Hijackers et drame sentimental

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Hijackers et drame sentimental

Messagede RenardTriste » 08 Fév 2007, 23:13

Bonsoir,

C'est la première fois que je dépose un message sur ce forum,
Je parcours depuis des semaines toutes sortes de forums techniques qui traitent des phénomènes de contamination par les virus,
spywares, hijackers et autres. On y trouve mille façons de désinfecter sa machine et de la protéger, mais jamais l'information
que je cherche. Je viens de découvrir votre site, qui est une vraie mine d'informations et contient la description de certains
de ces mécanismes de contamination et même de sites à éviter.

J'espère donc trouver ici quelqu'un qui saura m'aider à régler le très gros problème que j'ai aujourd'hui:

J'ai vraiment besoin de trouver un site qui me permette d'installer un Hijacker ou autre cochonnerie de ce genre sur mon PC,
mais pas n'importe lequel...
Je sais, ça doit beaucoup vous étonner, mais voici mon histoire:

Je surfe beaucoup sur le Net à la recherche de nouveaux logiciels OpenSource, mais aussi de freewares, de sharewares.
Mon métier entretient ma curiosité dans ce domaine. Mais il m'arrive parfois de tomber sur des sites disons "moyens" qui proposent
le dernier crack du logiciel de vos rêves, et en profitent, au passage, pour refiler des maladies honteuses à votre PC.

Je connais les bons outils pour désinfecter une machine et généralement ces contacts malheureux ne se finissent pas trop mal.

J'ai aussi, sous mon toit, mes deux enfants adolescents pas trop méfiants, qui cherchent volontiers des jeux sur le Net, communiquent par MSN, etc....
J'ai confiance en eux et je ne doute pas trop de leurs habitudes de navigation (Bon d'accord! Je vérifie un peu, quand-même)
Ils arrivent pourtant parfois, eux aussi, à attirer des saletés sur ce PC. Alors je passe régulièrement des outils de détection,
je mets mon antivirus à jour, et leur rappelle régulièrement quelques règles de prudence etc, etc...

Le 1er octobre dernier, je lance, par erreur, Internet Explorer (Je n'utilise normalement que FireFox, moins vulnérable), pour chercher
je ne sais plus quoi. Au bout d'un moment je me trouve agressé par des fenêtres qui s'affichent toutes les minutes et me proposent
de me connecter à des sites de rencontre (meetic, easyrencontres,...) de me faire prédire mon avenir sur un site de voyance et même
d' aller jeter un oeil sur des sites X. Je ne suis pas client de ce genre de sites, je n'en ressens aucun besoin.
Je ferme donc les fenêtres indésirables qui finalement réapparaissent à intervalle régulier.
J'en déduis qu'une sale bête s'est invitée sur ma machine. Je ferme Internet Explorer,je passe un petit coup de SpyBot,
je continue à surfer par Firefox et me voilà tranquille.

Enfin, c'est ce que croyais...
Quelques semaines plus tard, la femme de ma vie, rencontrée il y a seulement quelques années et avec qui je vivais un bonheur parfait,
se met à la recherche de l'adresse d'un site, sur lequel elle avait trouvé récemment une documentation qui l'intéressait pour son travail.
Elle va donc, naturellement fouiller le cache d'Internet Explorer(Je ne suis pas parvenu à la convaincre de n'utiliser que FireFox),
pour retrouver cette adresse, et découvre donc des URL du genre "www.meetic.fr" ou "easyrencontres.machin". Elle en a déduit que je fréquentais
ce genre de sites à son insu, et...elle m'a quitté!

Alors je sais que je ne peux pas vous demander, sur ce forum, de me consoler(de toutes façons je suis inconsolable de cette rupture injuste),
mais si quelqu'un, qui m'aurait lu jusqu'au bout, pouvait m'aider à reproduire ce phénomène de fenêtres indésirables, mettre un nom sur
la saleté qui a provoqué ces redirections, je pourrais alors volontairement recontaminer ma machine pour montrer à ma Belle ce qui
s'est vraiment passé. (En fait je pense faire l'opération sur une machine virtuelle Vmware que j'ai préparée pour l'occasion et que
je détruirais après contamination)

Je ne vous demande donc pas de sauver mon PC, je suis assez armé pour le défendre, mais vous pouvez peut-être quelque chose pour sauver
ma vie sentimentale. Je suis fou amoureux de cette femme, je ne l'ai jamais trahie d'aucune façon et je ne peux pas accepter qu'une saleté,
imaginée par un esprit tordu ne vienne tout gâcher.

Merci de m'avoir lu et merci de toute l'aide que vous m'apporterez.


PS: Je garde sur ma machine les logs de passage de mes outils de nettoyage, et j'ai retrouvé, récemment, la liste des saletés détectées
par Spybot sur cette machine, ce soir là:

01.10.2006 23:57:39 - ##### check started #####
01.10.2006 23:57:39 - ### Version: 1.4
01.10.2006 23:57:39 - ### Date: 01/10/2006 23:57:39
01.10.2006 23:57:45 - ##### checking bots #####
01.10.2006 23:58:13 - found: CoolWWWSearch Root class
01.10.2006 23:58:13 - found: CoolWWWSearch Root class
01.10.2006 23:58:13 - found: CoolWWWSearch Class ID
01.10.2006 23:58:13 - found: CoolWWWSearch DLL partagée 1 applications
01.10.2006 23:59:56 - found: DyFuCA.InternetOptimizer Exécutable
01.10.2006 23:59:56 - found: DyFuCA.InternetOptimizer Donnée
02.10.2006 00:02:22 - found: WhenU.Search Root class
02.10.2006 00:02:23 - found: WhenU.Search.Desktoptoolbar Root class
02.10.2006 00:03:05 - found: Windows AdTools Donnée
02.10.2006 00:03:23 - ##### check finished #####
RenardTriste
 
Messages: 2
Inscription: 08 Fév 2007, 23:08

Messagede nickW » 09 Fév 2007, 00:42

Bonsoir,

Les descriptions des cochoncetés détectées:

http://cwshredder.net/cwshredder/cwschronicles.html
http://research.sunbelt-software.com/th ... eatid=4711
http://research.sunbelt-software.com/th ... atid=14835

Si les contrôles ActiveX n'étaient pas bloqués, elles se sont installés sans problème.
Ce qu'ils sont: http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger: http://assiste.com.free.fr/p/abc/c/anti_activex.html

Quant à connaître un site infectant ... :?:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Hijackers (suite)

Messagede RenardTriste » 09 Fév 2007, 12:04

Bonjour NickW,
Un grand Merci pour ces précieuses informations, que je n'avais pas pu trouver moi-même.

Je n'ai pas encore tout lu (Je lis moins vite l'anglais que le français), mais à première vue, le problème que j'ai eu ressemble en partie à celui décrit dans la fiche du "InternetOptimizer"

Je ne m'étais pas méfié des contrôles ActiveX et je viens d'y mettre bon ordre, suivant les conseils de votre fiche.
D'ailleurs j'ai supprimé de ma machine tous les raccourcis vers Internet Explorer, ce qui devrait m'éviter d'autres étourderies fatales.

Je sais que chercher un site qui me permette de retrouver exactement les pages qui s'étaient invitées dans ma machine, sera très difficile. Mais je veux vraiment comprendre et je crois que mon week-end va y passer. Alors j'ai commencé des expériences dangereuses (sur ma machine virtuelle, avec antivirus, mais sans pare-feu)en reprenant quelques pistes trouvées sur des forums.

J'ai découvert qu'une simple faute de frappe peut déjà être le commencementde problèmes:
En saisissant goggle.fr au lieu de google.fr dans la barre d'adresse d'IE, le navigateur ne m'a affiché qu'une page blanche, mais...
J'ai aussitôt passé un petit coup de Spybot qui a détecté une saleté!!!

Nouvelle expérience plus édifiante:

1 - Je passe Spybot pour m'assurer que rien ne traine, je supprime tous les cookies et je vide le cache d'IE

2 - Je lance une recherche par Google avec les mots clés "crack winzip" (D'accord, la démarche est suspecte,
mais tant qu'on n'a rien téléchargé, on n'est pas hors la loi :-) On va supposer, pour les besoins de l'expérience,
que l'utilisateur naïf recherche un site où il a déjà lu que "Winzip est le super-crack des dézippeurs de fichiers"
(Le premier qui rigole a droit à ...mon plus grand sourire!)

