[VIRTUMONDE]Site web bloqué

JeeP · Juillet 15, 2008, 12:14

Voilà, c’est la cata.
Je n’ai plus accès à geekzone sur mon pc fixe.
Vous imaginez dans quelle détresse je suis, alors aidez-moi.

L’histoire: vendredi j’ai installé Deluge-torrent, Peerguardian 2 et Nero 8. Dans cet ordre.
A la suite de ça mais sans que je puisse jurer qu’il y a un lien, je ne peux plus accéder à geekzone.
Quand je clique sur mon favori dans firefox (3), qui est un vieux cafzone.net, il m’affiche “connecté à www.geekzone.fr”, et ne va pas plus loin. Je l’ai laissé pour voir pendant plus d’une heure, il fait comme s’il chargeait la page, avec le truc qui tourne, mais la barre de progression se bloque et je ne suis même pas transféré de la page précédente.
Bien sûr, si je tape geekzone.fr, c’est pareil.

Ca le fait aussi sur d’autres sites (programme-tv.net, et google uniquement sur les pages de réponse aux requêtes), mais de façon transitoire. Sur geekzone, c’est totalement bloqué.

J’ai testé sous IE6, c’est pareil.
J’ai viré peergardian, c’est pareil.
J’ai activé et désactivé le firewall de windows xp, pareil.

Si je ping geekzone.fr, ça passe sans problème.
Si je redémarre en mode sans échec, ça passe aussi.

J’ai essayé de killer un maximum de processus, ça ne débloque pas.
Le fichier hosts est vierge (enfin, il n’y a que localhost).

Je suis sous windows xp pro genuine non encore activé, installé il y a 10 jours sur un disque vierge avec téléchargement préalable du SP3.
J’ai fait un scan AVAST en mode sans échec, il n’a rien vu.
Arovax anti-spyware idem.
Je suis relié en ethernet à mon alicebox.
Sur mon portable, je n’ai aucun problème.

Voilà… j’ai l’impression que c’est plus un problème de quelque chose mal configuré qu’un malware, mais je suis prêt à toutes les propositions, y compris celles qui impliquent d’égorger des poulets.
S’il le faut, je réinstallerai, vu que c’est tout frais, mais vous vous doutez bien que j’en ai moyennement envie.

Merci pour votre aide.

Edi: j’oubliais: j’accède à torréfaction et au geek-o-matic si je tape leurs liens directement.
J’ai addblock sur le firefox, mais pas sur IE6.
Et au cas où, non ça n’est pas une blague de ma copine qui aurait mis un controle parental parce que je passe trop de temps ici.

rolyat · Juillet 15, 2008, 2:09

Deux cents: et avec Spybot?

As-tu regarde si les sites en questions ne sont pas passes, par hasard, dans la categorie “Sites a risques” ?

McRemic · Juillet 15, 2008, 4:41

J’ai eu un problème similaire ce we à cause d’un spyware nommé Virtumonde. Assez coriace, Spybot n’arrive pas à le supprimier définitivement. Obligé de tout faire à la main.
http://fr.pcthreat.com/parasitebyid-9fr.html

Par contre, je n’avais aucun problème avec Safari.

fser · Juillet 15, 2008, 2:17

et en telnet ça passe ?

[code]telnet geekzone.fr 80
GET / HTTP/1.0
Host: geekzone.fr

REPONSE SERVEUR ICI[/code]

(note les deux retours chariots, un apres le fr de geekzone.fr et un “dans le vide”)

edit: bien fait de préciser, la balise code remonte toute seule. héhé ajoutons du texte pour forcer cela.

JeeP · Juillet 15, 2008, 2:23

Rolyat et McRemic avaient tous les deux le doigt dessus: Spybot (dont j’avais oublié l’existence) a trouvé et bouffé Virtumonde. J’ai enfin de nouveau accès à geekzone depuis mon pc!

Ceci dit, je trouve ce truc totalement stupide. Faire un virus qui brandit quasiment un panneau sur lequel il est marqué “hého! il y a un problème sur votre ordinateur!”, c’est idiot.

(Et moi je suis idiot aussi, j’ai réussi à pourrir un système tout neuf…)

Merci encore une fois à tous!

JeeP · Juillet 16, 2008, 2:05

Juste un mot pour dire que ce Virtumonde est un vrai monstre.
J’ai mis des heures à m’en débarrasser.
Je crois que c’est fini.

Donc je rajoute ce mot pour ceux qui en seraient victimes et passeraient ici.

