"mot de passe" intrusif sur mon antivirus

[Jethro Tull]

Bonjour,

 

En janvier 2007, mon antivirus Trend Micro Cillin ajouta une toute nouvelle fonction: un scan anti-programmes espions. Au tout début, le scan général de mon antivirus Trend Micro Cillin marchait très bien, selon la procédure suivante

 

1) recherche des failles Microsoft

 

2) scan anti-programmes espions

 

3) scan anti-virus

 

 

 

Mais par la suite, en passant de la phase 1) au 2), le scan anti-programmes espions 'scannais' subitement sans fin dans le vide, sans qu'aucun programme ne défile ou ne soit affiché. En fait, il ne scannait plus rien du tout. Je ne pouvais pas non plus lancer un scan exclusif "anti-programmes espions", car cela ne marchait pas non plus. J'ai dû éteindre et rallumer mon ordi plus d'une dizaine de fois avant que le "scan anti-programmes espions" se remis de nouveau en marche (mais sans rien trouver d'anormal). C'est arrivé maintes fois.

 

 

 

En explorant mon antivirus, j'ai découvert qu'il existait une rubrique "liste des exceptions au scan anti-programmes espions".

 

Et en voulant ouvrir cette fenêtre, stupefaction ! , voila que mon antivirus me demande carrément un mot de passe....

 

Or je n'avais alors défini aucun mot de passe sur mon antivirus, étant le seul à me servir de mon ordinateur. (Kollosale erreur...)

 

 

 

J'ai donc fini par créer mon propre mot de passe sur mon antivirus. Celui-ci me permettait effectivement d'ouvrir normalement toutes les fenêtres, sauf celle de la "liste des exceptions au scan anti-programmes espions"...

 

réponse : "mot de passe erroné" !!!

 

J'ai ensuite changé plusieur fois de mot de passe, mais avec toujours le même résultat.

 

 

 

Beaucoup plus vicieux :

 

 

 

En revenant sur la "page générale" de mon antivirus, j'ai remarqué avec stupeur que le simple fait d'avoir voulu ouvrir la "liste des exceptions au scan anti-programmes espions" désactivait automatiquement la totalité des protections de mon antivirus, et ce sans prévenir !!!!

 

 

 

Heureusement que mon ordinateur était alors déconnecté. Si j'avais fait cela avec mon ordi branché à mon modem, j'aurai pu complètement le planter, d'autant que quelques mois auparavant, mon ordi avait subi un véritable bombardement viral.

 

Pendant plusieur semaines, le simple fait de brancher mon ordi sur mon modem, obligeait mon antivirus à arrêter de 6 à 8 virus à la minute... C'était très stressant. Il va de soit que la première chose que je faisais à chaque connexion, était de me précipiter pour télécharger illico les mises à jour de Trend Micro Cillin et d'effectuer régulièrement des scans (qui ne trouvaient rien d'anormal). Par la suite, çà s'est subitement calmé, plus le moindre virus.

 

 

 

J'ai alors envoyé un mail à un ami qui s'y connaît mieux en informatique pour lui expliquer le phénomène anormal du "mot de passe" intrusif et inconnu qu'on m'impose pour m'empêcher d'ouvrir "la liste des exceptions au scan anti-programmes espions". Mais il n'a pas dû être le seul à lire ce mail, car quelques jours plus tard, j'ai eu un plantage complet de mon ordinateur. Ce même ami m'a alors récupéré mes documents et m'a tout réinstallé. Il n'y avait alors plus du tout de mot de passe intrusif pour ouvrir cette fameuse "liste des exceptions au scan anti-programmes espions", dont le contenu était vide.

 

On n'a donc jamais su ce qu'il y avait dedans auparavant. Est-il possible de quand même le retrouver ?

 

 

 

Ce n'est pas terminé.

 

 

 

Quelques semaines plus tard, mon antivirus m'informait subitement à chaque connexion à mon modem :

 

 

 

votre connexion internet a été modifiée:

 

IP : Retirée par la modération. Faut pas laisser son IP à la vue du public

 

passerelle : Celle-ci non plus

 

accepter/annuler

 

 

J'ai toujours annulé, car je ne voyais pas pourquoi ma connexion aurait été subitement modifiée (par qui, pourquoi ?)

 

La connexion revenait alors à la configuration précédente, qui marchait très bien. Mais un beau jour, cette modification m'a probablement été imposée, car je n'ai plus eu cette fenêtre.

