Videos streaming images jeux et buzz
Connexion






Perdu le mot de passe ?

Inscrivez-vous maintenant !
Menu Principal
Communauté




Z_ack
Malware
 1  #1
Je masterise !
Inscrit: 25/06/2014 10:55
Post(s): 2061
Karma: 162
Salut, il y a quelques jours mon PC a été infecté, et j'ai depuis nettoyé la plupart des problemes que j'avais sur mon PC, mais j'ai toujours un soucis avec Malwarebytes qui m'affiche un site bloqué, pendant 5 minutes, en boucle, à chaque demarrage de mon PC, et je ne sais pas comment corriger ce probleme, je ne trouve aucune solution par rapport à ça sur le net.

Voilà la notification que j'ai qui revient en boucle au demarrage.


Contribution le : 24/01/2016 11:28
Signaler

Frann
 0  #2
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036
@Leroideslames Démarre en sans échec, vire internet du pc et refait une analyse + regarde dans msconfig si t'as pas un truc qui se lance au démarrage qui chercherait quelque chose sur internet directement :bizarre:

Edit : l'IP est située en Ukraine, je sais pas si c'est normal que ça tape par la bas ou pas, je m'y connais pas assez.
Avant j'aurais invoqué adaptinfo mais il a changé de pseudo donc je sais plus sous quoi il est :-?

Contribution le : 24/01/2016 11:49
Signaler

Skity
 0  #3
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521
@Leroideslames Essayes de regarder au niveau du registre s'il n'y a pas des trucs étranges sur les clefs de démarrage:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Tu peux regarder aussi avec CCleaner qui permet de lister ce qu'il y a au démarrage.

Tu peux aussi utiliser la commande msconfig (Démarrer -> Executer [ou Windows+R] -> msconfig -> Onglet Démarrage)


Regarde si tu ne trouves pas un truc étrange/inhabituel

Si tu ne trouves rien, va regarder dans les services:

Démarrer -> Exécuter -> services.msc

Tu tries par le démarrage "automatique" et tu regardes si tu ne vois pas un truc étrange.
Une fois trouvé, clic droit -> propriétés dessus et regarde le "Nom du service".

Ouvres une fenêtre de commande en administrateur (Démarrer -> cmd -> Clic droit -> Executer en tant qu'administrateur) puis du tapes la commande 'sc delete "[nom de ton service]"'

J'espère avoir pu aider.

Contribution le : 24/01/2016 11:52
Signaler

Frann
 0  #4
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036
@Skity Le truc c'est que le processus qui se lance est pas déconnant, je l'ai moi même. Par contre si mb le détecte, c'est qu'il y a eu modification du fichier donc mieux vaut effectivement désinstaller/nettoyer et réinstaller, probablement par update d'ailleurs étant donné que c'est un fichier crosoft

Contribution le : 24/01/2016 11:54
Signaler

Skity
 1  #5
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521
@Frann Au vu de l'IP est du WHOIS ça sent le gars qui sait pris un serveur chez http://deltahost.com.ua et qu'il utilise pour pirater ou créer des PC Zombies.

Contribution le : 24/01/2016 11:55
Signaler

Frann
 0  #6
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036
@Skity Ouais, c'est ce que je pensais. Me suis laissé le bénéfice du doute vu que je connais pas du tout l'emplacement des serveurs crosoft mais là clairement c'est chelou ^^"

Merci pour l'info en tout cas 🙂

Contribution le : 24/01/2016 11:56
Signaler

Skity
 0  #7
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521
@Frann Le programme qui se lance c'est normal.
C'est Malwarebytes qui ne détecte pas forcément la dépendance.

En fait il doit y avoir certainement un programme qui démarre et qui utilise le Framework .NET. Doit l'alerte de MalwareBytes car c'est l'exe du Framework qui va exécuter les commandes qu'un autre programme à demandé.

Faut trouver le programme source.

Contribution le : 24/01/2016 11:57
Signaler

Skity
 0  #8
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521
@Frann @Leroideslames Il y a même des petits ports ouverts sur le serveur:

Citation :

Starting Nmap 6.00 ( http://nmap.org ) at 2016-01-24 12:58 EET
NSE: Loaded 17 scripts for scanning.
Initiating SYN Stealth Scan at 12:58
Scanning 229-79-229-91.deltahost.com.ua (91.229.79.229) [100 ports]
Discovered open port 8888/tcp on 91.229.79.229
Discovered open port 3389/tcp on 91.229.79.229
Discovered open port 3306/tcp on 91.229.79.229
Discovered open port 80/tcp on 91.229.79.229
Discovered open port 9999/tcp on 91.229.79.229
Completed SYN Stealth Scan at 12:58, 1.89s elapsed (100 total ports)
Initiating Service scan at 12:58
Scanning 5 services on 229-79-229-91.deltahost.com.ua (91.229.79.229)
Completed Service scan at 12:59, 57.87s elapsed (5 services on 1 host)
Initiating OS detection (try #1) against 229-79-229-91.deltahost.com.ua (91.229.79.229)
Retrying OS detection (try #2) against 229-79-229-91.deltahost.com.ua (91.229.79.229)
Initiating Traceroute at 12:59
Completed Traceroute at 12:59, 2.01s elapsed
NSE: Script scanning 91.229.79.229.

[+] Nmap scan report for 229-79-229-91.deltahost.com.ua (91.229.79.229)
Host is up (0.047s latency).
Not shown: 95 filtered ports

PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.17 ((Win32) OpenSSL/1.0.2d PHP/5.6.15)
3306/tcp open mysql?
3389/tcp open ms-wbt-server?
8888/tcp open sun-answerbook?
9999/tcp open abyss?

2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port3306-TCP:V=6.00%I=7%D=1/24%Time=56A4AE59%P=x86_64-unknown-linux-gnu
SF:%r(NULL,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.members\.linode\.com'\x
SF:20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20ser
SF:ver")%r(GenericLines,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.members\.l
SF:inode\.com'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20M
SF:ariaDB\x20server")%r(GetRequest,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\
SF:.members\.linode\.com'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x
SF:20this\x20MariaDB\x20server")%r(HTTPOptions,5B,"W\0\0\0\xffj\x04Host\x2
SF:0'li670-108\.members\.linode\.com'\x20is\x20not\x20allowed\x20to\x20con
SF:nect\x20to\x20this\x20MariaDB\x20server")%r(RTSPRequest,5B,"W\0\0\0\xff
SF:j\x04Host\x20'li670-108\.members\.linode\.com'\x20is\x20not\x20allowed\
SF:x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(RPCCheck,5B,"W\
SF:0\0\0\xffj\x04Host\x20'li670-108\.members\.linode\.com'\x20is\x20not\x2
SF:0allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(DNSVer
SF:sionBindReq,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.members\.linode\.co
SF:m'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x2
SF:0server")%r(DNSStatusRequest,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.me
SF:mbers\.linode\.com'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20t
SF:his\x20MariaDB\x20server")%r(Help,5B,"W\0\0\0\xffj\x04Host\x20'li670-10
SF:8\.members\.linode\.com'\x20is\x20not\x20allowed\x20to\x20connect\x20to
SF:\x20this\x20MariaDB\x20server")%r(SSLSessionReq,5B,"W\0\0\0\xffj\x04Hos
SF:t\x20'li670-108\.members\.linode\.com'\x20is\x20not\x20allowed\x20to\x2
SF:0connect\x20to\x20this\x20MariaDB\x20server")%r(Kerberos,5B,"W\0\0\0\xf
SF:fj\x04Host\x20'li670-108\.members\.linode\.com'\x20is\x20not\x20allowed
SF:\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(SMBProgNeg,5B,
SF:"W\0\0\0\xffj\x04Host\x20'li670-108\.members\.linode\.com'\x20is\x20not
SF:\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20server")%r(X11
SF:Probe,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.members\.linode\.com'\x20
SF:is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x20MariaDB\x20serve
SF:r")%r(FourOhFourRequest,5B,"W\0\0\0\xffj\x04Host\x20'li670-108\.members
SF:\.linode\.com'\x20is\x20not\x20allowed\x20to\x20connect\x20to\x20this\x
SF:20MariaDB\x20server");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port9999-TCP:V=6.00%I=7%D=1/24%Time=56A4AE5F%P=x86_64-unknown-linux-gnu
SF:%r(NULL,24,"\x20\0\0\0\xbe\xfc1\xdc\$\x80J\xda\xbcZ5E\xde\x065\xc0JB&\x
SF:b2CTb\0Y\xd4<\x92S\xd6C/")%r(GetRequest,24,"\x20\0\0\0\xbe\xfc1\xdc\$\x
SF:80J\xda\xbcZ5E\xde\x065\xc0JB&\xb2CTb\0Y\xd4<\x92S\xd6C/")%r(DNSStatusR
SF:equest,24,"\x20\0\0\0\x8d\x90t\xe1\xe8\x91\xb6u\0\xe5\xd6>\xf5b\^\xdcY\
SF:xcc\xac\xfd\xfc\0\\\xb8&\x9cY6n\x92\x87\xf1")%r(SSLSessionReq,24,"\x20\
SF:0\0\x000\xb7\x16\xd8\xcf\x15\xd1&\xd7\x90glgY\x0b\xbaDK\xf5Z\xec~\xcbb\
SF:x87\x7f\xea\xc9w'\x8c\)")%r(X11Probe,24,"\x20\0\0\0M\x1a\x18\xd9\.H\\\x
SF:c5\xae\xef\xd3y\xa8g-K\xfc\x82o~\xa8z\xda\x92\xc9xB@\xa5W\xad\xc4")%r(N
SF:otesRPC,24,"\x20\0\0\0\)k\x87\xe3\xa2\xb8\xcd\[U\xdc\x90\xdf\xc5\x9b\x1
SF:3\x92\x0e\x02\x14/\x01\xe1\xa5j\xb2\xebz=\x19\x10\xbd\"")%r(oracle-tns,
SF:24,"\x20\0\0\0\x90U\x10\xd5xz\xb6\xfd\xd7\xff\xe6yD\xa2\xba\[E\xa0\xc7\
SF:x0f\xb4\x9d\xac\x05\xc9k\x0c\|_:\x9d\x0b");

Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 7|2008|Vista (93%)
OS CPE: cpe:/o:microsoft:windows_7::professional cpe:/o:microsoft:windows_server_2008::beta3 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1

Aggressive OS guesses: Microsoft Windows 7 Professional (93%), Microsoft Windows Server 2008 Beta 3 (92%), Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7 (92%), Microsoft Windows Vista SP2 or Windows Server 2008 (92%), Microsoft Windows Server 2008 SP1 (89%), Microsoft Windows Vista Home Premium SP1 (89%), Microsoft Windows Vista SP0 - SP1 (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.684 days (since Sat Jan 23 20:34:41 2016)
Network Distance: 11 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: Incremental


TRACEROUTE (using port 8888/tcp)
HOP RTT ADDRESS
1 0.48 ms router2-lon.linode.com (212.111.33.230)
2 1.13 ms 212.111.33.237
3 1.19 ms 85.90.238.70
4 ...
5 11.93 ms 10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
6 0.94 ms 10ge2-9.core1.lon2.he.net (72.52.92.222)
7 30.95 ms 100ge7-1.core1.fra1.he.net (184.105.80.38)
8 ... 9
10 46.35 ms 77.88.212.90
11 46.83 ms 229-79-229-91.deltahost.com.ua (91.229.79.229)

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 67.04 seconds
Raw packets sent: 302 (18.424KB) | Rcvd: 430 (45.846KB)


Port 80 ? Hmm, ca sent le gars qui vole les mots de passes grâces à des mini virus et qui les renvois sur son serveurs via un GET HTTP. (déjà vu ça en lancant un virus dans une Sandbox)
En plus c'est un Windows Server => Un newbie qui ne sait pas utiliser Linux.

Je crois que @Leroideslames s'est fait avoir par un kikoo LoL qui a pris un virus tout fait 🙂

Contribution le : 24/01/2016 12:01
Signaler

Adr1enb
 0  #9
La loi c'est moi
Inscrit: 19/04/2008 16:29
Post(s): 8776
Karma: 2423
Roguekiller sera efficace pour trouver ça 😉

Contribution le : 24/01/2016 12:02
Signaler

Arsenick
 0  #10
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6502
Karma: 1045
Citation :

@Adr1enb a écrit:
Roguekiller sera efficace pour trouver ça ;)


Perso j'ai une préférence pour Malwarebytes ^^

Contribution le : 24/01/2016 12:45
Signaler

Z_ack
 0  #11
Je masterise !
Inscrit: 25/06/2014 10:55
Post(s): 2061
Karma: 162
Merci pour vos réponses, désolé du retard. J'ai donc bien vérifié ce que vous m'avez dit de faire, mais je n'ai vu rien de suspect. Je n'arrivais pas à mettre mon PC en mode sans échec, mais j'ai enfin trouvé donc je vais repasser un coup d'anti malware (je ne l'ai pas encore fait). Par contre je viens de redemarrer mon PC et là je n'ai plus les notifs de Malwarebytes pour le fichier d'avant, mais j'en ai reçu une seule nouvelle pour Firefox.exe, un truc étrange aussi mais je n'ai pas eu le temps de screenshot, et elle n'est apparue qu'une fois.

Je pense donc formater mon PC, mais je vais d'abord passer l'anti-malware en mode sans échec, mon frère m'a conseillé Hitman pro http://www.surfright.nl/en/hitmanpro donc je vais faire ça.

En tout cas merci de vos réponses.

Et oui en effet, si je poste ici c'est parce que je me suis fait pirater mon compte Paypal, pour environ 900 euros d'achats.

EDIT:

J'ai finallement passé un coup de malwarebytes, puis Hitman, puis un coup d'anti virus avec Microsoft Security Essential, le tout en mode sans echec. Avec Hitman il m'a viré quelques trucs, j'aurais du penser à faire un screenshot 😕
Apres les deux autres ne m'ont rien trouvé (j'ai fais hitman en premier), et je n'ai plus de message au demarrage de Windows. Par contre toujours aucune idée par rapport au message unique de Firefox. J'ai quand même toujours un peu peur d'être infecté, mais je n'ai pas encore formaté mon PC car je n'ai pas de quoi le faire actuellement (je n'ai pas de CD ou clé USB pour réinstaller Windows).

Merci pour votre aide, si jamais vous avez d'autres trucs que je peux vous dire pour m'aider à savoir si je suis bien safe maintenant ou pas, n'hésitez pas. Merci.

Contribution le : 24/01/2016 19:16
Signaler


 Haut   Précédent   Suivant






Si vous êtes l'auteur d'un élément de ce site, vous pouvez si vous le souhaitez, le modifier ou le supprimer
Merci de me contacter par mail. Déclaré à la CNIL N°1031721.