateur ?
Quand tu laisse ta souris sur un lien, c'est le bon site qui apparaît en bas ?
Si tu fais un ping sur différents serveurs apparaissant en résultat d'une recherche, c'est toujours la même ip qui est pointée ?
J'aurais tendance à croire que tu n'es pas sur google, mais juste sur un proxy qui change les anchor à la volée...
Sinon, essaye http://209.85.135.147 (www.l.google.com), pour voir si ça persiste...
Journalisée

---------------
mogg41

Profil challenge

Classement : 455/54670

Membre Senior
****
Hors ligne Hors ligne
Messages: 267

Mogg41 pour vous aider!


Voir le profil
« #9 le: 01 Septembre 2008 à 21:26:12 »

Sniffer les paquets lors de la connexion sur google et de la redirection pourrait peut être apporté des infos ou je me trompe?

Est-ce que les AV sous linux ont une base virale qui englobent les virus de windows? Je reste perplexe...

Et ils servent à quoi les antivirus sous Linux, dans leur grande majorité ?

OK. Je me pencherais donc vers cette solution si besoin est (sûrement dans un futur proche ).
Journalisée

"Il ne savait pas que c'était impossible alors il l'a fait." Mark Twain
stayflex

Profil challenge

Classement : 3120/54670

Néophyte
*
Hors ligne Hors ligne
Messages: 13


Voir le profil
« #10 le: 03 Septembre 2008 à 09:30:38 »

bonjour le problème était avec:

-http://www.google.fr tappé à la main (donc pas un favorit ou ma page d'acceuil).
la boite d'opera et la boite de firefox ce dernier instalé après avoir désinfecté(?) la bécane.

-c'est le bon site qui apparaît en bas
( si je fais "copier l'adresse du lien" et que je la colle ;c'est la bonne je fais [entrée] pas de redirection je vais sur le bon site)

pour les autre tests c'est plus possible j'ai formaté parce que  bon si le type arrive a me faire passer par un proxy alors que je suis persuadé d'utiliser google et qu'il me redirige les yeux fermés et les 2 mains dans le dos ca craint pour mes données personnelles j'imagine que c'est pas très compliqué de récup mes cookies donc tous mes comptes, mon msn (et paf les comptes ou je suis pas loggé automatiquement aussi).

en tout cas merci maintenant je vais étudier les protocoles parce que j'ais de très graves laccunes dans ce domaine
Journalisée
Pages: [1]
  Imprimer  
 
Aller à: