#1 Le 06/03/2016, à 02:43
- clarai
[ pas résolu] virus persistant sous ubuntu 14.04 lts
bonjour, je viens de m'inscrire ici, j'utilise ubuntu depuis des années, mais je ne m'y connais pas beaucoup
j'ai une sorte de virus qui redirige mes pages internet vers une page avec des lien a cliquer...
j'ai fais plusieurs tentatives pour m'en débarasser:
-plusieurs formatages
-j'ai acheté un disque dur ssd neuf, toujours le meme probléme, mais je me demande si je ne l'ai pas rechoppé sur un site de progranne tv ou autre que je fréquente réguliérement
-donc j'ai rerereformaté en créant des partitions pour bien effacer les données, + coché l'option cryptée; le virus reviens toujours
j'en arrive a me demander si ce n'est pas un pirate qui m'en veut 
ce virus ne semble pas avoir d'autre fonction que de rediriger les pages web
quand je formatte, je met au hasard le "" / "" et "" ext2 "" je ne sais pas a quoi cela correspond mais ça fonctionne
merci d'avance pour votre aide
Dernière modification par clarai (Le 04/10/2016, à 21:52)
Hors ligne
#2 Le 06/03/2016, à 03:35
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
capture d'ecran: http://www.casimages.com/i/160306024239284762.png.html
il met des lien en rapport avec les pages web affichées, pour inciter a cliquer dessus
Hors ligne
#3 Le 06/03/2016, à 08:22
- moko138
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Quand tu installes, formate plutôt tes partitions linux en ext4, qui est un format dit "journalisé" qui facilite la récupération des données après un incident tel qu'une extinction brutale.
L'ext2, plus ancien, n'est pas journalisé.
- -
Contre la redirection indésirable :
Dans l'immédiat, passe ces deux commandes :
echo 127.0.0.1 "208.91.196.46 # quickdomainfwd.com" | sudo tee -a /etc/hostsecho 127.0.0.1 "quickdomainfwd.com # 208.91.196.46" | sudo tee -a /etc/hostsqui bloqueront les sorties de ton pc en direction de ce site chinois.
Puis donne-nous
cat /etc/hosts.
D'une façon générale, il faut que tu changes tes habitudes de navigation :
ne pas cliquer sur le premier lien proposé, etc.
Personnellement j'installe l'extension "noscript" sur firefox. C'est une excellente protection à condition de la paramétrer et utiliser comme je l'indique là et là.
Dernière modification par moko138 (Le 06/03/2016, à 08:23)
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#4 Le 06/03/2016, à 10:58
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
bonjour, merci de m'avoir répondu
j'ai copié les lignes dans le terminal:
az@az-K50IE:~$ echo 127.0.0.1 "208.91.196.46 # quickdomainfwd.com" | sudo tee -a /etc/hosts
[sudo] password for az:
127.0.0.1 208.91.196.46 # quickdomainfwd.com
az@az-K50IE:~$ echo 127.0.0.1 "quickdomainfwd.com # 208.91.196.46" | sudo tee -a /etc/hosts
127.0.0.1 quickdomainfwd.com # 208.91.196.46
az@az-K50IE:~$ cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 az-K50IE
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
127.0.0.1 208.91.196.46 # quickdomainfwd.com
127.0.0.1 quickdomainfwd.com # 208.91.196.46
az@az-K50IE:~$je reconnais avoir manqué de prudence avec un mot de passe trop simple, mais comment expliquer que ce virus reviens même en changeant le disque dur?
Modération : merci à l'avenir d'utiliser les balises code (explications ici).
Dernière modification par cqfd93 (Le 06/03/2016, à 19:31)
Hors ligne
#5 Le 06/03/2016, à 11:05
- cinaptix
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
je reconnais avoir manqué de prudence avec un mot de passe trop simple, mais comment expliquer que ce virus reviens même en changeant le disque dur?
Parce que ce n'est pas un virus.
↔ Libriste radicalisé depuis mai 2007 ↔
① - Xubuntu 20.04 - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch) — ③ - Tablette Lenovo 10' (Android 10) — ④ - Smartphone Honor 9A (dégooglisé)
Hors ligne
#6 Le 06/03/2016, à 11:09
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Parce que ce n'est pas un virus.
c'est quoi alors? il reste dans l'ordinateur, le bios, ou il reviens par la ligne internet?
