Infection tenace...

[raphael76]

Bonjour à tous,

Je viens vers vous car mon PC est infecté par un virus (un adware je suppose).

Les symptomes sont les suivants, 2 onglets internet (sur Chrome) s'ouvre en même temps, pointant toujours vers le même domaine (à savoir nshijabi.com), quelques fois il se mettent en plein écran tout seul. L'infection dure depuis 1 ou 2 semaines (je n'ai rien installé de particulier). J'ai également depuis quelques jours une page internet qui s'ouvre également, mais vers des sites de jeux uniquement (jamais la même page)

J'ai tenté les choses suivantes :
- J'ai effacé tout les caches et fichiers temporaires (internet et PC).
- J'ai lancé une analyse complète avec mon antivirus (Kaspersky), il a rien trouvé.
- J'ai également nettoyer avec Ad-remover, il ne me détecte plus aucune menance.
- J'ai également nettoyer avec MBAM, j'ai supprimer tout ce qu'il a détecté.
- J'ai passé un coup de Hijackthis (j'ai rien vu de particulier), voici le rapport http://cjoint.com/?CECsZdr11ke
- J'ai vérifier avec GSI, il ne détecte aucune menace
- Pour finir j'ai passé un coup de CCleaner.

J'ai redémarrer plusieurs fois le PC, mais l'infection persiste.

Dites moi si vous voulez d'autres rapport, ou que je passe un autre logiciel, je commence à désespérer, si ça continue je vais formater lol...
Les boules c'est une cochonnerie qui va me dicter ça loi...

Par avance merci.

Vous avez les caractéristiques de mon PC : Configuration N° 103204

[John Shaft]

Salut,

Est-ce que le problème persiste avec Internet Explorer ?

[raphael76]

Oui malheuresement...

[digital-jedi]

Tu peux éventuellement passer un coup de AdwCleaner

[raphael76]

C'est choses faite,il n'a rien détecté non-plus :

# AdwCleaner v2.301 - Rapport créé le 28/05/2013 à 19:19:40

# Mis à jour le 16/05/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Raphaël-Mylène - CHAMBRE

# Mode de démarrage : Normal

# Exécuté depuis : E:\Desktop\adwcleaner.exe

# Option [suppression]

***** [services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16576

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v27.0.1453.94

Fichier : C:\Users\Raphaël-Mylène\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[s3].txt - [768 octets] - [28/05/2013 19:19:40]

########## EOF - C:\AdwCleaner[s3].txt - [827 octets] ##########

[ashlol]

tu mets "J'ai également nettoyer avec Ad-remover, il ne me détecte plus aucune menace." Donc il t'en as trouvé une et l'a virée c'est çà ? Peut être qu'il reste simplement la page de démarrage des navigateurs chrome et ie de mise avec ces noms de domaines et donc tu dois les enlever de la page de démarrage et ne pas rouvrir les onglets précédents dans les options. C'est qu'une idée comme çà. Essaie de désinstaller chrome aussi et essaie aussi avec firefox histoire de voir.

[raphael76]

Effectivement, il m'a détecter des menaces (je n'ai plus le rapport), les a supprimer. Je viens de vérifier, les pages de démarrages sont OK. Le navigateur s'ouvre seul, et sans ma page de démarrage habituel (seulement les 2 onglets récalcitrants). Idem, avec IE (sauf que c'est un seul onglet). Mon navigateur par défaut est Chrome.

[dudul88]

On verrait plus de choses avec un rapport GSI. (pendant que j'y suis, je trouve que ce serait pas mal de l'épingler celui-là)

[digital-jedi]

Tu es sûr que dans Propriétés de Google Chrome > Apparence et Démarrage, il n'y a pas les pages de configurées ?

[raphael76]

Voila le rapport GSI : http://www.getsysteminfo.com/read.php?file=ea5a4dd1dc92fc8c92541827753a897d

Pour ce qui est de chrome, je viens de re-vérifier, tout est ok. La preuve :

hebergeur image

Encore merci.

Je reviens ce soir, la je vais bosser.... Je vous laisse réfléchir !

EDIT : Il vient de me le refaire :

Je n'étais même pas sur le PC, il s'est mis en plein écran seul également.

[RFN]

Bonjour,

Il y a déjà quelque chose qui me dérange dans ton fichier host :

# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 activate.adobe.com

A mon sens, la ligne concernant adobe n'a rien à y faire. On devrait lire plutôt

127.0.0.1 localhost
# ::1 localhost

# 127.0.0.1 activate.adobe.com

Ou mieux

127.0.0.1 localhost

( en ayant enlevé les 2 autres lignes)

[Krapace]

Ben non c'est bien comme ca...Si tu voyait mon fichier host tu prendrais peur (environ 700ko)

Essaye Gmer : http://www.gmer.net/

Assez efficace pour détecter les rootkits. Vu tout les appli qui passent a coté du problème ça pourrait venir de la

[beankylla]

Bah le activate.adobe c'est pour éviter d'avoir a activer les logiciels adobe.... donc si y'a un adobe sans licence il va moins bien marcher après avoir enlevé la ligne...

[TeKa]

Tente un reset de tes navigateurs :

http://windows.microsoft.com/fr-fr/internet-explorer/reset-ie-settings

http://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

http://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur (pas de procédure officielle pour Chrome)

:)

[raphael76]

Merci à vous tous,

@Krapace : Je viens de lancer l'analyse, Gmer n'a rien détecter...

