Aller au contenu

Change
Photo

Somoto Le Virus(Et La Première Compagnie): Journal D'un Combat!


  • Veuillez vous connecter pour répondre
17 réponses à ce sujet

#1
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

Bonjour à tous, c'est Mischien!

 

Comme vous l'aurez vu, ce thread concerne un virus assez actif et *où sont les... trop tard...*, somoto, et surtout mon combat contre ce petit (censuré).

Les buts sont:

a. aider les futurs infectés;

b. obtenir de l'aide lors de ce combat.

 

Tout d'abord, parlons de somoto...

 

1:SOMOTO, c'est quoi?

 

Somoto est une sorte de pack de virus, contenant une série de programmes bien chiants.

La version la plus répandue de somoto est somoto.com, une version qui après avoir infecté le pc via le navigateur, ouvre une page de lancement "somoto.com" qui invite l'utilisateur à faire une recherche. Il existe aussi d'après ce que j'ai compris une version "installer" et une "toolbar". Enfin, existe la version furtive, que j'ai choppé, et dont je vais vous parler...

 

Cette version contient une série de programmes (enregistreurs de frappe, scanneurs de fichier, logiciels qui envoie des données perso en ligne et corrompent les fichiers du pc, auto-multiplicateur, bref, l'armada habituelle), les symptômes qui se manifestent sont des gros ralentissements du pc (par exemple, dans mon cas, impossibilité de faire tourner un jeu EN LIGNE, cette dernière partie étant expliquée...dans la phrase suivante^^), des sautes de ping et surtout un comportement anormal de l'ordinateur lors de toute activité en ligne.

Pour vérifier la présence du virus, assez simple: un scan au démarrage avec avast le détecte, quelque soit la version... il propose la suppression, faite-là! Le virus sera toujours là, mais il sera moins puissant, la suite sera donc moins dure (apparemment,j'ai pas encore fini!).

 

Vous l'avez? Bravo, vous êtes dans la même galère qe moi...voyons comment en sortir (autrement qu'en formatant tout si possible...).

 

2: Le combat.

 

Tout d'abord, je tiens à remercier Solitaire, Yamato, Setsuna et Kayna pour leur aide et leur soutient... je leur décerne la croix d'honneur!

 

Trêve (lulz ^^) de plaisanteries, passons aux chose sérieuses.

Pour commencer, il fallait être sûr d'avoir un virus,et tenter de l'identifier (au début, j'ai cru à un problème de drivers...).

Pour identifier une menace, le plus simple est le scan... malheureusement, les scan classiques sont peu efficaces,j'ai eu la chance de me dire qu'un scan au démarrage serait mieux, et heureusement car le scan normal n'avait rien décelé mais celui au démarrage (avast) m'a trouvé 2 implantations de SOMOTO... qui furent directement mise en quarantaine et fusillées par avast.

Sachant cela, j'ai directement fait appel à plus gros: ZHPDiag, qui s'occupe de scanner TOUT le système (registres et dossiers cachés compris) et là, la cata: un bonne quinzaine d'infections dans les registres et fichiers. Après une recherche sur le net pour voir quel code utiliser (taper le nom des registres infectés dans la barre de recherche, lire...), j'ai entré le code de nettoyage dans ZHPfix (dur à utiliser, mais violent), cependant, insuffisant...j'ai donc lancé combofix.

 

Attention, je tiens à préciser que combofix est TRES violent, renseignez-vous bien avant de l'utiliser.

 

Après un scan du pc, combofix m'a encore supprimé une série de programmes...douteux.

 

Pensant (à raison) mon disque externe contaminé, j'ai fait appel au caporal USBfix. Encore une fois, ses attaques eurent raison de l'envahisseur (mode auto, tout est bien paramétré ^^).

 

Pour revérifier, j'ai fait appel à malewarebyte, qui n'a rien trouvé (si, des programmes que je connais et utilise depuis fort longtemps ^^).

 

Un re-scan de ZHPdiag à mis en évidence la présence de registres anormaux 

(

HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] 
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
 
et autres de la série tencent...
)
 qui sont de adwares, soit des installateurs de virus!!!
 
Heureusement, combofix avait supprimé les fichiers de ces virus, mais pas leurs clés...
 
J'ai donc utilisé adwcleaner, un programme spécialisé contre ce genre d'attaques, qui les à supprimées vite fait.
 
 
 
Le calme est enfin revenu dans mon pc, après environ 34 heures de combat!
 
 
En cas de problème similaire, je suis prêt à aider, connaissant la galère des procédures (au passage, changer TOUT ses codes après ça)
 
Rapport de combat terminé: QG, à vous!

Modifié par MISCHIEN, 07 octobre 2013 - 13:09.

  • 3
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#2
KaynabX

KaynabX

    Geek confirmé

  • Banni
  • 1 169 messages
  • LocalisationAlsace | Bas-Rhin

Bonne chance Général MISCHIEN !

Nous sommes de tout coeur avec vous !

 

 

Kay.


  • 0

ID Steam : KaynabX - ID Origin : Shoahbricot - ID LoL : KaynabX

Galaxy S4 i9505 - Omega v30 - XXUGNE5

Si mon intervention vous a été utile ou vous a fait rire n'oubliez pas de cliquer sur le petit rep_down.png :pray:

1414183662-1413030658-signaturegx60kay.p


#3
Yamato

Yamato

    Geek diplomé

  • Membre
  • 2 596 messages
  • LocalisationChez moi

http://www.commentca...r-somoto?page=3

P't'être que ça t'aidera, j'ai trouvé ça en cherchant Combofix, un truc que j'ai déjà utilisé.


  • 0

Portables :

Alienware M15x Nebula Red /// i7-720QM / GTX 460M / 4 Go RAM / 250 Go @ 7200 rpm / 1600 x 900 / W7 Home Premium 64 Bits

MSI GS60 2QE-041FR Ghost Pro Gold /// i7-4710HQ / GTX 970M / 16 Go RAM / SSD 128 Go + HDD 1 To 7200 rpm / 1920  x 1080 / W8.1 64 bits

 

Fixe :

NZXT Phantom Blanc / Asus P8Z68-V / i7 2600K / Noctua NH-D14 / Asus GTX 980 STRIX OC / 8 Go G.Skill Ripjaws X @ 1600 Mhz / Seasonic X-Series 660 W / WD Black Caviar 500 Go / Crucial M4 64 Go / AW OptX 2310 / Logitech Illuminated Keyboard / W7 Pro 64 Bits / Logitech X-530 Refresh

 

 


#4
Setsuna

Setsuna

    Geek diplomé

  • Membre
  • 2 352 messages
  • LocalisationLouhans (71)

Une restauration complète du système serait pas plus pratique ?


  • 0

AMD/Intel = Pareil.

Ne vous prenez pas la tête entre Intel et AMD, ce qui vont vous dires "Intel c'est les meilleurs" et "AMD c'est de la *oups, j'ai marché dedans !*", prouverons qu'ils sont ignorant car ils ont peur qu'on voles leurs PC pour mettre du AMD et inversement ;) 

 


#5
solitaire

solitaire

    NoLife P4G

  • Membre
  • 28 463 messages
  • LocalisationBordeaux

Regarde là: http://fr.fasterpccl...to/#deletefiles

 

http://forum.pcastuc...sp?f=25&s=62248

 

J'ai jamais chopé de virus avec p4g sans antivirus , je ne vois comprends pas comment vous arriver à chopper cela.


  • 0

Ex P4G: M980nu (x9100 +sli gtx280m), M15x(720qm +gtx260m), Macbook Air 11"
P4G actuels: M17xR3 2820qm + 6970m

T4G: I7 4770 et gtx 970 AMP Edition.


#6
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

Merci à tous. Soli, j'ai choppé ça de façon *femme au QI d'une moule cuite*: un popup c'est ouvert quand je cherchais un programme et j'ai cliqué dessus en voulant le fermer, à mon avis ça vient de là...

Setsuna, j'ai pas de point de restauration de plus d'une semaine (moment présumé du choppage de virus) car j'ai d'abord cru à un problème de drivers et j'en ai testé plein.De plus la restauration système ne supprime pas les nouveaux dossier, juste les programmes, hors somoto se copie dans tes fichiers également...

 

Je me lance dans la bataille maintenant en envoyant les éclaireurs, rapport ce soir!

 

EDIT: je viens de passer un coup de combofix pour arracher une partie du programme...un bon gors rapport à la clef! Une série d'entrées supprimées, je passe à la suite.


Modifié par MISCHIEN, 06 octobre 2013 - 11:40.

  • 0
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#7
Setsuna

Setsuna

    Geek diplomé

  • Membre
  • 2 352 messages
  • LocalisationLouhans (71)

Un formatage alors ?


  • 0

AMD/Intel = Pareil.