Hors ligne
#7 Le 06/03/2016, à 11:24
- Bougron
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Bonjour
C'est un site internet comme google et plein d'autres mais pas dans le même métier www.websecurityguard.com/fr/detail.aspx?domain=quickdomainfwd.com
Hors ligne
#8 Le 06/03/2016, à 14:17
- moko138
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
ATTENTION :
websecurityguard.com N'est PAS sûr !
(détails vers 14h30).
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#9 Le 06/03/2016, à 16:02
- moko138
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
1) Si les requêtes de clarai sont redirigées automatiquement vers le site chinois domicilié dans les Îles Vierges britanniques (*) quickdomainfwd.com, c'est que ce site est douteux.
Un site qui recommande un site douteux est lui-même douteux.
2) L'IP de websecurityguard.com est, selon
lelogiciellibre.net/cgi-bin/test/pg-domainresolver.pl?host=websecurityguard.com,
64.135.83.171
whois 64.135.83.171nous apprend que cette adresse, plus précisément la plage
64.135.0.0 - 64.135.127.255, appartient à
OrgName: BroadbandONE, Inc.
OrgId: BROAD-5
Address: 3500 NW Boca Raton Blvd.
Address: Suite 902
City: Boca Raton
StateProv: Floride (USA)
Renvoi trouvé vers rwhois.host.net:4321.
%rwhois V-1.5:003eff:00 rwhois.host.net (by Network Solutions, Inc. V-1.5.9.5)Or NETWORK SOLUTIONS, LLC possède
bsocom.net,
btcentralplus.com,
networksolutions.com
ads.netsol.com
ads.networksolutions.com
code.superstats.com
stats.superstats.com #[SunBelt.SuperStats]
sites dont les quatre derniers étaient déjà blacklistés en 2009 par
mvps.org/winhelp2002/hosts.zip
Autrement dit,
demander à websecurityguard.com si on peut se fier à quickdomainfwd.com, c'est, selon moi, comme demander aux Rapetou si on peut se fier à Arsène Lupin.
----------------
(*)
lelogiciellibre.net/cgi-bin/test/pg-domainresolver.pl?host=quickdomainfwd.com, donne comme IP
208.91.196.46.
whois 208.91.196.46répond :
NetRange: 208.91.196.0 - 208.91.197.255
CIDR: 208.91.196.0/23
NetName: CONFLUENCE-NETWORK-INC
(...)
OrgName: Confluence Networks Inc
OrgId: CN # CHINE
Address: 3rd Floor, Omar Hodge Building, Wickhams
Address: Cay I, P.O. Box 362
City: Road Town
StateProv: Tortola
PostalCode: VG1110
Country: VG # Îles Vierges britanniquesDernière modification par moko138 (Le 06/03/2016, à 16:07)
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#10 Le 06/03/2016, à 16:21
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
merci moko138 pour les explications
je ne comprend pas comment ils font pour me retrouver aprés que j'ai débranché ma livebox; je change d'IP il me semble
et comment ils font pour passer les protections ubuntu
le probléme n'est pas revenu depuis que j'ai copié les 2 lignes dans le terminal
Hors ligne
#11 Le 06/03/2016, à 16:57
- erresse
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
j'ai une sorte de virus qui redirige mes pages internet vers une page avec des lien a cliquer...
j'ai fais plusieurs tentatives pour m'en débarasser:
-plusieurs formatages
-j'ai acheté un disque dur ssd neuf, toujours le meme probléme, mais je me demande si je ne l'ai pas rechoppé sur un site de progranne tv ou autre que je fréquente réguliérement
-donc j'ai rerereformaté en créant des partitions pour bien effacer les données, + coché l'option cryptée; le virus reviens toujours
Mais pourquoi donc reformater / changer de disque pour essayer de corriger un problème qui est manifestement localisé à Firefox et Internet ?
Pourquoi ne pas simplement nettoyer le profil Firefox ou en créer un nouveau ? Ça doit bien éradiquer ce genre de merde non ?