 

 

 

Entre temps, et après plusieurs autres péripéties, je ne peux plus me connecter à internet, ni à ma messagerie

 

Diagnostique : mon cache ARP a été vidé (par qui? pourquoi ? dans quel but? )

 

Que faut-il en conclure de tout çà ? S'agit-il d'un hacker qui fait ce qu'il veut sur mon ordi ? Je soupçonne un espionage professionnel...

Modifié le 11 août 2009 par Mark
IP retirée

[Mark]

Bonjour ;

 

Je ne suis pas en France alors je connais peu (ou pas) les FAI et leur fonctionnement. Cependant, je vois que tu es chez Numericable, n'est-ce pas ? Tu aurais donc une IP dynamique, c'est-à-dire que ton FAI attribue une nouvelle adresse IP à chaque connexion (j'ai lu un truc d'un représentant à cet effet, dans un autre fil).

 

Nouvelle IP : normal.

 

Si ça ne répond pas à ta question, on verra pour déplacer ton sujet vers les gens de Réseaux peut-être.

 

@++

[Jethro Tull]

Bonjour ;

 

Je ne suis pas en France alors je connais peu (ou pas) les FAI et leur fonctionnement. Cependant, je vois que tu es chez Numericable, n'est-ce pas ? Tu aurais donc une IP dynamique, c'est-à-dire que ton FAI attribue une nouvelle adresse IP à chaque connexion (j'ai lu un truc d'un représentant à cet effet, dans un autre fil).

 

Nouvelle IP : normal.

 

Si ça ne répond pas à ta question, on verra pour déplacer ton sujet vers les gens de Réseaux peut-être.

 

@++

 

 

Bonjour, merci beaucoup pour ces renseignements.

 

 

Exact, je suis chez Estvidéo, qui a été repris récemment par numéricable.

Mais comment se fait-il que toutes ces années précédentes, je n'ai jamais eu d'avertissement "votre connexion internet a été modifiée", et que par la suite je n'en ai plus eu non plus ?

Est-il normal que l'adresse MAC change également ? Ce n'est pas l'adresse MAC inscrite sur mon Modem...

Il est bizarre que ce phénomène se soit produit juste après cet incident du mot de passe intrusif et inconnu destiné à m'empêcher d'ouvrir la "liste des exceptions au scan anti-programmes espion" ?

Enfin, pourquoi le simple fait de vouloir ouvrir cette "liste des exceptions au scan anti-programmes espions" désactive automatiquement toutes les protections de mon antiviru Trend Micro Cillin, et cela sans prévenir ?

 

Malheureusement pour moi, car cela m'intrigue beaucoup, je suis un parfait béocien en informatique...

 

Moult d'autres phénomènes du même type se sont produits sur mon ordinateur (voir mes autres topics)

 

Merci beaucoup pour vos lumières

[Mark]

Bonjour Jethro Tull

 

Bon d'accord, y a des trucs qui me semblent louches d'après tes descriptions. On va investiguer un brin et j'irai lire tes autres topiques dès que j'ai 5 minutes. Je te propose deux outils d'analyse :

==========

 

1) Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/gmer.zip

 

- Sauvegarde-le sur ton Bureau

- Extrais le contenu du fichier .zip sur ton Bureau (GMER.exe), puis lance-le par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Je vais te le demander plus tard.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

2) Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau :

http://oldtimer.geekstogo.com/OTL.exe

 

- Lance l'outil par double clic ;

- Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) :

>> Sous Extra Registry, coche Use SafeList

>> Vers le haut, coche Scan All Users

- Clique maintenant sur le bouton "Run Scan"

- Deux rapports seront générés par OTL, soient OTL.txt et Extras.txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches.

- Copie/colle le contenu des deux rapports ici, plus celui de GMER (Ark.txt) dans ta réponse, s'il te plaît.

 

@+

[Jethro Tull]

Bonjour Jethro Tull

 

Bon d'accord, y a des trucs qui me semblent louches d'après tes descriptions. On va investiguer un brin et j'irai lire tes autres topiques dès que j'ai 5 minutes. Je te propose deux outils d'analyse :

==========

 

1) Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/gmer.zip

 

- Sauvegarde-le sur ton Bureau

- Extrais le contenu du fichier .zip sur ton Bureau (GMER.exe), puis lance-le par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Je vais te le demander plus tard.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

2) Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau :

http://oldtimer.geekstogo.com/OTL.exe

 

- Lance l'outil par double clic ;

- Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) :

>> Sous Extra Registry, coche Use SafeList

>> Vers le haut, coche Scan All Users

- Clique maintenant sur le bouton "Run Scan"

- Deux rapports seront générés par OTL, soient OTL.txt et Extras.txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches.

- Copie/colle le contenu des deux rapports ici, plus celui de GMER (Ark.txt) dans ta réponse, s'il te plaît.

 

@+

 

 

 

Bonjour Mark,

 

 

Merci beaucoup pour ces conseils, mais pour l'instant je ne peux rien télécharger, car je ne peux plus connecter mon ancien ordinateur, et ce depuis que quelqu'un a vidé mon "cache ARP"... (voir mon premier post)

 

Comme une des charnières de l'écran de cet ancien ordinateur est également cassée (c'est tellement bloqué à fond que l'on croirait que l'écran est vérouillé en position ouverte, j'ai flingué la charnière tout simplement en voulant replier l'écran), je me suis acheté entre temps un nouvel ordi et un autre antivirus (Bitdefender) en janvier 2009. J'ai mis les protections au max, mais il est également déjà nase (plus de son, pleins de phénomènes bizarres et plus de possibilité de me connecter à internet depuis que j'ai carrément osé téléphoner à l'aide en ligne de 'bitdefender'). Ceux-ci m'ont envoyé un mail avec des liens pour vérifier qu'il n'y a pas de virus sur mon antivirus, mais je ne peux plus me connecter à internet depuis. Je reviendrai sur les problèmes de mon nouvel ordinateur dans un prochain post.

 

Mais d'abord, j'aimerai ne pas mourrir idiot et savoir ce qui s'est passé avec mon ancien ordinateur. Je pense être victime d'un hacker, et ce pour des raisons professionnelles. Mais j'aimerai connaître l'avis de gens qui s'y connaissent en informatique.

 

 

Voici d'autres éléments qui pourront peut-être vous permettre de vous faire une opinion:

 

Je rappelle que je suis le seul utilisateur de mes deux ordinateurs et que je ne me sers que des programmes qui étaient déjà en place lors de l'achat : outlook express, windows explorer, windows media player, sonicstage, word et c'est à peu près tout.

 

 

 

Mon ancien ordinateur a fait l'objet pendant plusieurs semaines d'un véritable bombardement viral. Le simple fait de connecter mon ordinateur à mon modem estvidéo obligeait mon antivirus à arrêter entre 6 et 8 virus à la minute...

 

Ces virus émanaient de multiples adresses IP, mais ils étaient toujours envoyés en doublon simultanés à partir d'une même adresse IP (mon antivirus les arrêtait à une seconde d'intervale).

 

Je suppose que le but calculé était que lorsque mon antivirus arrête un premier virus, son jumeau simultané aurait alors une chance de passer ?

 

En tout cas, c'était très stressant. Je me précipitais donc pour immédiatement télécharger les mises à jour de mon antivirus, pour faire régulièrement des scans approfondis et j'ai même fini par augmenter les niveaux de protections sur maximum.

 

Puis subitement, çà s'est calmé.

 

 

 

En explorant mon antivirus, j'avais également constaté que certaines protections se désactivaient carrément de 'tout seul'.

 

Par exemple:

 

"contrôle de la messagerie:

 

contrôle courrier entrant : activé

 

contrôle courrier sortant: activé

 

contrôle courrier électronique : désactivé"

 

 

j'ai réactivé le "contrôle courrier électronique", mais il m'est arrivé par la suite plusieurs fois en revenant y jeter un coup d'oeil, de voir que cette fonction était à nouveau désactivée.

 

 

 

Toute mes protections étaient au départ sur "niveau normal", mais j'ai également remarqué que l'une d'entre elle ("réseau domestique") avait été descendue sur "sécurité minimum". Par qui ? Pourquoi ?

 

Je l'ai remise sur "normal", puis le phénomène s'étant reproduit, je l'ai mise sur maximum.

 

 

 

Quelques mois plus tard, en explorant plus à fond mon antivirus, dans la rubrique "Contrôle virus et programmes espions", je suis tombé sur la rubrique "système d'alerte de logiciels suspects", "changements décelés":

 

 

 

Pas moins de 28 changements décelés, ce chiffre restera constant jusqu'à aujourd'hui, malgrè plusieurs mises à jour windows.

