[OK] CWS.Look2Me...mais moi je veux pas qu'il me regarde...!

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] CWS.Look2Me...mais moi je veux pas qu'il me regarde...!

Messagede May31 » 08 Mai 2006, 22:45

Bonjour,

Bon ben voilà, cela devait bien m'arriver un jour...
malgré des scans et rescans réguliers de kaspersky 6, du module antispyware d'outpost, d'ewido, de spybot n'ayant rien révélé même poussés à fond et en mode sans échec après nettoyage préalable tel que défini dans la mini-manip... un petit coup de coolwshredder vient de révéler que j'étais infectée par "CWS.Look2Me"...
J'ai nettoyé, mais je me demande comment j'ai bien pu "ramasser" cette "bestiole" sans que tout mon arsenal ne réagisse...
Et d'autre part cela ne peut-il pas être le signe d'un autre problème en amont...?
Enfin bref, me demande si un log HijackThis ne serait pas le bienvenu...

NickW, si tu passes dans le coin, pourrais-tu me dire ce que tu en penses??
bon bien sûr, les réflexions des autres sont aussi les bienvenues...

may
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse

Messagede nickW » 09 Mai 2006, 00:08

Bonsoir,

Description de la bête:
Variant 42: CWS.Look2Me
Approx date first sighted:
Symptoms: AdDestroyer and Virtual Bouncer adware that keeps coming back after being removed. Hosts file redirections that keep coming back after being deleted.
Cleverness: 9/10
Manual removal difficulty: Very Difficult

Hijacks numerous pages through HOSTS file redirections. Remains resident and downloads adware to the pc while connected to the internet. Look2Me has several redundant files that monitor for partial removal and replace missing components. In order to elude detection and removal this variant changes its signature with each restart of the system and removes security rights from administrative users.


Je pense que si ton PC était vraiment infecté, tu t'en serais aperçue! (plein de pubs)
As-tu gardé une trace de ce qui était "infecté" (quel fichier, quelle clé de registre, autre?)

Pour vérification, tu peux envoyer un log HijackThis.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede May31 » 09 Mai 2006, 00:34

euhh... il y a effectivement eu un moment (hier) où j'ai eu plein de pubs, mais je me suis aperçu que j'avais malencontreusement décoché l'option "désactiver les pop-up" dans firefox.
Quand je l'ai réactivée, tout est rentré dans l'ordre, donc ça ne m'a pas inquiétée plus que ça... Par contre ce matin (lundi) j'ai eu une foultitude de tentatives de scans de ports détectées par Outpost, ceci avant même d'aller sur le moindre site web...
Ca a duré un quart d'heure puis le rythme s'est ralenti et après déconnexion puis reconnexion, ça s'est arrêté (probablement parce que j'avais une autre adresse IP...). Ca m'a inquiétée davantage, bien que ça ne prouve pas grand-chose de sûr...
Je n'ai hélas rien gardé comme infos, désolée: il me semblait bien avoir créé un rapport mais je ne remets pas la main dessus...
Par contre, il me revient qu'un passage préalable du module antispy d'outpost avait soit-disant détecté sgrunt (tu comprendras pourquoi je dis soi-disant quand tu verras la clé dont j'ai bien vérifié qu'elle avait 4 pour valeur "DWORD"...)
Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sgrunt.biz
Bref, même genre de cas qu'avec "Spyware medic"....

Je vais sans doute poster un log HijackThis au bon endroit, à moins que ces quelques lignes ne t'inspirent d'autres réflexions avant...

De toute façon, ce ne sera pas avant cet AM, voire le soir, car maintenant ça va être dodo...

Merci encore,

bonne nuit,

May
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités