Communauté Informatique NDFR.net : [Help] Spyware, sites bloqués, désinfection impossible - Windows NT4/2000/XP Client
Répondre
Spyware, sites bloqués, désinfection impossible
Outils du sujet Modes d'affichage
  #1  
Ancien 11 août 2008, 20h10
Avatar de LeMoi
LeMoi LeMoi est hors ligne
ou LM
 
Date d'inscription: 20/10/2002
Lieu: 37°1
Âge: 33
Messages: 5 847
Envoyer un message par ICQ à LeMoi Envoyer un message par AIM à LeMoi Envoyer un message par MSN à LeMoi Envoyer un message par Yahoo à LeMoi Envoyer un message via Skype™ à LeMoi
Spyware, sites bloqués, désinfection impossible

Salut à tous,

j'ai un ami qui a eu un problème que l'on n'a pas eu le temps de régler autrement que par un formattage/réinstallation de Wndows, mais dont j'aimerais bien connaître la solution quand même.
Voilà malgré lui (il avait prêté son PC) il s'était fait infesté par un/plusieurs spy/malwares. Ça lui avait installé un "Vista Antivirus" impossible à fermer, désactivé le gestionnaire de tâches, la configuration du bureau, remplacé le fond du bureau par une page web avec en fond d'écran un image à la "28 days later" que dès que tu cliques dessus tu tombes sur le site de je sais plus quel faux anti-spyware...
Bref il a décidé à juste titre d'installer une solution de protection Internet et il a choisi "Kaspersky Internet Security". Le hic c'est que ce ****** d'antivirus n'a pas de fichier de licence, juste un code, et qu'il faut donc absolument l'activer par Internet pour le faire fonctionner. Et l'autre big hic donc j'ai pas encore parlé c'est que ce **** de spyware bloque l'accès à la plupart des sites de protection, style kaspersky, spybot, microsoft, mcaffe, etc. !!!! Du coup Kaspersky ne peut même pas s'activer car il n'arrive pas à se connecter à son site ; de même j'ai essayé d'installer spybot mais ce **** d'antispyware (trouvé sur un autre site) veut absolument se mettre à jour avant de faire un scan du PC, chose impossible puisque son site est bloqué !! J'ai bien réussi, à la main, à virer Vista Antivirus, changer le fond d'écran, installer Ad-Aware (version gratuite) mais celui-ci n'a trouvé que des cookies comme fichiers dangereux...

Evidemment, aucune image de restauration système disponible...

Ultime étape, j'ai pensé au fichier host dans le dossier system32/drivers/etc, qui faisait effectivement 245 Ko avec une belle liste de sites bloqués, que j'ai pu restauré, mais ça n'a pas changé grand chose. Un petit coup de HijackThis ne m'a permis que de débloquer le registre, je ne comprends pas pourquoi. Du coup j'ai fouillé un peu le registre et trouvé 2-3 ensembles de clés bloquant ces mêmes sites, nommées "Domains", "EscDomains", et "Range", que j'ai vidées, toujours sous succès !!
Bref, on a passé 4-5 heures, lui qui voulait absolument l'envoyer à la Fnac et son service de dépannage à 75€ de l'heure, chose que je lui ai déconseillée car ça allait lui couter bonbon et j'étais pas sur qu'ils s'en sortent sans restauration complète du SE (mais je crois que je les ai quand même sous-estimés ).
Au finalt vu qu'il avait aucun fichier à lui sur C:, on a formatté et tout réinstallé...

Ma question, après tout ça, c'est si jamais ça m'arrive, comment je pourrais m'en sortir à l'avenir ? Quel autre fichier/clé de registre bloque l'accès aux sites Internet au point que même Kaspersky ne puisse se connecter ???

Voilà merci d'avoir pris du temps pour me lire, de votre aide, et bonne journée
__________________
[01mai2004@11:23:54] <@Kaspof> je garderais toujours un souvenir impérissable de toi LeMoi|Vacances
Ne soyez pas un boulet !
Réponse avec citation
  #2  
Ancien 12 août 2008, 01h46
Avatar de Matt
Matt Matt est hors ligne
Mitrailleuse anti-boulets
1 Highscore
 
Date d'inscription: 24/12/2002
Lieu: Grenoble
Âge: 33
Messages: 4 453
Pour le blocage de l'accès aux sites des vrais AV & anti-spy, c'est peut-être via le fichier %SYSDIR%\Drivers\etc\hosts , qui permet de forcer l'association d'un domaine avec une IP donnée (et donc de rediriger une adresse légitime vers un serveur illégitime, ou carrément vers pas de serveur du tout).
__________________
Matt 7 - 2 Boulets
Pimp My iPhone : bidouilles, sélection d'applications, fonds d'écran, personnalisation...
Infobidouille.com : actualités informatiques et tests de matériel/logiciels
"S'il n'y a pas de solution, il n'y a pas de problème." (devise Shadok)
Réponse avec citation
  #3  
Ancien 12 août 2008, 01h54
Avatar de LeMoi
LeMoi LeMoi est hors ligne
ou LM
 
Date d'inscription: 20/10/2002
Lieu: 37°1
Âge: 33
Messages: 5 847
Envoyer un message par ICQ à LeMoi Envoyer un message par AIM à LeMoi Envoyer un message par MSN à LeMoi Envoyer un message par Yahoo à LeMoi Envoyer un message via Skype™ à LeMoi
Comme je l'ai dit, j'ai restauré le fichiers hosts (vérifié, il ne contenait plus les adresses bloquées), mais ça n'a rien changé :/
__________________
[01mai2004@11:23:54] <@Kaspof> je garderais toujours un souvenir impérissable de toi LeMoi|Vacances
Ne soyez pas un boulet !
Réponse avec citation
  #4  
Ancien 12 août 2008, 11h36
Avatar de Benjy
Benjy Benjy est hors ligne
Administrateur
 
Date d'inscription: 21/08/2001
Lieu: Rueil Malmaison (92)
Âge: 37
Messages: 2 043
Envoyer un message par MSN à Benjy
As-tu essayé ce petit logiciel bien sympathique qu'est Malwarebytes' Anti-Malware et qui a sauvé la vie d'un collègue de bureau pas plus tard qu'hier ?
__________________
Merci de lire et de respecter les règles et d'utiliser la .
Réponse avec citation
  #5  
Ancien 12 août 2008, 14h55
Avatar de LeMoi
LeMoi LeMoi est hors ligne
ou LM
 
Date d'inscription: 20/10/2002
Lieu: 37°1
Âge: 33
Messages: 5 847
Envoyer un message par ICQ à LeMoi Envoyer un message par AIM à LeMoi Envoyer un message par MSN à LeMoi Envoyer un message par Yahoo à LeMoi Envoyer un message via Skype™ à LeMoi
Je dois avouer que non, je ne connaissais pas du tout, même si a posteriori je ne peux bien sûr pas dire s'il aurait été efficace ou non. Apparemment c'est un shareware, la version d'essai est fonctionnelle à 100 % ?
__________________
[01mai2004@11:23:54] <@Kaspof> je garderais toujours un souvenir impérissable de toi LeMoi|Vacances
Ne soyez pas un boulet !
Réponse avec citation
  #6  
Ancien 12 août 2008, 21h40
Avatar de Benjy
Benjy Benjy est hors ligne
Administrateur
 
Date d'inscription: 21/08/2001
Lieu: Rueil Malmaison (92)
Âge: 37
Messages: 2 043
Envoyer un message par MSN à Benjy
Oui, la version d'essai n'a juste pas la surveillance temps réel et d'autres choses pas vraiment vitales.
__________________
Merci de lire et de respecter les règles et d'utiliser la .
Réponse avec citation
  #7  
Ancien 13 août 2008, 01h40
Avatar de LeMoi
LeMoi LeMoi est hors ligne
ou LM
 
Date d'inscription: 20/10/2002
Lieu: 37°1
Âge: 33
Messages: 5 847
Envoyer un message par ICQ à LeMoi Envoyer un message par AIM à LeMoi Envoyer un message par MSN à LeMoi Envoyer un message par Yahoo à LeMoi Envoyer un message via Skype™ à LeMoi
OK merci j'essaye de noter le nom dans un coin de ma tête ^^
__________________
[01mai2004@11:23:54] <@Kaspof> je garderais toujours un souvenir impérissable de toi LeMoi|Vacances
Ne soyez pas un boulet !
Réponse avec citation
Répondre

Signets


Utilisateurs actuellement actifs visualisant ce sujet : 1 (0 membres et 1 invités)
 
Outils du sujet
Modes d'affichage

Règles des messages
Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas poster de réponses
Vous ne pouvez pas envoyer de pièces jointes
Vous ne pouvez pas éditer vos messages

Le code BB est oui
Les Smilies sont activés : oui
Le code [IMG] est activé : oui
Le code HTML est activé : non

Aller au forum

Sujets similaires
Sujet Auteur Forum Réponses Dernier message
RÉSOLU Problème de spyware ! Steven Internet, Réseaux et Sécurité 4 21 avril 2008 21h58
Les sites où l'on peu gagner gros satanic slaugte Jeux 6 22 mars 2006 23h36
sites inaccessibles ! miliegin Internet, Réseaux et Sécurité 8 23 février 2006 13h44
Filtrer les sites web, c'est possible? DMA Logiciels 10 22 juillet 2005 01h48
Les internautes de Wanadoo bannis des sites militaires américains chalouf Internet, Réseaux et Sécurité 28 2 juin 2003 08h45

Toutes les heures sont au format GMT +2. Il est actuellement 13h39.

Activé par vBulletin® Version 3.8.4
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.