Infecté par rueducommerce ? - Virus/Spywares - Windows & Software
Marsh Posté le 31-01-2013 à 20:25:16
kit-et-kat a écrit : Microsoft security essentials m'a détecté un trojan (TrojanDownloader:Win32/Obvod.K) dans le fichier msconfig.exe dans G:\TMP\. |
En fait ce n'est pas le site en lui meme mais un sous domaine "hxxp://::pubtr.rueducommerce..;;fr" (adresse volontairement tronquée pour éviter les "soucis "à la lecture :-)
Comme d'hab pour infecter un site, les malveillants infectent la régie de pub ou des pubs qui contiennent un ou des scripts qui pointent sur des sites qui vont ramener des infections (c'est arrivé sur des sites yahoo, etc)
Edit :
Je ne sais si tu parles de JAVA, JavaScript, mais pour VRAIMENT désactiver JAVA sur un ordi
Étape 1 : Pour désactiver Java dans Windows
Fermer les navigateurs
Ouvrir C:\Program files (x86)\Java\jre7\bin
Chercher le fichier javacpl.exe et exécuter ce fichier en tant administrateur
Choisir Avancé>Java par défaut des navigateurs
Décocher tous les navigateurs
Si un navigateur est grisé, il est possible de désactiver cette ligne en cliquant en même temps sur la barre espace.
Appliquer en cliquant sur OK
Étape 2 : Désactiver l’installation de Java dans chaque navigateur (Peu importe l'OS)
- Firefox : Outils > Modules complémentaires > Plugins > Désactiver tous les Plugins en relation avec Java
Internet Explorer : Gérer les modules complémentaires>Barre d’outils et extensions>Désactiver toutes les extensions en relation avec Oracle America Inc.
Google chrome : Dans chrome://chrome/extensions/ > Désactiver tous les Plugins en relation avec des Java
Safari pour Windows : Préférence > Sécurité > Décocher Java
Opera -> taper opera:plugins dans la barre d'url -> désactiver le plugin Java
Au dela de cela il est préférable de naviguer avec un firefox et quelques plug in comme AdBlock Plus, No Script, ... (on peut y ajouter GHostery aussi)
Evidemment au début c'est contraignant, et lorsque l'on veut payer sur un site, ou voir une vidéo, il faut désactiver le script qui va bien avec un clic droit sur l'icone du plug in) ou cliquer sur la vidéo et accepter ce qui est proposé, mais on s'habitue
Pour les sites à véroles connus (il y en a tous les jours) et pour bloquer les régies de pub malveillantes :
http://www.abelhadigital.com/hostsman
Ca remplit le fichier host des sites dangereux, et lorsqu'on clique sur l'un de ces sites ou qu'une redirection silencieuse se fait sur un des sites répertoriés.. ca sera bloqué (en fait ca fait une boucle sur l'adresse locale)
Normalement à l'install il est demandé de désactiver le service : client DNS
Si ce n'est pas le cas il faut le faire (sinon gros ralentissement à prévoir en navigation)
On y ajoute quelques listes en plus comme
http://someonewhocares.org/hosts/zero/hosts
http://www.malekal.com/HOSTS_filtre/HOSTS.txt
http://www.malwaredomainlist.com/hostslist/hosts.txt
http://sysctl.org/cameleon/hosts.win
A ce jour je dois avoir plus de 300 000 adresses bloquées (on peut faire mieux via la stratégie de groupe en blacklistant des tranches d'adresses de pays, comme la russie et ses satellites, Ukraine etc, mais beaucoup d'infections sont logées sur des sites US (à leur insu souvent) et là si on blackliste on se coupe du monde :-)
Evidemment il faut tenir ses logiciels (et tant qu'à faire meme si pas de rapport, ses pilotes à jour)
Pilotes :
et ensuite ici
http://www.filehippo.com/fr/updatechecker
Il y en a d'autres comme PSI secunia (qui vérifiera en plus si il ne manque rien à windows)
Pour les applis critiques (flash, adobe avec son pdf, java, .. ) et logiciels sont les failles peuvent etre exploitées (meme les anciens dont on se sert peu)
Du reste il vaut mieux virer adobe reader et le remplacer par un lecteur (qui sera en plus plus rapide) comme PDF x change viewer par ex
On peut faire mieux (configuration windows, reseau, bac à sable etc) car c'est une protection minimale, mais l'essentiel est là
Marsh Posté le 03-02-2013 à 17:49:37
Merci pour ces explications détaillées, je parlais des applets java. En fait java je voudrais le garder pour faire du dév pour androïd.