3 - Google me renvoie une liste de sites contenant ces mots clés

4 - Parmi ces sites j'en aperçois un dont le nom ressemble assez à celui d'Altavista.

5 - Je clique sur ce lien ... (L'utilisateur naïf a la vue un peu troublée après une journée passée devant son écran)

6 - Une page s'affiche, contenant effectivement une liste de liens correspondant à ces mots-clés et également des encarts
publicitaires, (par exemple, une photo sur laquelle on voit une jolie fille en maillot de bain et les lettres XXX...)

7 - Sans cliquer sur quoi que ce soit, j'attends quelques instants.(L'utilisateur naïf est déconcerté, un peu choqué,
mais il doit avouer que la fille a de jolis yeux...)

8 - Très vite, je vois une quantité impressionnante de fenêtres qui s'ouvrent et qui n'ont rien à voir avec ma recherche d'origine,
Je ferme la fenêtre coupable, mais le mal est fait...Ma machine est contaminée!.L'utilisateur naïf est bouleversé, et moi
je suis content, car j'ai réussi ma démonstration en quelques clics pseudos innocents.

9 - Je dépouille les résultats, je suis impatient: D'abord le cache: Il contient une ribambelle d'adresses de sites que je n'ai jamais
consultés (Je veux bien dire des sites que je n'ai à aucun moment choisi de voir). Je trouve évidemment aussi un grand nombre
de cookies suspects. Mais le meilleur est pour la fin: Nouveau passage de Spybot qui me détecte 184 problèmes!!! Ce n'est pas
une coquille, j'ai bien écrit "cent quatre vingt quatre" objets indésirables collectés en saisissant deux mots et en deux clics
de souris... j'en ai la machoire qui tombe.


J'en tire donc les résolutions suivantes:

- Je dois vraiment continuer à fignoler la protection de ma machine, et j'avoue que votre site contient tout ce qu'il faut pour
celà. (Qui vient de chuchoter "fayot", là bas, dans le fond?)

- Je vais continuer mes expériences "dangereuses", car tout à coup le problème de la sécurité commence à me passionner.

- Je vous ferai part de mes découvertes intéressantes, et je pense que je vais en faire d'autres....

- j'ai l'intention de refaire ma sympathique manip (Celle du naïf, vous vous souvenez?) devant quelques copains tellement
surs de leur intégrité morale et de la pureté de leur navigations qu'ils se sentent même dispensés d'installer un antivirus.
(Ne riez pas! J'en connais vraiment...:-))Ils font ce qu'ils veulent, mais je peux pas supporter l'idée de voir souffrir
tant de pauvres petites machines innocentes

Merci pour vos conseils et la qualité de votre site (Ah non! Ca chuchote encore...)

PS: Si un jour vous manquez de place sur les serveurs qui hébergent votre site, dites le moi:
J'essayerai de faire mes prochains messages un peu plus courts... :-)
RenardTriste
 
Messages: 2
Inscription: 08 Fév 2007, 23:08

Messagede Jim Rakoto » 09 Fév 2007, 14:22

Salut

Tu as bien sûr pensé à regarder dans : c:\Documents ans Settings\userlocal\Local Settings\

dans Historique des liens consultés (ou se placer dans IE > ctrl H )

dans Temporary Internet Files où se trouve également les cookies

Il est également possible d'utiliser Index.dat Suite pour lire le fichier index.dat qui contient la liste de toutes les URLs consultées (choisir le fichier Full Install de 2.43 MB)
http://support.it-mate.co.uk/?mode=Prod ... x.datsuite

A+

Edité : il faut un certain temps à Index.dat Suite pour faire le relevé de tous les fichiers qu'il peut gérer
Pour celui qui veut nettoyer (et voir avant)> quand l'analyse est terminée, aller dans Tools > cleanup > choisir un item > View contents et si envie > Delete contents
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités

cron