Ne vous prenez pas la tête entre Intel et AMD, ce qui vont vous dires "Intel c'est les meilleurs" et "AMD c'est de la *oups, j'ai marché dedans !*", prouverons qu'ils sont ignorant car ils ont peur qu'on voles leurs PC pour mettre du AMD et inversement ;) 

 


#8
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

J'essaye d'éviter le formattage, j'ai environ 300Go de programmes que j'utilise... ^^'

Après un Combofix+scan/suppression au démarrage d'avast+ zhpfix avec une liste d'action typée, ZHP dial me renvoie enfin un rapport qui semble correct! Je vais bien relire et tout retester cet aprèm, en attendant: pause!


  • 0
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#9
Setsuna

Setsuna

    Geek diplomé

  • Membre
  • 2 352 messages
  • LocalisationLouhans (71)

Il a pas moyen de récupéré tes 300Go de fichiers sans que le virus ce tape l'incruste dans un HDD externe ?


  • 0

AMD/Intel = Pareil.

Ne vous prenez pas la tête entre Intel et AMD, ce qui vont vous dires "Intel c'est les meilleurs" et "AMD c'est de la *oups, j'ai marché dedans !*", prouverons qu'ils sont ignorant car ils ont peur qu'on voles leurs PC pour mettre du AMD et inversement ;) 

 


#10
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

J'ai des doutes...Entre temps, ça semble être règlé (faut dire j'ai relativement laché la sauce niveau puissance des antivirus ^^)

Encore nettoyer mon externe de 3to que j'ai utilisé la semaine passée, et je devrais en être quitte...je rédige un rapport pour aider les suivants ce soir ou demain!

 

 

Hello, je me permet le double post pour forcer la notification, je regrouperai en un seul post  une fois le soucis règlé, merci de votre compréhension:

 

J'ai refait des scans avec divers programmes et ça semble être OK, par contre 3 ligne du rapport d'usb fix me perturbe car je ne les comprends pas, je la copie, si quelqu'un sait ce que ça signifie:

 

################## | Registre |
 
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
 
et dans regeditrun:
 
HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] 
 
 
Merci d'avance!
 
 

Bon, re-double post, encore pour forcer la notification: j'ai repassé un coup d'usb fix, quelques lignes avec ZHP, et après un check avec malewarebyte pro( version d'essai de 30 jours^^), plus de virus!

Je passe un scan ZHP, un scan au démarrage avast ce soir, et si tout va bien, demain soir je met mon rapport à jour au cas où quelqu'un à un virus similaire! 

P.S.: je sais toujours pas ce que sont les lignes du message précédent, si quelqu'un trouve...


Modifié par MISCHIEN, 06 octobre 2013 - 22:18.

  • 0
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#11
Setsuna

Setsuna

    Geek diplomé

  • Membre
  • 2 352 messages
  • LocalisationLouhans (71)

Alors il est toujours présent ce virus ?


  • 0

AMD/Intel = Pareil.

Ne vous prenez pas la tête entre Intel et AMD, ce qui vont vous dires "Intel c'est les meilleurs" et "AMD c'est de la *oups, j'ai marché dedans !*", prouverons qu'ils sont ignorant car ils ont peur qu'on voles leurs PC pour mettre du AMD et inversement ;) 

 


#12
solitaire

solitaire

    NoLife P4G

  • Membre
  • 28 463 messages
  • LocalisationBordeaux

Hello, je me permet le double post pour forcer la notification, je regrouperai en un seul post  une fois le soucis règlé, merci de votre compréhension:

 

J'ai refait des scans avec divers programmes et ça semble être OK, par contre 3 ligne du rapport d'usb fix me perturbe car je ne les comprends pas, je la copie, si quelqu'un sait ce que ça signifie:

 

################## | Registre |
 
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
 
et dans regeditrun:
 

HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] 
 
 
Merci d'avance!

 

 

Des clés de registre normal:

 

http://www.zebulon.f...e-registre.html


  • 0

Ex P4G: M980nu (x9100 +sli gtx280m), M15x(720qm +gtx260m), Macbook Air 11"
P4G actuels: M17xR3 2820qm + 6970m

T4G: I7 4770 et gtx 970 AMP Edition.


#13
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

Merci soli. Je pense que le virus est toujours présent sur mon pc (le dd externe est clean, j'en suis quasi sur) cr j'ai des clés de registres anormales et un programme introuvable détecté pas ZHP, et encore de temps en temps des poussées d'usage du proco, mais j'ai en grande partie nettoyé le système... je terminerai demain après-midi, j'ai cours que le matin.

 

Je vais refaire un nettoyage des registres en entrant les clés suspectes (de toute façon, les clés peuvent être réinstallées...ou restaurées) et un passage d'adwcleaner.