 

 

 

18 modifications détectées rien que dans : "parametres d'internet exploreur", dont 6 modifications à risque faible, 2 à risque moyen et 10 à risque élevé !

 

Dans "informations détaillées", on remarquera qu'aucune de ces modifications n'a de nom, ni le moindre descriptif !

 

Seul le risque est évalué, soit en faible, moyen ou élevé.

 

Les 12 changements avec risque moyen ou élévé ont par contre tous une ligne "détails sur la menace : " et la réponse inscrite en dessous est tout simplement un.... double-point ( ":" )

 

Que veut dire ":" donné en guise d'explication d'une menace ?

 

Je suppose que le lecteur est censé confondre le double-point à la fin de la ligne "détails sur la menace :" avec le double-point de la réponse en dessous...

 

 

 

 

 

3 modifications détectées dans : "logiciel de démarrage de votre ordinateur" :

informations détaillées:

 

(HKLM): Apoint

 

Alps Electric., Ltd.() risque : faible

 

 

 

Qu'est-ce que c'est que ce "Alps Electric", et pourquoi y a-t-il un point, une virgule et une parenthèse vide dans l'intitulé ?

 

Que veut dire "(HKLM) : apoint" ?

 

 

 

(HKLM):WPDShServiceObj

 

aucun descriptif risque : faible

 

 

 

(HKU): SpybotSD Tea Timer

 

Safer Networking Limited() risque : faible

 

 

 

Seul ce dernier titre me semble normal, car un ami m'a effectivement installé Spybot.

 

 

 

1 modification détectée dans "mémoire de votre ordinateur" : C:\ProgramFile\Spybot-Search_Destroy\Tea Timer.exe

informations détaillées:

 

Safer Networking Limited()

 

risque : faible

 

description : "La mémoire de votre ordinateur contient des programmes espions susceptibles de voler des informations confidentielles.

 

Détails : Chemin: C\ProgramFiles\Spybot-Search&Destroy

 

nom du fichier : Tea Timer - exe

 

Société : Safer Networking Limited

 

Produit(s): Spybot-Search&Destroy

 

 

 

2 modifications détectées dans "Plugiciel d'internet explorer":

la première modification n'a pas de nom, ni de descriptif

 

risque : faible

 

la deuxième modification : Safer Networking Limited ()

 

risque : faible

 

 

 

3 modifications détectées dans "services Windows":

Alps Electric Co., Ltd() risque : faible

 

VERITAS Software, Inc.() risque : faible

 

VIA Technologies. Inc.() risque : faible

 

 

 

C'est quoi ces trois trucs ?

 

 

 

1 modification détectée dans "parametre de sécurité Windows" :

pas de nom indiqué...

 

risque: moyen

 

détails sur la menace:

 

:

 

 

 

A nouveau, on trouve un double-point en guise de réponse...

 

On notera que seuls les logiciels suspects faiblement dangereux ont un nom et un descriptif sommaire, "Spybot" a un descriptif plus détaillé.

 

Les logiciels suspects à risque moyen ou élevé n'ont par contre aucun nom, ni aucun descriptif.

 

Quant au "détails sur la menace", c'est toujours un double-point en guise de réponse...

 

 

 

Lorsqu'on supprime ces 28 logiciels suspects, on plante complètement l'ordinateur. Un ami m'a récupéré mes documents, réinstallés mes programmes et mis à jour mon antivirus et Windows à partir de sa propre connexion internet chez lui.

 

 

 

Mais lorsqu'il m'a ramené mon ordinateur, j'ai constaté que ces 28 programmes suspects détectées étaient de nouveau là. Je ne les ai évidemment plus supprimé. Cet ami m'a dit qu'il s'agirait peut-être des mises à jour windows.

 

 

 

Mais alors pourquoi ces logiciels dangereux n'ont-ils pas de nom, pas de descriptif ?

 

Pourquoi la signature de Microsoft n'apparait-elle nulle part ?

 

Pourquoi n'y a-t-il aucune modification dans cette liste, lorsque je télécharge de nouvelles mises à jour Windows ?

 

çà me parait très suspect...

 

 

 

Enfin, que veulent dire :

 

Alps Electric Co., Ltd() risque : faible

 

VERITAS Software, Inc.() risque : faible

 

VIA Technologies. Inc.() risque : faible

 

 

 

ainsi qu'un double-point en guise de réponse à "détails sur la menace:" ?

 

 

 

Que faut-il en conclure de tout çà ?