Security Alert - Help ? - Virus/Spywares - Windows & Software
Marsh Posté le 25-05-2012 à 00:48:35
Salut,
La machine est protégée ? si oui quelles sont les solutions antivirus / firewall dont tu disposes ?
C'est une tentative de hack, surement résidente si persistante (page de démarrage navigateur, fichier hosts) qui t'incite à installer un programme qui lui sera un troyen (backdoor sans doute) afin de prendre le contrôle ou d'infecter l'ordinateur.
Le web fourmille de ce genre de hack, beaucoup de sites en parles depuis 2008 (http://adsensesmart.blogspot.fr/20 [...] alert.html ou http://community.ustream.tv/ustrea [...] am_website... entre autres)
Tu peux toujours sauver le registre si tu veux (mieux vaut le sauver saint) mais je t'encourage à utiliser Ccleaner, puis de faire une détection mbam dans un premier temps.
Ensuite un rapport HiJackThis (x64), OTL ou ZHP apportera + de détails si le problème persiste (Ne pas oublier le règlement de la section à ce sujet) concernant l'analyse du rapport voir http://www.hijackthis.de/fr et/ou http://pjjoint.malekal.com
Marsh Posté le 25-05-2012 à 07:22:49
Bonjour,
téléchargez et exécutez ADWcleaner
http://general-changelog-team.fr/f [...] adwcleaner
Cela suffira peut-être.
Marsh Posté le 25-05-2012 à 09:06:07
Merci pour vos réponses
A 95% je suis certain d'avoir chopé ce truc sur le site de France Télévision (FR5) ce qui me semble dingue !
Je vais sur FR5, au bout de quelques secondes il m'affiche en substitution la page de menaces en question.
Je ferme la page et navigue normalement sur d'autres sites mais si je retourne sur FR5 = rebelotte
Heureusement, c'est sur un ordinateur secondaire indépendant de mon système principal.
Il est juste équipé de Microsoft security essentials mais à jour comme l'ensemble des programmes.
Plus Malwarebytes' Anti-Malware.
J'ai essayé deux anti-virus en ligne Kaspersky et Trend sans aucun résultat !
Je vais tenter ce week-end vos solutions et vous tient au courant.
Jagsy, mbam est-il payant ?
Marsh Posté le 25-05-2012 à 11:13:54
mbam est un shareware, mais vous pouvez l'utiliser pour la détection seules quelques options supplémentaires sont dispos dans la version payante (Protection en temps réél, surveillance de site, automatisation scan et màj et support utilisateur). mbam ne constitue pas une solution complète clef en main, c'est un composant utile dans la détection de spyware, malware, grayware etc... il faut l'avoir dans sa trousse à outils.
En complément une antivirus (avast, kapersky... ou autres), un firewall (comodo, pc tools), CCleaner (Nettoyage registre et application) permettent de garder une machine "relativement" propre. J'emploie "relativement" car la première protection d'un ordinateur c'est bien sur, son utilisateur. Les services windows (DPE, UAC) peuvent aussi être efficaces si activé et utiliser correctement tout dépend du système installé, aujourd'hui vista/seven sont beaucoup plus sécurisé que ne l'était windows auparavant.
Au sujet de l'infection, je ne pense pas qu'elle provienne de FR5, disons que ce type de hack passe soit par une infection du fichier hosts (qui route vos connexion), soit par un programme (qui démarre avec le navigateur ou la session windows), soit par le registre ou encore par une page piégée similaire à un site existant (mirror hack). Il faut toujours vérifié le nom de domaine dans la barre d'adresse, particulièrement l'extension finale qui indique la provenance ou l'activité du site (.fr, .com, .gouv.fr,...). Il en va de même pour les mails (première cause d'infection virale) les tentatives de phishing ou de hack vous conduisent sur des sites mirroir parfaitement identiques à ceux que vous connaissez.
Bref, tout ça pour dire que l'affichage de cette page peut être aléatoire et différé par rapport à la navigation et pas forcément issu d'un site de télévision national.
Marsh Posté le 25-05-2012 à 19:39:56
mbam = Malwarebytes' Anti-Malware j'avais pas fait le rapprochement de l'abréviation mais il est déjà installé comme dit dans le premier post.
L'analyse hijackthis valide tout en vert à l'exception d'une clé liée à une barre d'outils publicitaire non souhaitée qui s'était installée sous IE que j'ai viré tout de suite.
J'ai nettoyé le registre ayant trouvé 3 clés au même nom.
Après avoir navigué 1h30 le problème n'est pas réapparu.
J'ai aussi installé PSI secunia pour deux mises à jour dont une flash et tune up utilities 2011 qui a corrigé quelques erreurs dans la base de registre.
Si la fenêtre revient il me restera les solutions plus élaborées de Wizdo ou au pire un formatage.