Je savais pas qu'on pouvait dégriser un naviguateur coché, ce qui est le cas chez moi, je vais donc pouvoir le désactiver, même si je comprends pas bien la portée de cette opération, vu que j'ai désactivé les applets.
Tu me fais penser qu'effectivement ça peut être un sous domaine qui peut être en cause, du coup j'en ai bloqué certains via mon firewall, mais je peux pas e bloquer 300 000
J'avoue que niveau sécurité je suis moins pointilleux qu'avant, c'est contraignant et je suis devenu un peu fataliste, j'évite d'exposer au risque ce que je ne souhaite pas c'est plus simple
Marsh Posté le 03-02-2013 à 22:03:23
kit-et-kat a écrit : Merci pour ces explications détaillées, je parlais des applets java. En fait java je voudrais le garder pour faire du dév pour androïd. |
Et bien sinon si tu as quelques doutes, tu mets SandBoxie (la version gratuite doit suffire) et toute ta navigation s'effectue dans un bac à sable, sinon si tu mets les quelques programmes que j'ai cité cela devrait bien se passer
Marsh Posté le 03-02-2013 à 22:09:03
Ok, je vais regarder ce qu'est ce sandboxie dont j'ai jamais entendu parlé.
Marsh Posté le 09-02-2013 à 18:38:50
Edit: rien
Marsh Posté le 31-01-2013 à 20:02:31
Microsoft security essentials m'a détecté un trojan (TrojanDownloader:Win32/Obvod.K) dans le fichier msconfig.exe dans G:\TMP\.
Le fichier était daté du 28/01/2013 à 17:54 (date de création)
Le trojan a été retrouvé aussi dans le répertoire C:\ProgramData\Ot5L2s86.exe mais c'est normal car il se recopie là.
J'ai essayé de retrouver dans quel contexte cela a pu arriver, il y a eu des écritures dans ces répertoires à ce moment là (17:54):
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28
f6c6c1c-650290fe
f6c6c1c-650290fe.idx
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62
3308833e-73dd7479
3308833e-73dd7479.idx
Plusieurs cookies ont été crées à ce moment là (17:54) provenants des sites:
=> plus.google.com
=> www.rueducommerce.fr
=> pubtr.rueducommerce.fr
=> halc.iadvize.com
=> mmtro.com
=> adnxs.com
voir -> http://www.google.fr/safebrowsing/ [...] adnxs.com/
D'après google un contenu suspect aurait été détecté le 27/01/2013 en dernière date.
=> criteo.com
=> dlvr.it
=> www.minimachines.net
=> ea.rueducommerce.fr
Je n'ai navigué que sur google, www.rueducommerce et www.minimachines.net à ce moment là.
Curieusement hier en faisant une recherche sur google, les résutlats retournés provenant de rueducommerce m'indiquaient que ce site pouvait représenter une menace pour mon ordinateur.
Je l'ai signalé à rdc d'ailleurs.
adnxs.com pourrait être responsable de cette infection, vu ce qu'en dit google.
Après recherche c'est bien la navigation sur le site de rueducommerce qui génère ce cookie.
Donc avis, pensez à faire un scan complet de votre ordinateur.
Les applets java été activés sur mon ordinateur, je comprends pas comment car je les avais en principe désactivés, j'en suis plus que sûr. Pensez aussi à les désactiver au passage.
---------------
Mon feed back: http://forum.hardware.fr/hfr/Achat [...] 6100_1.htm