En plus, mais c'est juste mon avis, chiffrer les partitions risque juste de te causer des problèmes ultérieurement...
Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.
Hors ligne
#12 Le 06/03/2016, à 17:11
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Pourquoi ne pas simplement nettoyer le profil Firefox ou en créer un nouveau ? Ça doit bien éradiquer ce genre de merde non ?
En plus, mais c'est juste mon avis, chiffrer les partitions risque juste de te causer des problèmes ultérieurement...
je ne suis pas inscrit chez firefox, il s'installe en même temps que ubuntu, donc tout neuf quand j'ai formaté.
j'ai coché l'option chiffrer pour voir si cela changait quelque chose, de toute façon quand le probléme sera résolu je vais reformater pour installer windows en double partition pour un logiciel
je n'arrive pas a savoir si le probléme viens de mon ordianteur (bios qui serait infecté, ou livebox..) ou si c'est un pirate qui m'en veut
Hors ligne
#13 Le 06/03/2016, à 17:17
- gl38
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Tu devrais effacer ou renommer ton dossier caché .mozilla (avec un point devant).
En redémarrant firefox en créera un autre et à l'avenir n'installe pas n'importe quelle extension.
Cordialement,
Guy
Hors ligne
#14 Le 06/03/2016, à 17:47
- moko138
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Mais pourquoi donc reformater / changer de disque pour essayer de corriger un problème qui est manifestement localisé à Firefox et Internet ?
Pourquoi ne pas simplement nettoyer le profil Firefox ou en créer un nouveau ? Ça doit bien éradiquer ce genre de merde non ?
+1
En plus, mais c'est juste mon avis, chiffrer les partitions risque juste de te causer des problèmes ultérieurement...
+1
je ne comprend pas comment ils font pour me retrouver (...)
et comment ils font pour passer les protections ubuntu
Mais c'est toi qui leur ouvres la porte...
La plupart des pages web sont truffées de javascripts publicitaires et/ou profileurs.
Et ces micro-programmes s'exécutent, si tu ne fais rien pour les contrôler !
À l'instant, noscript me signale, pour une page de youtube :
que cinq domaines ou sous-domaines sont présents dans la page et que mes réglages n'autorisent que les deux de youtube. (En effet, je ne vois pas pourquoi je laisserais facebook, google et une régie publicitaire visiter mon profil firefox).
Le site web de ton magazine préféré est encore plus indiscret.
Donc si tu ne prends pas de mesure protectrice, c'est comme si, quand tu ouvres la porte à un invité, 5 ou 10 autres personnes rentraient en même temps...
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#15 Le 06/03/2016, à 18:01
- nany
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Bonjour,
je ne suis pas inscrit chez firefox
J’aurais pourtant parié, puisque le problème réapparaît après formatage (donc suppression du profil de Firefox), que tu avais un compte sync.
Si ce n’est vraiment pas le cas, le mystère reste entier.
En ligne
#16 Le 06/03/2016, à 18:29
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
d'accord il faut que j'installe "noscript" + paramétrage en suivant les instructions
après il y a des sites comme par exemple D17 qui obligent a désactiver adblock pour les utiliser.. donc ça me fera une chaîne en moins si je refuse.
Mais cela fait environ 7 ans que je n'utilise plus windows pour aller sur internet et je n'avais jamais eu ce genre de problème
Je l'ai formaté proprement plusieurs fois et je retrouve aussitôt systématiquement le même problème, donc je continue de penser que le virus reste dans le bios ou la livebox... ou qu'un pirate a décidé de m'embêter
j'utilise firefox comme navigateur mais je ne suis pas inscrit chez eux
Hors ligne
#17 Le 06/03/2016, à 20:04
- Compte anonymisé
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Bonjour,
clarai a écrit :je ne suis pas inscrit chez firefox
J’aurais pourtant parié, puisque le problème réapparaît après formatage (donc suppression du profil de Firefox), que tu avais un compte sync.
Si ce n’est vraiment pas le cas, le mystère reste entier.
Firefox qui balance aux sites web que l'on est sur Ubuntu via l'user agent + IP publique qui est resté la même avant et après le formatage, ça suffit largement pour identifier l'internaute si la densité régionale des utilisateurs d'ubuntu se limite à un utilisateur/ville.
Après, on parle d'une porte ouverte à toute les dérives de sécurité, j'en vois une : la livebox. Je me casse actuellement le neuneu depuis plus de 6 mois pour éviter l'identification automatique vers l'espace client, sans passer par la création d'un second compte orange.
#18 Le 06/03/2016, à 20:37
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
j'ai le même problème sur chrome, il redirige vers toutes sortes de sites
je n'ai pas installé noscript pour le moment, il faut que j'éclaircisse ça avant
Hors ligne
#19 Le 06/03/2016, à 20:42
- Compte anonymisé
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Pas besoin de scripts pour rediriger. HTTP suffit à lui même avec DNS. Essaie déjà dans Firefox ceci :
Entrer about:config dans la barre d'adresse, confirmer, chercher javascript.enabled et le mettre à false. Puis, essayer de se faire "rediriger". (Auparavant, remettre le /etc/hosts en l'état si tu veux tester.)
#20 Le 06/03/2016, à 20:51
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
jojo
ok trouvé la ligne javascript.enabled;true
je ne sais pas comment mettre false
rediriger et remettre le /etc/hosts en l'état si tu veux tester. je ne sais pas où
Hors ligne
#21 Le 06/03/2016, à 21:03
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
jojo
si un nouveau formatage + arrêt de la livebox assez long règle le problème, je peut le faire
j'habite en rase campagne, je dois être un des seul a ne pas utiliser windows
Hors ligne
#22 Le 06/03/2016, à 21:08
- Compte anonymisé
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Attention, il s'agit ici de tester si c'est javascript le coupable.
Tu clic droit sur true, et tu inverses la valeur. "Inverser".
Ensuite pour le /etc/hosts, j'ai vu que l'on te la fait modifier, mais l'as-tu sauvegardé avant ?
Le /etc/hosts est un fichier qui te permet de rediriger certaines requêtes. moko138 a eu raison de te faire ces manipulation, mais j'ai bien peur que cela ne suffise pas.
#23 Le 06/03/2016, à 21:15
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
ok javascript.enabled;false
j'ai entré ça dans le terminal ce matin
echo 127.0.0.1 "208.91.196.46 # quickdomainfwd.com" | sudo tee -a /etc/hosts
echo 127.0.0.1 "quickdomainfwd.com # 208.91.196.46" | sudo tee -a /etc/hostsje ne sais pas comment le sauvegarder, mais l'ordinateur n'a pas été éteint depuis
aprés j'ai eu des pages web redirigés sur chrome mais pas sur firefox
Dernière modification par clarai (Le 06/03/2016, à 21:19)
Hors ligne
#24 Le 06/03/2016, à 21:30
- clarai
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
le problème reste parfois des heures sans se manifester donc je ne veut pas me réjouir trop vite; mais un lien qui m'envoyais vers un site porno, m'envois au bon endroit maintenant
Dernière modification par clarai (Le 06/03/2016, à 21:31)
Hors ligne
#25 Le 06/03/2016, à 21:35
- nany
Re : [ pas résolu] virus persistant sous ubuntu 14.04 lts
Firefox qui balance aux sites web que l'on est sur Ubuntu via l'user agent + IP publique qui est resté la même avant et après le formatage, ça suffit largement pour identifier l'internaute si la densité régionale des utilisateurs d'ubuntu se limite à un utilisateur/ville.
Je n’avais pas pensé à ça en effet.
Du coup, ça devient complexe pour se débarrasser de cette merde.
j'ai entré ça dans le terminal ce matin
echo 127.0.0.1 "208.91.196.46 # quickdomainfwd.com" | sudo tee -a /etc/hosts echo 127.0.0.1 "quickdomainfwd.com # 208.91.196.46" | sudo tee -a /etc/hosts
Pour effacer les deux lignes ajoutées :
sudo sed -i '/quickdomainfwd/d' /etc/hostsEt si tu souhaites les remettre, tu devras alors repasser les deux commandes.
En ligne