Aller au contenu

[RESOLU] Trafic suspect (Virus)


Messages recommandés

Bonjour,

depuis quelques jours je soupçonne la présence d'un virus sur mon pc mais je n'arrive pas à le trouver.

De base je tourne avec un dual-boot Windows 7/ Debian, même si je passe le plus clair de mon temps sous Debian, Grub étant installé sur la partition de Debian et chaîné depuis le bootloader de Windows.

Il y a 2-3 semaines de cela Windows n'a plus voulu démarré, quand je le lançais il y avait un freeze au milieu du logo Windows puis redémarrage du système.

A l'époque j'ai pensé que cela venait de moi car j'ai fait pas mal de bidouillage avec un ssd en parallèle de mon habituel hdd sur lequel est installé mon système.

Ça ne m'a pas inquiété plus que ça, étant donné que je n'utilise que très rarement Windows (il ne me sert que pour des appareils ne fonctionnant pas sous Linux comme le kobo pour lequel l'application Kobo Desktop n'existe pas sous Linux), je me disais que je le réinstallerai à l'occasion.

Puis lundi soir dernier, c'est Debian qui n'a plus voulu démarré. Lorsque je sélectionnais l'entrée de Debian dans BOOTMGR (le bootloader de 7) j'avais juste droit au message 'GRUB' suivi d'un underscore clignotant, rien d'autre. Pas moyen de réparer GRUB, à moins peut-être de le réinstaller, mais ne sachant pas trop comment faire je me suis dit qu'il valait mieux tout réinstaller (7 et Debian).

Je n'avais pas envie de le faire tout de suite, aussi pendant 2 jours j'ai utilisé un live-cd de Xubuntu pour surfer, regarder des vidéos, lire mes mails, etc.

J'ignore si ça a une importance mais j'ai utilisé plusieurs proxy pendant ces 2 jours pour regarder des vidéos incaccessibles autrement.

Puis au bout de 2 jours j'ai copié les données importantes de mon hdd vers un dd externe, formaté tout mon hdd et tout réinstallé.

Jusqu'ici tout va bien. Je lance Debian et je me remets à l'utiliser comme d'habitude, entre autre pour surfer. L'un des blogs que j'aime visiter est filmosphere.com.

En allant sur ce dernier je lis un message en anglais relatif au projet honeypot me disant que j'ai probablement un virus sur mon pc et que ce dernier fait partie d'un botnet, qu'il envoie du spam etc. Je ne me souviens plus du message exact désolé. Il me dit également que je devrais le faire désinfecter et qu'en attendant je peux accéder au site à condition de remplir un captcha pour vérifier que c'est bien un humain qui est derrière le pc.

Histoire de m'assurer que mon pc n'a rien, je fais un scan avec le live-cd de Kaspersky (Kaspersky Rescue Disk 10), je mets à jour sa base de données, je configure Kaspersky avec les réglages les plus pointus pour un scan exhaustif et je lance le scan sur toutes mes partitions : il ne trouve rien.

Je me dis que c'est normal après tout je viens de formater le hdd.

Pour être encore plus sûr, j'accède à la console de gestion de ma freebox v5 pour désactiver le wifi dont je ne me sers plus depuis longtemps, et je fais un hard reboot du modem (déconnexion de l'alimentation 5 fois de suite) pour le remettre en configuration d'usine au cas où un virus l'aurait infecté (j'ignore si c'est possible).

Enfin pour être totalement sûr, je fais un flash du bios de ma cm, au cas où là encore un virus s'y serait logé, ceci dit je le fais en téléchargeant le nouveau bios depuis mon pc, peut-être infecté, donc peut-être que ça n'a servi à rien.

Je pensais que tout était réglé sauf que ce matin, en me connectant à filmosphere.com je n'accède qu'à une page en cache avec le message suivant :

This page (http://www.filmosphere.com/) is currently offline. However, because the site uses CloudFlare's Always Online™ technology you can continue to surf a snapshot of the site. We will keep checking in the background and, as soon as the site comes back, you will automatically be served the live version. Alternatively, you can retry the live version.

Sauf que j'ai vérifié le site n'est pas down.

De plus en faisant une recherche google pour trouver un site qui pourrait tester si filmosphere.com est down ou pas je suis tombé sur une page de Google m'expliquant qu'il y avait un trafic anormal depuis mon adresse ip et que cela pourrait être dû à un virus.

J'ai du remplir un captcha pour continuer ma recherche.

Se pourrait-il que ce soit mon modem ou mon bios qui soit infecté ?

Je vais refaire un scan de mes partitions avec Kaspersky Rescue Disk 10, en attendant.

D'avance merci pour votre aide.

Edit : après un scan d'un peu moins de 2h, Kaspersky n'a à nouveau rien trouvé, les élément scannés :

Secteurs d'amorçage

Objets cachés de démarrage

C: (Windows 7)

D: (données, NTFS)

E: (swap ?, cd-rom ?)

sda2 (Debian)

sda6 (CrunchBang)

Configuration par défaut avec quelques modifications dont analyse heuristique minutieuse et inclusion des riskwares.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à toi !

Si tu viens de réinstaller tes OS et que tu as fait les mises à jour, pas grand chose à craindre du côté de ton PC.

Par contre, n'oublie pas que tous les périphériques de ton réseau partagent la même IP sur internet.

Il se peut donc que ton WiFi ait été piraté (comment était-il configuré ?) et utilisé par une machine infectée.

Pour ton site, il n'a pas l'air de marcher chez moi non plus, ça doit être un problème autre qui survient maintenant par pure coïncidence.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour vos réponses :chinois:

Mon wifi était activé pour une console (la Wii), j'avais choisi le chiffrement le plus fort possible (je ne me souviens plus duquel mais c'était pas du WEP crackable en 5 min :transpi: ) avec une clé de 63 caractères générée aléatoirement sur la console de gestion de ma freebox v5. Mais aujourd'hui il est totalement désactivé. En dehors de mon pc il n'y a aucun appareil connecté à la box et je n'utilise actuellement aucun proxy.

Sinon pour le site de filmoshphere, c'est possible que ce soit un problème venant de chez eux, mais comment expliquer le message de Google me signalant une activité importante sur mon réseau et me demandant un captcha pour continuer ma recherche ? J'ai bien téléchargé quelques vidéos en parallèle avec wget ce matin mais je ne pense pas que ça suffise à déclencher ce type d'avertissement.

Pour CloudFlare qui demande un captcha apparemment tu n'es pas le seul... voir le topic sur les bugs du site ;)

Je l'ignorais, je vais regarder ça de plus près, merci pour l'info ;)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...