[NONO22] VELSATIS V6 3.5L. 245 CV + un kit green :love:

[allroadusa]

J'avais déjà édité son profil samedi et ça a recommencé. Effectivement, il faut être vigilant...

[jj-34]

Questions techniques et pratiques :

1- Est-ce dans son profile du forum que l'URL de ses avatars ou autres change pour pointer vers d'autres photos (X ou Y ou Z ) ??

2- ou l'URL lui ne change pas mais la cible change ?

Dans le 1er cas c'est qq'un qui a le controle de son profile qui s'amuse à lui faire des misères, pas un virus ...... ( faut changer son PW du forum et ne pas le stocker mais le taper à chaque connexion ).

Dans le 2ème cas c'est au niveau de l'hébergeur de ses cibles qu'il y a problème, pas dans son PC

[papyts]

tu crois que c'est quelqu'un avec ses petites mimines qui rentre le mot de passe ( PW = pass word ) ? ..........dans le forum velsatis et forum caravane ......si c'est le cas ça va se finir à coup de fusil car c'est une attaque très personelle.....

ou alors c'est un ordi ( robot ) qui arrose.....et c'est tombé sur nono.....


et si tu essayais pcflank.com....un truc pour savoir si ton pc est bien étanche

[jj-34]

Ben si on raisonne un peu en logique PC :
Nous autres avec nos PC bien à nous (et propres svp) on visualise des images qui sont dans un serveur quelquepart en fonction des url ( simples pointeurs ) qui eux sont dans le profile à Nono, lui-même stocké dans le serveur du forum, jusque là rien à voir avec le PC à Nono ......

Si nous autres (encore ) on voit des images qui sont pas les bonnes, c'est que :

° Soit les images ont été remplacées dans le serveur mais en gardant la même adresse (url), c'est le 2ème cas de mon post précédent et Nono n'y est pour rien ( virus ou malversation chez l'hébergeur ???),

° ou c'est l'url du profile qui a été changé et le dernier msg d'Allroad tend à prouver que c'est le cas, et dans ce cas encore une fois (et pourtant pas Belge) deux cas possibles :

+ Soit c'est qqun qui logon avec le userid nono60 (bien connu de tous ...) et son PW (password) et peut donc y faire ce qu'il veut, ce qui, simple hypothèse de travail , est très facile si Nono a coché la case qui lui permet d'être connecté automatiquement dès qu'il active son favori vers le forum, il suffit d'avoir accès à son ou ses PC dont il se sert ( au magasin ??? ) et même pas besoin de PW (mot de passe) dans ce cas.
C'est aussi mon cas, sur mon PC il suffit que je clicque sur le favori "Forum Vel Satis" pour être connecté MAIS mon PC est chez moi et je suis le seul à y avoir accès.

+ soit il a vraiment un virus dans son PC, mais alors un virus très très bizarre et qui sait reconnaitre précisément ces deux forums en particulier, son logon et ce qu'il faut taper pour changer des urls de son profile ...... ????? assez étonnant pour le moins, et pour tout dire j'y crois moyen

D'ailleurs y a-t-il d'autres manifestations de ce virus très spécialisé ?
Est-ce que nono est inscrit à d'autres sites et ont-ils aussi été manipulés ?

Autre piste : est-ce que les admins ont une trace (fichier historique) pour savoir qui ou quoi a changé des données dans le profile à Nono et quand ? En bon analyste grands systèmes que j'étais il fut un temps lointain, c'est par là que je commencerais les recherches ....

[allroadusa]

Alors jj,
1) les url sont changés et même ajoutés dans le profil ou dans les messages
2) Je pense que le virus utilise le fait que nono est logué par défaut dans Explorer. Il exploite les cookies.
3) Il s'agit d'un virus sans aucun doute. Nono a eu la même chose dans son Facebook.
Il doit se cacher dans les index de restauration de Windows, est nettoyé par le système, puis réapparait au premier reboot.

En revanche, il n'existe pas de logs de modifs sur phpbb.
Voili voilou.