J'ai réinitialiser mes navigateurs, aucun effet, IE vient de m'ouvrir une nouvelle fois une page non sollicité...

J'ai pas encore eu de page sur Chrome, j’édite pour vous dire quoi plus tard.

Pour ce qui est de mon Host (comme la dit Beankilla) c'est pour adobe, ça fait quelques années que c'est comme ça, j'ai jamais eu de problèmes avec ce host là.

EDIT : Nouveauté

heberger image

Jamais vu ce message... Il me la fait 3 fois en 5 minutes...

[Gigatoaster]

Tu as regardé les processus suspects dans le gestionnaire des tâches?

[raphael76]

Salut,

Je viens de vérifier, aucun processus suspect.

Mise à part la 15aine de svchost, et la 10aine de chrome....

Sinon, j'ai toujours les pages de "pub" qui s'ouvre seul....

Je commence à désespérer.... Le formatage me guête (malheureusement, j'ai 3 PCs à refaire ce WE) Ca m'en fera un 4ème lol....

[Ravaged]

Pense aussi à remettre tes pages d'accueil par défaut qui ont dû être modifiées.

[TheKillerOfComputer]

nshijabi hein... On ne fera pas de débat sur l'intéret d'un tel site, mais par contre je viens de trouver une chose amusante.

Ce site héberge un... svchost.exe que j'ai trouvé par pur hasard (je ne donnerai pas le lien, mais c'était bien ce domaine précis), et j'ai téléchargé juste pour voir. Il est effectivement vérolé :

https://www.virustotal.com/en/file/7d5f07d5d8d749fb3ab9f09ed5e13a56501e1ea1f7126a8dba4485ff5529c760/analysis/

Il n'est donc pas impossible que ce soit ton svchost.exe le problème. Il est curieux que Kaspersky n'aurait rien vu alors qu'il le voit dans le rapport que j'ai linké. Mais comme il s'agit d'un processus critique, il n'est pas impossible non plus qu'il ne puisse rien faire ni même le voir...

Enfin tu peux toujours comparer. Il faut savoir que j'ai Windows 7 Pro SP1 x64, je ne sais pas si c'est différent avec un Home Premium, mais mon svchost (C:\Windows\System32\svchost.exe) fait ± 30 Ko environ en poids (selon les mises à jour ça varie), celui vérolé fait ± 155 Ko. Si tu es plus proche du second, c'est que c'est probablement ça.

Si c'est bien ça, on pourrait tenter par un Kaspersky Rescue Disk (c'est un Live CD) mais je ne peux pas dire s'il le trouvera pour autant. Le mieux serait de remplacer le fichier mais il faudrait trouver la bonne version car si tu fais les mises à jour Windows, celui du DVD ne suffira peut-être pas (jamais fait ça, donc je ne peux pas être catégorique). On peut toujours tenter le mien si tu es chaud mais ça peut tout crasher dans la pire des situations.

Un bon formatage serait sans doute préférable car de toute façon, tu viens déjà de perdre plus de temps à tenter de dégager le problème que si tu devais tout refaire...

[dudul88]

Il l'a déjà fait, et aucun changement.

J'avoue que c'est pas évident de voir d'où ça vient, dans le GSI je ne vois rien qui me choque. Aucune extension n'est installée dans les navigateur ?

Ça donnerait quoi avec Firefox portable ? Parce que si ça déconne aussi ça doit être une dll vérolée, mais qui n'aurait pas été répertoriée par les antivirus à ce jour... ce qui serait étonnant.

Tu peux aussi essayer un antivirus en LiveCD comme celui-là pour voir si ça trouve quelque-chose...

Edit : grillé. C'est par faux ce que dit TheKillerOfComputer. Pour le svchost je l'ai vu aussi, mais tout les antivirus ne trouvent pas la même chose.

@raphael76 : tu peux essayer de scanner "C:\Windows\SysWOW64\svchost.exe" et "C:\Windows\System32\svchost.exe" avec http://virusscan.jotti.org si tu veux être fixé...

[TheKillerOfComputer]

Oui mon lien virustotal montre la même chose sur la détection différente selon l'AV. Mais les plus gros le voient (Kaspersky, Nod32, Bitdefender, Avast... A part Norton tiens, quelle surprise ), ce qui suffit à dire que c'est bien vérolé.

Bien vu pour C:\Windows\SysWOW64\svchost.exe, je l'avais oublié. De mon côté il fait ± 22 Ko. S'il peut envoier les fichiers chez un de nos sites de test pour être fixé, ce sera mieux qu'une comparaison en poids.

[raphael76]

Je viens de tester mes 2 svchost.exe sur le site qu'a donner dudul88, il ne trouvre rien d'anormal, de plus les 2 fonts dans les 20Ko. Je testerait ça tout a l'heure avec Kaspersky rescue CD, je vous tiens au courant.

En tout cas merci encore pour votre aide...

[raphael76]

Je viens de l'analyser, aucune infection trouvé avec le Kaspersky Rescue CD.

Je crois que je vais le formater le WE prochain... A moins que vous trouviez la soluce d'ici là lol !

[RFN]

Tu as fais une recherche dans la base de registre avec le nom du site ?

[digital-jedi]

Et le raccourci des naviagteurs n'a pas été modifié pour ajouter une ligne de commande supplémentaire ?

Tu peux aussi tenter une réparation Windows.