Le logiciel cité par le site du lien de McRemic est considéré comme un spyware par Spybot (il trouve des virus sur les pc sains, et demande de payer pour les nettoyer).
La solution qui semble en être venue à bout, c’est celle proposée ici:
http://www.site-naheulbeuk.com/vundo.php
-Utiliser Vundofix
-puis Combofix en mode sans échec
-puis MalwareBytes’ Anti-Malware (qui doit être installé et lancé une première fois pour mise à jour en mode sans échec, sinon il semblerait que Virtumonde l’empêche de se connecter à son serveur; à faire avant de débuter la séquence que j’ai préféré faire entièrement offline comme le conseillait Spybot).
-et enfin un coup de Hijackthis pour virer d’éventuelles entrées restantes dans le registre. A noter que la bète reconnait Hijackthis et qu’il faut donc le renommer avant de le lancer.

Mais vu la résistance de la bestiole et la longueur des scans de certains de ces logiciels, je pense que formater est une option qui mérite d’être étudiée.

Monsieur_Max · Juillet 16, 2008, 2:11

La grande question Prévention de la semaine :

Comment tu as fait pour attraper une saleté pareille ?

Faskil · Juillet 16, 2008, 2:25

D’autant que Virtumonde est réputé pour corrompre un paquet de trucs, dont la pile tcp/ip, donc le « nettoyage » ne met pas à l’abri d’autres soucis (notamment des problèmes de réseau difficiles à diagnostiquer).

JeeP · Juillet 16, 2008, 2:47

[quote=“Monsieur_Max, post:7, topic: 37916”]La grande question Prévention de la semaine :

Comment tu as fait pour attraper une saleté pareille ?[/quote]
Un besoin très urgent d’un logiciel de gravure de CD plus évolué que celui inclus dans Windows qui m’a amené à m’en procurer un de façon un peu sale et au détriment de ma résolution initiale qui était que sur cette machine, il n’y aurait que des trucs “safe”.
J’ai passé le zip à l’antivirus qui n’a rien vu, j’ai dézippé, installé et lancé le crack.

Aujourd’hui, essayant de comprendre où bordel était planqué cette saleté, j’ai passé le crack spécifiquement (c’est à dire sorti du zip) à l’antivirus. Résultat, ma bestiole est dedans…

Et le pire du pire, qui fait que je mérite toutes les merdes qui m’arrivent, c’est que la version démo du logiciel en question est tout à fait fonctionnelle, juste limitée dans le temps. Donc pour mon usage “urgent”, elle aurait parfaitement fait l’affaire.

Faskil: je me pose effectivement la question de réinstaller même si ça semble marcher…

McRemic · Juillet 16, 2008, 3:19

Mince, désolé, mais j’avais posté à l’arrache et n’avais pas précisé que je n’avais pas utilisé de méthode automatisée pour m’en débarrasser. J’ai juste fait le ménage dans la base de registre (HKLM\Software\Microsoft\Windows\CurrentVersion\Run et HKCU\Software\Microsoft\Windows\CurrentVersion\Run) et viré les dll suspects du system32 en me servant de la liste présente dans le lien que j’avais filé. Cela ne m’a pas pris autant de temps que ça, et je n’ai plus de problèmes.

Ah ça, je l’ai remarqué explorer.exe hyper instable, difficultés à faire booter windows correctement et des tas de publicités qui s’ouvrent, la majeure partie pour des sites pornos.

Coldorak · Juillet 16, 2008, 3:24

Tain, je me demande si c’est pas le pb qu’a le pc chez mes parents (relié en filaire à une livebox)
Pour ce que j’ai pu faire faire comme tests, pas de pb de résolution de nom (ping www.google.fr marche), de traceroute (un traceroute pc parents -> pc à Cold sans souci et tout), mais avec un navigateur, aucun site accédé alors que les autres pc (portables, wifi) n’ont aucun souci

Faskil · Juillet 16, 2008, 3:40

Nan mais pendant qu’il est actif, c’est normal. Ce que je voulais dire, c’est qu’une fois que tu t’es débarrassé de la partie active, il reste quand même des traces de son passage.

AnA-l · Juillet 16, 2008, 4:56

Reformates. (Sauf si tu tiens vraiment a ce que tes numeros de comptes/cb/login-pass se retrouve dans une banque de données de hacker russes ou chinois)

Monsieur_Max · Juillet 16, 2008, 5:11

MErci pour le tuyau, pour ma part, je ne saurais que trop te conseiller l’excellent, léger, gratuit et très propre CdBurnerXP.