[800dr]

Alors, faut désactiver la restauration auto, passer à l'antivirus puis remettre la restauration après.
Passer à Firefox qui n'est pas une passoire à virus comme IE peut aussi aider!

[jj-34]

1) les url sont changés et même ajoutés dans le profil ou dans les messages

C'est bien ce que je présentais aussi.

2) Je pense que le virus utilise le fait que nono est logué par défaut dans Explorer. Il exploite les cookies.

Ca veut dire quoi "être logué par défaut" dans IE ? on se logue sur un forum ou autre, mais pas dans IE qui n'est qu'un programme.
Il faudrait que Nono se déconnecte une fois manuellement du forum, puis lors de la prochaine connexion ne coche pas la case "reconnexion auto" mais pour un temps se connecte manuellement avec pw manuel aussi (les pw sous Windoze ne sont pas dans les cookies, mais encryptés dans un fichier système)

3) Il s'agit d'un virus sans aucun doute. Nono a eu la même chose dans son Facebook.

C'est une preuve ça ? ( juste une question, pas une contestation)
Quand même un virus qui connait les manips à faire dans le forum pour changer ou ajouter des liens url et avec les adresses réseau de belles images ...... Ca fait pas un peu beaucoup ? Vraiment très spécialisé ce virus, presque "intelligent" .....

Il doit se cacher dans les index de restauration de Windows, est nettoyé par le système, puis réapparait au premier reboot.

Quelqu'un a jeté un coup d'oeil à sa base de registre et à ses "services" ?
Si ça redémarre tout seul, doit y avoir un auto-run soit dans le registre soit des services bizarres qui sont en automatic start ....
C'est compliqué mais pas magique .......

En revanche, il n'existe pas de logs de modifs sur phpbb.
Voili voilou.

Ca c'est dommage et un peu léger, comment peut-on savoir ce qui se passe sans trace ?

[allroadusa]

Je voulais dire que nono se logue automatiquement sur le forum en cochant la case "se connecter automatiquement" dans IE. Possible que sous firefox le pb n'apparaisse pas.

[papyts]

arf, faut mettre le mot de passe à chaque fois NONO....sinon tu laisses la porte ouverte au virus .

[nono22]

le mot de passe je le tape a chaque fois , j'ai désactive avec firefox la mémorisation des mot de passes donc je suis obligé de le retapé a chaque fois , je fait un nettoyage tout les jours avec CCLEANER pour viré les kookyse et la corbeille . vendredi soir j'ai lancé un scanne minutieux avec MALWAREBYTES et RAS il a rien trouvé puis samedi ap. midi j'ai lancé un scanne minutieux avec SPYBOT DESTROY et RAS il a rien trouvé non plus . il y a trois jours j'ai scanné avec AVAST et RAS il a rien trouvé .
quand mon profil a été modifié je crois que j'étais déconnecté très bizarre stafaire ?? .
quand je fait une pause je me déconnecte, je ne laisse pas le forum sans surveillance pour ma part , cars la dernière fois je m'étais pas déconnecté et se p..t.. de virus en a profité pour s'incruster dans le forum

[nono22]

j'ai oublié j'ai lancé NAVILOG1 et RAS il a rien trouvé, donc ou est ce p..t.. de virus non de dieux

[xallias]

3) Il s'agit d'un virus sans aucun doute. Nono a eu la même chose dans son Facebook.

C'est une preuve ça ? ( juste une question, pas une contestation)
Quand même un virus qui connait les manips à faire dans le forum pour changer ou ajouter des liens url et avec les adresses réseau de belles images ...... Ca fait pas un peu beaucoup ? Vraiment très spécialisé ce virus, presque "intelligent" .....

Les manips ne sont pas compliqué.

80% si ces n'est pas plus des forums sont fait avec le soft php-bb et tous les forum ont donc le même modèles avec tous les champs au même endroits.

@nono tu utilise un mot de passe simple ???

Si oui essaye de prendre un truc mélangeant les lettre, chiffres et caractères spéciaux.

Comme l'ont fait remarquer allroad et 800dr as tu désactiver la restauration systèmes avant de faire les scans ???

Si tu ne sais pas comment on fait voila la procédure.

http://service1.symantec.com/support/in ... 0101856924

[800dr]

Comme l'a souligné JJ34, un nettoyage du registre pourrait faire du bien.
Nono, dans Ccleaner, il y a un onglet en dessous du balai (les cubes bleus) clique dessus puis sélectionne toutes les options et après clique sur cherchez "les erreurs" puis à la fin "corrigez les erreurs".

[galips]

Nono,
dans Ccleaner menu outils la liste des programmes installés apparaît.
regarde si l'un d'entre eux ne te semble pas "bizarre".
as tu essayé windows defender,téléchargeable chez microsoft.
il y a également safety live,scan en ligne de microsoft (attention l'opération dure plusieurs heures)

[marron glacé]

j'ai l'impression que 800dr va bientôt aller faire admirer à Mme 800dr les illuminations du jardin de nono60 ! ça pourrait changer des grands magasins !

[nono22]

3) Il s'agit d'un virus sans aucun doute. Nono a eu la même chose dans son Facebook.

C'est une preuve ça ? ( juste une question, pas une contestation)
Quand même un virus qui connait les manips à faire dans le forum pour changer ou ajouter des liens url et avec les adresses réseau de belles images ...... Ca fait pas un peu beaucoup ? Vraiment très spécialisé ce virus, presque "intelligent" .....

Les manips ne sont pas compliqué.

80% si ces n'est pas plus des forums sont fait avec le soft php-bb et tous les forum ont donc le même modèles avec tous les champs au même endroits.

@nono tu utilise un mot de passe simple ???

Si oui essaye de prendre un truc mélangeant les lettre, chiffres et caractères spéciaux.

Comme l'ont fait remarquer allroad et 800dr as tu désactiver la restauration systèmes avant de faire les scans ???

Si tu ne sais pas comment on fait voila la procédure.

http://service1.symantec.com/support/in ... 0101856924

merci pour le lien xallias je vais essayé de comprendre tout ça .(':nono:') je n'est pas désactiver la restauration systèmes ça je ne connait pas ?? . je vais voir avec ton lien si j'arrive a comprendre .
pour le mot de passe il ma été fournie par allroadusa il y a lettre et chiffre , pour changé un mot de passe il faut tout d'abord tapé le mot passe actuelle ?? puis tapé le nouveau par deux fois ,ou il faut tapé directement le nouveau mot de passe sens tapé le mot actuelle ?? .
a 800dr pour CCLEANER oui je le fait cherchez les erreurs et puis les corriger .
a galips je vais regardé la liste des programmes si il y a pas un intrus .
je n'ai pas essayé windows defender je me demande si il peu se marié avec AVAST ça va faire du bordel non ,se sont deux antis-virus .
pour un scanne en ligne j'ai fait avec PANDA ACTIVE SCAN 2.0

[xallias]

La restauration est une partie de ton disque dur que Windows se réserve pour faire une sorte d'image de ton système.

Et les virus adore se cacher dans cette partition pour mieux re-apparaitre.

Pour changer le password il y a trois champs:

- Ancien mot de passe
- Nouveau
- Confirmation du nouveau

Windows defender est compatible avec avast.

[nono22]

La restauration est une partie de ton disque dur que Windows se réserve pour faire une sorte d'image de ton système.

Et les virus adore se cacher dans cette partition pour mieux re-apparaitre.

Pour changer le password il y a trois champs:

- Ancien mot de passe
- Nouveau
- Confirmation du nouveau

Windows defender est compatible avec avast.

ok xallias je vais essayé windows defender .
et je vais changé mon mot de passe

[nono22]

je vient d'essayé de changé mon mot de passe et voila la réponse ?
Le mot de passe que vous avez fourni est différent de celui stocké sur la base de données.

[galips]

j'ai le sentiment qu'un programme s'est installé sur le pc de nono.
il n'est pas détecté par les antivirus.
c'est pourquoi je conseille un examen manuel des programmes installés et un scan par windows défender ou plus approfondi par safety live qui ne sont pas des antivirus mais conçus pour dénicher les programmes malveillants.