Encore merci d'avoir pris un peu de votre temps pour me répondre.
Marsh Posté le 25-05-2012 à 20:18:39
ZHPdiag et OTL feront la même chose qu'HiJAckThis, ce sont des outils d'analyse.
Les barres d'outils sont effectivement de bon moyen d'intégrer un routage sur de fausses alertes (ou scareware pour employer un langage technique), j'avais oublier ce mode pourtant répandu. Il faut être vigilant avec les applications qui parfois proposent des outils tiers comme les barre d'outils lors de l'installation. C'est malheureusement de plus en plus fréquent, mais c'est aussi ce qui finance une partie de la création logicielle.
Pour ce qui est du rogue c'est le programme qui ce serait installé (et qui agit comme un faux outils de suppression), pas l'alerte il faut bien faire le distingo entre les 2 (plus de détails ici : http://forum.malekal.com/rogues-al [...] 7139.html)
Et pour finir mbam n'est pas un antivirus mais un programme autonome qui ne gène en rien les solutions de sécurité présentes sur la machine.
Je l'ai déjà dit, mais attention avec outils comme tuneup, surtout ses modules d'optimisation. Ccleaner suffit largement pour un nettoyage régulier.
Quant à Secunia, comme tout logiciel de mise à jours automatique de drivers, je trouve ça trop intrusif, j'aime bien savoir d'où provient ce qui s'installe sur ma machine et si c'est vraiment nécessaire.
Marsh Posté le 27-05-2012 à 12:38:02
Si la fenêtre revient => RogueKiller
Et bam, plus de fenêtre
Marsh Posté le 27-05-2012 à 18:20:51
Bonjour,
Tu n'es pas un cas isolé, si ça peut te réconforter.
Il y a une dizaine de jours une amie a eu le même problème sur France 5 et malheureusement elle a cliqué sur OK pour continuer avec ce faux antivirus, jusqu'au moment ou elle a commencé à comprendre qu'il n'aurait pas fallu, mais trop tard.
PC avec XP Home SP3 à jour, IE8, MSE, FAI: Alice
Quelques jours plus tard mon épouse est tombée sur le même problème, et comme elle était avertie a simplement fermé la fenêtre IE9.
L'examen avec MSE et MalwareByte n'a rien trouvé, probablement parce qu'elle s'était arrêtée à temps.
PC avec Windows 7 FP x64 à jour, IE9, MSE, FAI: Orange
Je viens de reproduire le phénomène, toujours sur France 5 TV, mais ce n'est pas systématique.
http://www.france5.fr/programmes/
Puis cliquer sur site des émissions, puis sur allo docteur, mais peut-être que d'autres cas peuvent être possibles.
Ne pas cliquer sur start évidemment ! et fermer la fenêtre.
Roguekiller, Malwarebyte, ni MSE ne trouvent rien si on a fermé la fenêtre, on peut penser (espérer) qu'il n'y a pas eu de contamination.
D'après l'historique de IE9, une URL suspecte a été enregistrée: h***://highrisksprotection.in/78dee9e271084cb2/67/
J'ai remplacé http par h*** pour vous éviter un clic malencontreux.
Je viens de le faire... pour voir, et hop, on a la fenêtre et le faux antivirus, si ça vous tente allez y mais fermez la fenêtre sans rien accepter !
PC avec windows 7FP x64 (different du précedent), IE9, MSE, FAI:Orange
Pour revenir au cas du PC corrompu, j'ai passé Avira Rescue CD à jour bootable dessus et il a trouvé 5 fichiers, liés à une version de FakeAlert.
Ensuite j'ai constaté que MSE ne fonctionnait plus, ni le gestionnaire des taches, ni le lancement de MSCONFIG, ni regedit.
J'ai du prendre un point de restauration de 3 jours plus tôt pour récuperer ces fonctions, mais pas MSE.
MSE a été plus tordu à remettre en marche car ni il voulait s'installer ("déjà installé" qu'il disait) ni se désinstaller (erreur).
MalwareByte a trouvé alors encore un fichier de FakeAlert.
Après application d'un programme fixit de Microsoft et suppression des fichiers et des clés de la base de registre (dont peut être des manips redondantes ou inutiles) et rechargement de la dernière version pour XP 32, MSE a bien voulu s'installer, et n'a rien trouvé (malwarebyte passé avant).
http://forum.hardware.fr/forum2.ph [...] 0#t3039386
Un ménage des fichiers temporaires avec CCleaner, et le PC était réparé.
C'est un peu calamiteux qu'un truc comme ça reste aussi longtemps sur un site où je suppose il y a un minimum de protection.
En attendant, attention à ce site, d'autant plus que la fenêtre ne s'ouvre pas forcément à tous les coups, j'avais essayé à plusieurs reprises sur mon PC avant d'y arriver aujourd'hui.
