Z_ack | Malware |
1 #1 |
---|---|---|
Je masterise !
Inscrit: 25/06/2014 10:55
Post(s): 2061
Karma: 162 |
Salut, il y a quelques jours mon PC a été infecté, et j'ai depuis nettoyé la plupart des problemes que j'avais sur mon PC, mais j'ai toujours un soucis avec Malwarebytes qui m'affiche un site bloqué, pendant 5 minutes, en boucle, à chaque demarrage de mon PC, et je ne sais pas comment corriger ce probleme, je ne trouve aucune solution par rapport à ça sur le net.
Voilà la notification que j'ai qui revient en boucle au demarrage.
Contribution le : 24/01/2016 11:28
|
|
Signaler |
Frann | 0 #2 |
|
---|---|---|
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036 |
@Leroideslames Démarre en sans échec, vire internet du pc et refait une analyse + regarde dans msconfig si t'as pas un truc qui se lance au démarrage qui chercherait quelque chose sur internet directement :bizarre:
Edit : l'IP est située en Ukraine, je sais pas si c'est normal que ça tape par la bas ou pas, je m'y connais pas assez. Avant j'aurais invoqué adaptinfo mais il a changé de pseudo donc je sais plus sous quoi il est :-?
Contribution le : 24/01/2016 11:49
|
|
Signaler |
Skity | 0 #3 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Leroideslames Essayes de regarder au niveau du registre s'il n'y a pas des trucs étranges sur les clefs de démarrage:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run Tu peux regarder aussi avec CCleaner qui permet de lister ce qu'il y a au démarrage. Tu peux aussi utiliser la commande msconfig (Démarrer -> Executer [ou Windows+R] -> msconfig -> Onglet Démarrage) Regarde si tu ne trouves pas un truc étrange/inhabituel Si tu ne trouves rien, va regarder dans les services: Démarrer -> Exécuter -> services.msc Tu tries par le démarrage "automatique" et tu regardes si tu ne vois pas un truc étrange. Une fois trouvé, clic droit -> propriétés dessus et regarde le "Nom du service". Ouvres une fenêtre de commande en administrateur (Démarrer -> cmd -> Clic droit -> Executer en tant qu'administrateur) puis du tapes la commande 'sc delete "[nom de ton service]"' J'espère avoir pu aider.
Contribution le : 24/01/2016 11:52
|
|
Signaler |
Frann | 0 #4 |
|
---|---|---|
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036 |
@Skity Le truc c'est que le processus qui se lance est pas déconnant, je l'ai moi même. Par contre si mb le détecte, c'est qu'il y a eu modification du fichier donc mieux vaut effectivement désinstaller/nettoyer et réinstaller, probablement par update d'ailleurs étant donné que c'est un fichier crosoft
Contribution le : 24/01/2016 11:54
|
|
Signaler |
Skity | 1 #5 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Frann Au vu de l'IP est du WHOIS ça sent le gars qui sait pris un serveur chez http://deltahost.com.ua et qu'il utilise pour pirater ou créer des PC Zombies.
Contribution le : 24/01/2016 11:55
|
|
Signaler |
Frann | 0 #6 |
|
---|---|---|
J'aime glander ici
Inscrit: 24/01/2011 14:33
Post(s): 8308
Karma: 1036 |
@Skity Ouais, c'est ce que je pensais. Me suis laissé le bénéfice du doute vu que je connais pas du tout l'emplacement des serveurs crosoft mais là clairement c'est chelou ^^"
Merci pour l'info en tout cas
Contribution le : 24/01/2016 11:56
|
|
Signaler |
Skity | 0 #7 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Frann Le programme qui se lance c'est normal.
C'est Malwarebytes qui ne détecte pas forcément la dépendance. En fait il doit y avoir certainement un programme qui démarre et qui utilise le Framework .NET. Doit l'alerte de MalwareBytes car c'est l'exe du Framework qui va exécuter les commandes qu'un autre programme à demandé. Faut trouver le programme source.
Contribution le : 24/01/2016 11:57
|
|
Signaler |
Skity | 0 #8 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Frann @Leroideslames Il y a même des petits ports ouverts sur le serveur:
Citation :
Port 80 ? Hmm, ca sent le gars qui vole les mots de passes grâces à des mini virus et qui les renvois sur son serveurs via un GET HTTP. (déjà vu ça en lancant un virus dans une Sandbox) En plus c'est un Windows Server => Un newbie qui ne sait pas utiliser Linux. Je crois que @Leroideslames s'est fait avoir par un kikoo LoL qui a pris un virus tout fait
Contribution le : 24/01/2016 12:01
|
|
Signaler |
Adr1enb | 0 #9 |
|
---|---|---|
La loi c'est moi
Inscrit: 19/04/2008 16:29
Post(s): 8776
Karma: 2423 |
Roguekiller sera efficace pour trouver ça
Contribution le : 24/01/2016 12:02
|
|
Signaler |
Arsenick | 0 #10 |
|
---|---|---|
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6496
Karma: 1042 |
Citation :
Perso j'ai une préférence pour Malwarebytes ^^
Contribution le : 24/01/2016 12:45
|
|
Signaler |
Z_ack | 0 #11 |
|
---|---|---|
Je masterise !
Inscrit: 25/06/2014 10:55
Post(s): 2061
Karma: 162 |
Merci pour vos réponses, désolé du retard. J'ai donc bien vérifié ce que vous m'avez dit de faire, mais je n'ai vu rien de suspect. Je n'arrivais pas à mettre mon PC en mode sans échec, mais j'ai enfin trouvé donc je vais repasser un coup d'anti malware (je ne l'ai pas encore fait). Par contre je viens de redemarrer mon PC et là je n'ai plus les notifs de Malwarebytes pour le fichier d'avant, mais j'en ai reçu une seule nouvelle pour Firefox.exe, un truc étrange aussi mais je n'ai pas eu le temps de screenshot, et elle n'est apparue qu'une fois.
Je pense donc formater mon PC, mais je vais d'abord passer l'anti-malware en mode sans échec, mon frère m'a conseillé Hitman pro http://www.surfright.nl/en/hitmanpro donc je vais faire ça. En tout cas merci de vos réponses. Et oui en effet, si je poste ici c'est parce que je me suis fait pirater mon compte Paypal, pour environ 900 euros d'achats. EDIT: J'ai finallement passé un coup de malwarebytes, puis Hitman, puis un coup d'anti virus avec Microsoft Security Essential, le tout en mode sans echec. Avec Hitman il m'a viré quelques trucs, j'aurais du penser à faire un screenshot Apres les deux autres ne m'ont rien trouvé (j'ai fais hitman en premier), et je n'ai plus de message au demarrage de Windows. Par contre toujours aucune idée par rapport au message unique de Firefox. J'ai quand même toujours un peu peur d'être infecté, mais je n'ai pas encore formaté mon PC car je n'ai pas de quoi le faire actuellement (je n'ai pas de CD ou clé USB pour réinstaller Windows). Merci pour votre aide, si jamais vous avez d'autres trucs que je peux vous dire pour m'aider à savoir si je suis bien safe maintenant ou pas, n'hésitez pas. Merci.
Contribution le : 24/01/2016 19:16
|
|
Signaler |