 

Au passage, somoto est mort, mais comme il contient entre autres un adware, qui m'en a installé un autre (Tencent), ben j'ai l'adware tencent et conduit qui restent, mais sont "bloqués": normalement ils sont hors d'état d'installer d'autres virus, mais continuent à bouffer de la puissance....


Modifié par MISCHIEN, 06 octobre 2013 - 22:52.

  • 0
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#14
Yamato

Yamato

    Geek diplomé

  • Membre
  • 2 596 messages
  • LocalisationChez moi

Cool, on dirait que tu vois le bout des embêtements ;)


  • 0

Portables :

Alienware M15x Nebula Red /// i7-720QM / GTX 460M / 4 Go RAM / 250 Go @ 7200 rpm / 1600 x 900 / W7 Home Premium 64 Bits

MSI GS60 2QE-041FR Ghost Pro Gold /// i7-4710HQ / GTX 970M / 16 Go RAM / SSD 128 Go + HDD 1 To 7200 rpm / 1920  x 1080 / W8.1 64 bits

 

Fixe :

NZXT Phantom Blanc / Asus P8Z68-V / i7 2600K / Noctua NH-D14 / Asus GTX 980 STRIX OC / 8 Go G.Skill Ripjaws X @ 1600 Mhz / Seasonic X-Series 660 W / WD Black Caviar 500 Go / Crucial M4 64 Go / AW OptX 2310 / Logitech Illuminated Keyboard / W7 Pro 64 Bits / Logitech X-530 Refresh

 

 


#15
Setsuna

Setsuna

    Geek diplomé

  • Membre
  • 2 352 messages
  • LocalisationLouhans (71)

Ils sont en quarantaine les tencent ?


  • 0

AMD/Intel = Pareil.

Ne vous prenez pas la tête entre Intel et AMD, ce qui vont vous dires "Intel c'est les meilleurs" et "AMD c'est de la *oups, j'ai marché dedans !*", prouverons qu'ils sont ignorant car ils ont peur qu'on voles leurs PC pour mettre du AMD et inversement ;) 

 


#16
solitaire

solitaire

    NoLife P4G

  • Membre
  • 28 463 messages
  • LocalisationBordeaux

Regarde pour Tencent: http://forum.pcastuc...t-f25s63688.htm


  • 0

Ex P4G: M980nu (x9100 +sli gtx280m), M15x(720qm +gtx260m), Macbook Air 11"
P4G actuels: M17xR3 2820qm + 6970m

T4G: I7 4770 et gtx 970 AMP Edition.


#17
MISCHIEN

MISCHIEN

    Geek padawan

  • Redacteur
  • 3 208 messages
  • Localisationdans la matrice!(BELLE-GEEK!)

J'avais réussit à supprimer les dossiers tencent, mais resataient les clés qui refusaient de s'en aller! Mais ça y est! Tout est nettoyé (aparemment, je revérifierai dans 2 semaines, jamais trop prudent!). Je met à jour le post d'origine pour indiquer mes démarches, au cas ou quelqu'un se tape aussi une infection globale!

Merci de votre aide!


  • 0
p4g:clevo p150hm»i7 2720qm,hd6970m,8gb ddr3,500gb/7200tpm»commandé chey IL,review ici(euh, ben non, elle a disparu...) RAT7 ^^ DD externe WD mybook Essential 2To
Chaîne youtube: http://www.youtube.c...5?feature=guide
Image IPB

#18
lenys054

lenys054

    Touriste

  • Membre
  • 252 messages
  • Localisationnancy

une partition ou tu met tes jeux films etc...

et un bon formatage 2heures tout au plus et tu est sur

voila mon combat contre les virus,bien que j'en ai jamais eu de ce type

de toute facon chez moi c'est formatage tout les 6 mois minimum

pour garder un systeme sain et propre,sinon c'est le bronx dans le pc


  • 0

P4G MSI Ge70 2OE I7 4700mq GTX765m O/C +135/450

8go Kingston 1600 HDD750go 7200tpm Dalle 17" FHD Mat Antireflet

Windows Seven 64bits refroidi par un Cool Master Noctua U3 

 

Echanger contre

 

I5 3570K O/C 4.4ghz//Asus Maximus FormulaV//WaterCooling Seidon 120M

8goDDR3 Gskill Extreme Ripjaws Pc17000 2133mhz
SSD Corsair Force GT 120go//WD Velociraptor 10000tpm 250go//Samsung Spinpoint F1 1TO
Crossfire de 7950 VaporX With Boost 3go//Corsair CX 750Watts 80+ bronze
AeroCool Xpredator3 Extreme Black Edition//Corsair K70 Red Edition




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)