Marsh Posté le 27-05-2012 à 19:53:17
Merci de ce témoignage instructif
Chez moi le lien FR5 en question concernait "C dans l'air"
On peut se passer de ce site, au moins temporairement est peut-être la meilleure solution et pour le direct il existe d'autres sites.
Ma conclusion est qu'en fermant directement l'onglet il n'insiste pas et si par malheur on clique sur la page en question IE en protection haute demande si on doit ouvrir le fichier zip.
En cliquant à cette demande sur "annuler " je suis presque certain que rien ne va s'installer.
Effectivement ce n'est pas systématique ayant tenter de le reproduire sous un autre ordinateur avec navigateur différent d'IE sans succès.
Marsh Posté le 27-05-2012 à 20:07:07
Je ne pense pas que ce soit lié à un PC ou un navigateur, au moins pour le début, l'affichage de la fenêtre, parce que avec le même PC, en faisant les mêmes manips je n'ai pas la chose à tous les coups, loin de là.
Il doit y avoir quelque chose d'aleatoire qui déclenche ou pas l'objet.
Depuis 10 jours j'essayais de l'avoir, de temps en temps, et seulement aujourd'hui j'y suis arrivé.
Avec l'URL que j'ai mis, à tous les coups on gagne...
En faisant un traceroute sur la partie highrisksprotection.in on arrive à une adresse IP aux US, puis avec un whois on tombe à Los Angeles chez quadranet.com, mais ce doit être un hébergeur utilisé malgré lui par des Indiens (habitants de l'Inde) si j'en crois le .in (india).
Ils doivent avoir plusieurs noms de domaines bidons qui conduisent à la même chose.
Aller plus loin n'est pas mon job...
Marsh Posté le 27-05-2012 à 20:21:30
Je continu a douter de l'origine du problème... n'importe quel rootkit ou script caché pourrait déclencher un scareware, je pense aussi au service d'affichage des messages microsoft connu sous XP.... entre autre. Voire encore à l'installation de logiciel tiers comme les barres d'outils ou autre gadgets.... Je peux difficilement dresser une liste exhaustive de toutes les possibilités d'infections, elles sont trop nombreuses selon le système utilisé et les habitudes, bonnes ou mauvaises de l'utilisateur lambda.
Je pense simplement que les administrateurs réseaux de france télévision sont des professionnels compétents, et que si leur site était un vecteur de transmission virale, vu l'effet de "buzz" qu'une telle nouvelle engendrerait, le problème serait rapidement corrigé (cela dit ça n'engage que moi).
Toutefois si je peux me permettre quelques conseils pour une navigation "plus" sécurisée.
Utilisez un moteur de navigation respectueux comme gecko (Firefox), plus serieux que webkit (Chrome) ou Trident (IE). Installer les modules adblock et Noscript, et les paramétrer par défaut (blocages de tous les sites). Les solutions antivirus traitent l'analyse heuristique ou à la volée des fichiers se téléchargeant sur le système (dans le meilleur des cas) mais excluent souvent ce qui est autorisé par l'utilisateur et qui peut provenir d'autres machines. De plus une solution firewall IDS/HIPS (SPF, Comodo, PTF) indépendante n'est pas superflue si on veut surveiller ses connexions et interdire l'accès aux zones sensibles du système.
Et bien sûr la première protection d'une machine c'est avant tout un utilisateur avertit.
Marsh Posté le 27-05-2012 à 20:40:19
Les utilisateurs maintenant sont "avertis".
Quand 4 utilisateurs différents tombent sur le même objet en allant simplement visiter le site de France 5, avec des FAI differents, des OS differents, et au moins deux (chez moi) particulièrement attentifs à ne pas faire n'importe quoi, le doute n'est pas permis sur l'origine.
Quant à conseiller Firefox, comme d'habitude...
Marsh Posté le 28-05-2012 à 12:14:53
Autre exemple :
http://forum.hardware.fr/hfr/Windo [...] m#t3039386
Marsh Posté le 28-05-2012 à 12:27:31
non, c'est le même lien que j'ai mis plus haut et ... c'est moi
Là bas c'était pour détailler une certaine difficulté à réinstaller MSE.
Marsh Posté le 23-05-2012 à 13:25:09
En allant sous internet explorer (win7 32bits) au bout d'un moment au lieu d'aller sur la page demandée, il affiche cette page ( substitution de la page)
C'est régulier à chaque session mais on peut continuer à naviguer sur d'autres onglets.
Les liens de la page ne sont pas opérants mais il essaye de lancer un fichier zip que je n'autorise pas à ouvrir.
L'anti-virus ne détecte rien ni non plus Malwarebytes' Anti-Malware
Rien vu non plus dans les programmes de démarrage de louche.
Pouvez-vous me conseiller pour se débarrasser de cette chose svp ?