Besoin d'aide avec un malware

Zangdar MortPartout · 05/08/2017, 19h00

Allo,

En cherchant un utilitaire pour faire des backups de mon cellulaire, j'ai choppé une merde. Le logiciel en question me redirige vers des sites ou ouvre de nouvelles fenêtres quand je navigue avec mozilla.

Problème, je n'arrive pas à le nettoyer.
J'ai passé malware bytes (qui m'a trouvé deux affaires), windows defender, adwcleaner, hijack this ( rien vu dans le log ) et malware junkware removal tool.

Vous avez des suggestions parce que j'ai pas spécialement envie de réinstaller window ?

Merci

lAlicel · 05/08/2017, 22h23

Truc con, tu as testé ton FF avec un nouveau profil (ou en mode sans échec) ?

J'ai déjà eu le cas, résolu en désinstallant FF, virant les répertoires qu'il laisse derrière lui (dans AppData notamment) puis en réinstallant.

Skydexter · 05/08/2017, 22h33

+1 pour au dessus

Si t'a déja passer un coup de malwarebytes / adwcleaner. (La bonne chose a faire pour ce type de probleme)

Effectivement supprime entierement Firefox & ses dossiers, et reinstalle proprement apres les scans.

Dr. Gregory House · 05/08/2017, 22h42

Essaie des anti-rootkit si les anti malwares traditionnels ne fonctionnent pas, par exemple MBAR (l'anti rootkit de MalwareBytes) et TDSSKiller (celui de Kaspersky). Perso ça m'a debarassé du dernier malware que j'ai choppé et qui m'avait bloqué l'acces a tous mes antivirus et antimalwares. Je garantis pas que ça marche, mais ca prend deux minutes a tenter.

https://www.malwarebytes.com/antirootkit/
https://usa.kaspersky.com/downloads/tdsskiller

Et +1 pour reinstall complete si rien ne fonctionne, même si je me demande si ce genre de saletes n'a pas la possibilité de modifier ton registre et de se dupliquer ailleurs que dans le dossier du navigateur.

aziraphale · 06/08/2017, 11h04

Un collègue au boulot a eu la même merde il y a quelques mois, je me souviens plus du nom.
J'ai essayé de le nettoyer comme toi, et rien n'y a fait.
Au final j'ai tenté de désinstaller Chrome par dépit, et après réinstallation tout était nickel.

Enfin jusqu'à ce qu'il choppe une nouvelle merde

thanatosX · 06/08/2017, 12h45

Une des première chose à regarder est de voir si un truc à changer ta page d'accueil par défaut.
Panneau de configuration => Options Interbête => Général => page de démarrage. C'est un bon indice.
Après, tu peux t'aider de
HiJackThis (ça liste les process qui tourne sur ton PC à l'aide d'un log. Log que tu fait parcourir sur leur site.
AdwCleaner simple à utiliser (attention il redémarre ton PC à la fin), donc sauve tout avant de le lancer.
Après je conseille plus que fortement de n'utiliser QUE des softs connus et reconnu depuis des années. Pas un soft dont tu vois une pub sur FB.

Zangdar MortPartout · 06/08/2017, 15h09

J'ai passé mbar, adwcleaner et hijackthis. Malwayrebyte a fini par me trouver deux trucs, mais le problème est tjrs là :/

Je teste chrome pour voir si c'est localisé à FF effectivement.

TDSSKiller m'a trouvé un truc mais c'est le service qui gère mon RAID donc un faux positif.

lAlicel · 06/08/2017, 16h31

Désinstalle FF, vire les résidus de son install et réinstalle le.

cricri · 06/08/2017, 16h53

regarde le lien de ton raccourcit a surement une adresse derriere faut la supprimer

Zangdar MortPartout · 06/08/2017, 17h27

J'ai viré firefox avec revo, il a tout nettoyé, j'ai installé chrome, pour l'instant pas de problèmes. Ça a l'air de bien être quelque chose incrusté dans le navigateur. Je vais réinstaller firefox prochainement pour voir

Merci

aziraphale · 06/08/2017, 18h19

Oui ça s'incruste dans les fichier du navigateur. Mais ça corrompt TOUS les navigateurs installés en même temps.
Si tu avais tenté d'ouvrir un truc avec Edge avant de désinstaller FF, tu aurais vu exactement le même comportement que sous FF.

Ce n'est pas d'avoir installé Chrome qui te permet à nouveau de naviguer tranquille, c'est le fait d'avoir virer FF et tous ses fichiers sans exception qui a éliminé le problème.
Tu peux réinstaller FF si c'est ton navigateur préféré, le problème est résolu définitivement (enfin pourvu que tu ne DL pas de nouveau un truc qui installe cette merde)

Metalovichinkov · 06/08/2017, 18h21

Y'a des trucs qui se mettent tout connement dans les pages d’accueil, moteur de recherche par défaut, plugin, etc... C'est super chiant parce qu'on a pas l'habitude de nettoyer comme ça, mais c'est aussi à tester (la prochaine fois)

Zangdar MortPartout · 06/08/2017, 18h45

Citation :

Publié par aziraphale

Oui ça s'incruste dans les fichier du navigateur. Mais ça corrompt TOUS les navigateurs installés en même temps.
Si tu avais tenté d'ouvrir un truc avec Edge avant de désinstaller FF, tu aurais vu exactement le même comportement que sous FF.

Ce n'est pas d'avoir installé Chrome qui te permet à nouveau de naviguer tranquille, c'est le fait d'avoir virer FF et tous ses fichiers sans exception qui a éliminé le problème.
Tu peux réinstaller FF si c'est ton navigateur préféré, le problème est résolu définitivement (enfin pourvu que tu ne DL pas de nouveau un truc qui installe cette merde)

Du coup mon edge est infecté, comment je fais pour le cleaner lui ?

cricri · 06/08/2017, 23h34

ca je sais truc que j ai fait il y a quelque semaine

https://www.justgeek.fr/windows-10-r...ft-edge-43350/

Zangdar MortPartout · 07/08/2017, 03h45

Merci

aziraphale · 07/08/2017, 13h45

Il y a pas besoin de nettoyer Edge.

Ce machin s'installe dans les fichiers d'un seul navigateur, mais ça lui suffit pour foutre la merde avec tous les navigateurs présents.

Si ton navigateur par défaut était FF, le fait de l'avoir désinstallé complètement a réglé le problème pour TOUS les navigateurs en même temps.
Si ça n'avait pas été le cas, quand tu as installé Chrome le problème aurait toujours été là.

07/08/2017, 14h22

ça te redirige vers un site specifique ?

Si oui, recherche sur google "remove nomdusite", t'auras forcément le logiciel ou explication adéquate pour te le virer.

Avec ccleaner, tu peux regarder s'il lance un prog au démarrage (tools => startup).

Zangdar MortPartout · 07/08/2017, 14h30

C'était plusieurs sites différents mais les même revenaient régulièrement (il y avait en fait une suite de redirection). J'ai tenté avec ceux qui n'étaient pas les pubs finales (les intermédiaires quoi) mais rien trouvé sur google.

07/08/2017, 14h51

Quand tu vas dans :
firefox > addons > extensions & remove

T'as de nouvelles extensions ?

En allant dans "firefox > help > troubleshooting information", tu devrais voir l'id et build number. Ca peut te donner une idée sur l'authenticité de l'extension.

Tu peux poster un screenshot ici au pire.

Sinon => %APPDATA%/Roaming/Mozilla et tu peux virer le dossier firefox si c'est pas déjà fait. (après avoir desinstaller FF)

Autre cas : Pour essayer d'isoler le problème, tu peux voir si firefox lance un autre process
https://docs.microsoft.com/en-us/sys...ocess-explorer

Zangdar MortPartout · 07/08/2017, 15h29

Je ne peux plus faire ce test car j'ai viré et complètement nettoyé firefox. Je ne l'ai pas encore réinstallé car de toutes façons je vais réinitialiser mon système.

D'ailleurs concernant le navigateur je suis toujours partagé entre Chrome et Firefox. Le premier est rapide mais n'est pas assez configurable et est trop lié à google. On m'avait parlé d'une version sans le lien avec google mais je ne la retrouve plus.

07/08/2017, 15h56

Tu veux parler de chromium ? ça reste Google, mais c'est un projet open source. Il est pas mal utilisé sur linux.

https://chromium.woolyss.com/

Neirdan · 07/08/2017, 16h46

Utilise un navigateur orphelin comme http://www.palemoon.org/ c'est un fork de firefox, ça permet d'éviter de se chopper des merdes car sa signature n'est pas chrome/FF/edge

Zangdar MortPartout · 07/08/2017, 17h43

Citation :

Publié par Bofz

Tu veux parler de chromium ? ça reste Google, mais c'est un projet open source. Il est pas mal utilisé sur linux.

https://chromium.woolyss.com/

Tu peux mieux paramètre ton historique, les données stockées, et les même plugins sont disponibles ?

Citation :

Utilise un navigateur orphelin comme http://www.palemoon.org/ c'est un fork de firefox, ça permet d'éviter de se chopper des merdes car sa signature n'est pas chrome/FF/edge

Intéressant mais même question au sujet des plugins ?
Ce qu'il fait derrière ton dos est bien connu et documenté ?

07/08/2017, 20h06

Citation :

Publié par Zangdar MortPartout

Tu peux mieux paramètre ton historique, les données stockées, et les même plugins sont disponibles ?

Mhh ça fait un moment que j'utilise plus Debian, mais coté historique/plugin il me semble que c'était quasi similaire.

Après par habitude, j'utilise chrome. Sur le choix entre FF et Chrome.. Même s'il bouffe plus en mémoire, j'ai toujours trouvé chrome plus rapide avec plus de plugins.. Puis coté boulot j'utilisais que celui ci

lAlicel Alpha & Oméga	Truc con, tu as testé ton FF avec un nouveau profil (ou en mode sans échec) ? J'ai déjà eu le cas, résolu en désinstallant FF, virant les répertoires qu'il laisse derrière lui (dans AppData notamment) puis en réinstallant.
05/08/2017, 22h23

Skydexter [Fllen] Alpha & Oméga	+1 pour au dessus Si t'a déja passer un coup de malwarebytes / adwcleaner. (La bonne chose a faire pour ce type de probleme) Effectivement supprime entierement Firefox & ses dossiers, et reinstalle proprement apres les scans.
05/08/2017, 22h33

aziraphale Alpha & Oméga	Un collègue au boulot a eu la même merde il y a quelques mois, je me souviens plus du nom. J'ai essayé de le nettoyer comme toi, et rien n'y a fait. Au final j'ai tenté de désinstaller Chrome par dépit, et après réinstallation tout était nickel. Enfin jusqu'à ce qu'il choppe une nouvelle merde
06/08/2017, 11h04

Zangdar MortPartout Alpha & Oméga	J'ai passé mbar, adwcleaner et hijackthis. Malwayrebyte a fini par me trouver deux trucs, mais le problème est tjrs là :/ Je teste chrome pour voir si c'est localisé à FF effectivement. TDSSKiller m'a trouvé un truc mais c'est le service qui gère mon RAID donc un faux positif.
06/08/2017, 15h09

lAlicel Alpha & Oméga	Désinstalle FF, vire les résidus de son install et réinstalle le.
06/08/2017, 16h31

cricri Alpha & Oméga	regarde le lien de ton raccourcit a surement une adresse derriere faut la supprimer
06/08/2017, 16h53

Zangdar MortPartout Alpha & Oméga	J'ai viré firefox avec revo, il a tout nettoyé, j'ai installé chrome, pour l'instant pas de problèmes. Ça a l'air de bien être quelque chose incrusté dans le navigateur. Je vais réinstaller firefox prochainement pour voir Merci
06/08/2017, 17h27

Metalovichinkov Alpha & Oméga	Y'a des trucs qui se mettent tout connement dans les pages d’accueil, moteur de recherche par défaut, plugin, etc... C'est super chiant parce qu'on a pas l'habitude de nettoyer comme ça, mais c'est aussi à tester (la prochaine fois)
06/08/2017, 18h21

cricri Alpha & Oméga	ca je sais truc que j ai fait il y a quelque semaine https://www.justgeek.fr/windows-10-r...ft-edge-43350/
06/08/2017, 23h34

#353114 Invité	ça te redirige vers un site specifique ? Si oui, recherche sur google "remove nomdusite", t'auras forcément le logiciel ou explication adéquate pour te le virer. Avec ccleaner, tu peux regarder s'il lance un prog au démarrage (tools => startup).
07/08/2017, 14h22

Zangdar MortPartout Alpha & Oméga	C'était plusieurs sites différents mais les même revenaient régulièrement (il y avait en fait une suite de redirection). J'ai tenté avec ceux qui n'étaient pas les pubs finales (les intermédiaires quoi) mais rien trouvé sur google.
07/08/2017, 14h30

#353114 Invité	Tu veux parler de chromium ? ça reste Google, mais c'est un projet open source. Il est pas mal utilisé sur linux. https://chromium.woolyss.com/
07/08/2017, 15h56

Neirdan Alpha & Oméga	Utilise un navigateur orphelin comme http://www.palemoon.org/ c'est un fork de firefox, ça permet d'éviter de se chopper des merdes car sa signature n'est pas chrome/FF/edge
07/08/2017, 16h46

Besoin d'aide avec un malware

Connectés sur ce fil