Url:botnet

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Url:botnet

par xpatval »

Bonjour,

Sur Windows 7, avec Avast gratuit.

Lors d'une tentative de transfert de fichier de mon ordi vers un site, Avast m'alerte ainsi:
"nous avons annulé la connexion au site car cet élément était infecté par URL:Botnet", et me donne une url avec un fichier infectieux qu'il ne m'est pas possible de trouver par FTP.

Que dois-je comprendre ? Est-ce le site qui est infecté ou mon PC, et que faire dans ce cas ?

Merci de vos réponses

xpatval
Avatar de l’utilisateur
Parisien_entraide
Messages : 9071
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Url:botnet

par Parisien_entraide »

Bonjour,

Vu que tu ne dis rien.. (quel navigateur, sur quel site tu es allé pour "télécharger", que tu n'indiques pas l'URL qui est surement une adresse blacklistée par AVAST du fait de ta source de téléchargement ou programme utilise (Bitorrent par ex, etc) suit :

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Re: Url:botnet

par xpatval »

Ah, j'ai donc oublié des choses, les voici: concernant les navigateurs, le problème survient avec firefox, opera ou chrome (je n'utilise pas edge). Le site est une vitrine d'une boite pro en drupal, multilingue (geo-instrumentation.fr ou com, en http et pas https...). Le fichier concerné à transférer est un pdf en anglais pour le .com. la manip pour le fichier en français s'est déroulée sans alerte Avast.

Je viens de réalisrrFRST le scan:

https://pjjoint.malekal.com/files.php?i ... 0w7k14x5n7
https://pjjoint.malekal.com/files.php?i ... 10c1113f15
https://pjjoint.malekal.com/files.php?i ... 1p15j7i9o9

xpatval
Avatar de l’utilisateur
Parisien_entraide
Messages : 9071
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Url:botnet

par Parisien_entraide »

Tu as posté 2 fois le meme rapport...

Malekal ou Angélique te répondront plus précisement mais déjà :


Désinstalle (Périmés et/ou ne servent à rien)

- Adobe Flash Player
- Spybot

Evite l'installation

- K-Lite Mega Codec Pack (il y a 3 types de pack
https://codecguide.com/about_kl.htm

La version standard suffit amplement d'autant plus que nombre de programmes ont leurs propres codecs (VLC pour la vidéo, AIMP pour la musique etc)
Le mega est propre, mais est connu pour être un facteur d'instabilité (dont et avec les jeux)

- CCLeaner : Il faut éviter de l'installer par défaut et le laisser vivre sa vie. Ce truc est un mouchard à la base si on laisse tout actif il faut donc le configurer
https://www.malekal.com/avez-vraiment-besoin-ccleaner/

Mais tout comme AVAST : viewtopic.php?f=11&t=64256&p=478935&hil ... re#p478935

ou choisir un nettoyeur "clean" comme Privazer
https://www.malekal.com/privazer-nettoyer-windows/

Tu as nombre de programmes périmes pas à jour (Cyberlink ou meme WinRAR 6.00 (32-bit) )

_______

Tu es sous Win7 pour sûrement de bonnes raisons (?) liées peut etre à l'usage de certains programmes (?)

Le site en question "ne semble" pas présenter de problèmes lié à la malveillance (analyse hybrid) mais pour ceux qui sont derrière il est à revoir
https://www.dareboost.com/fr/report/a_3 ... 5a0f8fafb6


Par contre EVITE l'usage perso et "pro"

Je note la présence de "gjagent.exe" qui est lié au jeu War Thunder
C:\Users\(nom d'utilisateur)\AppData\Local\Gaijin\Program Files (x86)\NetAgent

Ce truc Chinois ne faisait pas partie du package initial et a été rajouté pour des 'mises à jour améliorée"
Meme si le jeu est désinstallé, ce programme toutes les 30 mm communique vers le net pour savoir si le jeu est à jour et n'a pas de programme pour le désinstaller

Contrairement à ce qu'ils racontent
https://support.gaijin.net/hc/en-us/art ... ijin-Agent ce n'est pas désinstallé avec le jeu


Sur les navigateurs :

Sur Firefox vire Ghostery et prend Ublock Origin
https://www.malekal.com/ublock-bloquer- ... -internet/

Je ne suis pas adepte de Chrome et Opéra qui est coutumier du fait d'URL foireuses
OPERA ; viewtopic.php?f=46&t=68853


Sinon inutile de remplir le fichiers HOSTS avec (le rapport s'arrête avant) plus de 7867
Ce n'est pas le role de HOSTS et en plus tu n'as rien en place pour actualiser
Ublock Origin peut le remplacer (meme si moins efficace sous Chrome du fait du fonctionnement de ce .. navigateur)

Les rapports Avast! doit être dans c:\Program Data\Avast!
Regarde dedans tu doisavoir des fichiers textes, faudrait les fournir en pièce jointe dans un nouveau message.

Voila juste un survol rapide

Edit : Concernant le PDF anglais et Fr, c'est de ta conception ou cela vient d'ailleurs ?
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
angelique
Messages : 30960
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Url:botnet

par angelique »

Salut,
et me donne une url avec un fichier infectieux qu'il ne m'est pas possible de trouver par FTP.
Faudrait donner ces infos.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Re: Url:botnet

par xpatval »

Des news matinales: je ne reproduis plus l'alerte Avast, et mon fichier pdf (qui n'est pas de ma conception. ce fichier est juste un export d'un doc word en pdf) est bien transféré !
Les rapports Avast! doit être dans c:\Program Data\Avast!
Regarde dedans tu dois avoir des fichiers textes, faudrait les fournir en pièce jointe dans un nouveau message.
Alors ce n'est pas gagné; dans c:\program data\avast software, je n'ai rien en fichier texte compréhensible. D'ailleurs, hormis 4 répertoires, je n'ai que 2 fichiers (.lock et .xml)
Salut,

et me donne une url avec un fichier infectieux qu'il ne m'est pas possible de trouver par FTP.

Faudrait donner ces infos.
Là aussi, l'historique Avast ne me donne pas le message complet (hormis connexion annulé, menace bloquée). Et comme j'ai pu transféré...

xpatval
Avatar de l’utilisateur
Parisien_entraide
Messages : 9071
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Url:botnet

par Parisien_entraide »

AVAST a peut etre mis à jour sa base et vu qu'il s'incruste dans les navigateurs (Avast Online Security, safe price) il peut réagir

Tu n'a pas un fichier de ce type ?
c:\ProgramData\AVAST Software\Avast​\report\aswBoot.txt

D'autres le trouvent dans
C:\Documents and Settings\All Users\Application Data\Avast Software\Avast\report\aswBoot.txt



Ensuite il faut faire attention à la conversion
Tu as des outils "gratuits" qui incorporent des lignes de code dans les .pdf (javascript, macros, DDE malveillantes,...) et cela peut etre un lien (ce n'est pas toujours visible)

Déjà tu as installé AVAST au complet, ce n'est pas une bonne idée
https://www.malekal.com/avast-supprimer ... lleger-pc/


Profite en pour sécuriser ton ordi sous Win (bien lire les implications surtout avec CMD et PowerShell)

https://www.malekal.com/hardentools-securiser-windows/
il y a eu quelques améliorations depuis le tuto
viewtopic.php?t=60030

Une fois activé et ordi redémarré, meme si tu reçois un mail vérolé (fichier word ou pdf, ..., en pièce jointe ) cela ne fonctionnera pas



Sur les infections
https://www.malekal.com/virus-office-word-excel/

Sur les PDF, JAVA (à ne pas confondre avec JavaScript) et le flash player que tu dois virer . Cela semble dater mais le principe est toujours d'actualité
viewtopic.php?t=13629&start=

Ensuite as tu besoin du lecteur d'adobe pour lire les .pdf ?
https://www.malekal.com/meilleur-lecteur-pdf-gratuit/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Re: Url:botnet

par xpatval »

Ok, j'ai trouvé le fichier Avast en question (en pj).

Je regarde les liens que tu m'as fourni..

Merci à toi

xpatval
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 9071
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Url:botnet

par Parisien_entraide »

Rien en rapport avec l'url (non donnée) du premier message dans ce rapport (hormls de possibles archives corrompues)

Comme le rappelle Angélique, cela aurait été mieux, DES le premier message si tu vais donné cette URL car là on tourne en rond
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Re: Url:botnet

par xpatval »

L'url est donnée dans le 3ème message, à ta demande. tu l'as d'ailleurs passé sur dareboost.com, que je ne connaissais pas...
Mais je comprends bien que tu as du boulot avec ce forum.
Avatar de l’utilisateur
Parisien_entraide
Messages : 9071
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Url:botnet

par Parisien_entraide »

Effectivement : Mea culpa

L'URL en question que ce soit en Fr ou .com n'est pas dangereuse, mais AVAST n'a peut etre pas aimé le fait que soit de l'HTTP

Là j'ai regardé, meme en activant https everywhere (qui ne fait pas que la fonction première) ca ne couine pas
Seul un navigateur sous Slimjet indique le soucis du HTTP, mais j'ai aussi des fontes propriétaires et coockies bloqués et rien ne remonte avec un autre outil d'analyse

En tous les cas avec ce que tu as à virer, configurer etc, tu as du boulot :-)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
xpatval
Messages : 22
Inscription : 04 sept. 2009 21:43

Re: Url:botnet

par xpatval »

Comme tu dis !
Bon, je ne m'explique pas pourquoi j'ai eu cette alerte, à partir du moment ou rien n'indique que mon PC soit vérolé, ou que le site ait été hacké.
Enfin bref, merci pour ta patience...

xpatval
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »