Scam + interceptions réseau (24x7 Techies) [Résolu]

Signaler
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
-
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
-
Bonjour,

J'ai un problème avec l'ordinateur de l'un de mes clients qui semble simple en superficie, mais....

La partie visible de l'iceberg, que je nomme scam, mais je ne suis pas sûr de cette appellation :
- A chaque démarrage, la page http://24x7pctechies.net/ (qui n'est juste qu'un "panneau publicitaire") s'ouvre dans Edge (navigateur par défaut), elle est bien dans le navigateur telle que vous la verriez en visitant l'URL pourtant ce n'est pas la page de démarrage d'Edge. Alors ça je connais, il ne faut naturellement pas appeler ces numéros de soi-disant support et cela n'a pas été fait
- Mais, je prends Teamviewer comme exemple, ce n'est pas le seul, lorsqu'on désire ouvrir Teamviewer (normal ou QS), son lancement est immédiatement interrompu et cette page Edge se ré-affiche
- Par contre, le surf sur internet par Edge, Firefox ou Chrome ne semble pas impacté, ni même la consultation et envoi d'E-Mails par Outlook
- Ah oui, le problème initial était que les accès Samba au NAS étaient coupés (liaison de lecteur au démarrage), je les ai simplement effacés et recréés et plus de problèmes de ce côté-là.

Ce que j'ai déjà fait (merci Malekal ;-)) :
- Malwarebytes
- Emsisoft Anti-malware
- Hitman Pro
- Adwcleaner
- Scan online NOD32
- Scan Kaspersky
- contrôlé qu'il n'y ait rien de bizarre dans "démarrage" du Gestionaire des tâches et dans le dossier "démarrage" du Menu démarrer
- Essayé de voir les Process avec Process Explorer avec l'option VirusTotal, il m'en repère 3 qui ont 1/76, mais en tuant ces process, le problème reste le même (ils ont bien disparu de la liste des Process)
- Désinstallé et réinstallé Edge Chromium
- Désinstallé et réinstallé l'antivirus (Kaspersky Internet Security), le problème est identique avec ou sans ce dernier
- J'ai même pu faire la mise à jour Windows 20H2 (depuis la 2004) sans problèmes mais sans rien résoudre (à un certain moment on essaie de croire à l'impossible ;-))

Rien y fait, je suis de plus en plus persuadé que le problème se trouve dans les process ce qui expliquerai que tous les logiciels de détection ne voient rien. Je vais prendre cet ordinateur chez moi demain soir, mais là je suis à un stade où je ne sais plus quoi faire ou plutôt comment m'y prendre pour poursuivre les investigations ...

D'où mon appel à l'aide

Naturellement l'option formatage et réinstallation complète fait partie des options possibles, mais je trouve cela démesuré alors qu'il y a peut-être une solution plus simple à laquelle je n'ai pas pensé ou pas su faire correctement.

15 réponses

Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
Bonjour,

- Malwarebytes
- Emsisoft Anti-malware
- Hitman Pro
- Adwcleaner
- Scan online NOD32
- Scan Kaspersky


Ha oui !! quand même !! , j'espère qu'ils ne sont pas encore installés sur le PC ?

-------------------

On va regarder si on voit quelque chose :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
RE_

On voit rien de particulier , à part des restes de F-secure , tu l'avais désinstallé ?
On voit que c'est un Windows 7 qui a migré vers Windows 10 , il y a donc des tâches qui n'ont plus lieu d'être .

Au niveau de Edge , c'est bizarre , on dirait qu'il y a deux profils ? , est ce qu'il est connecté dans Edge ?

- A chaque démarrage, la page http://24x7pctechies.net/ (qui n'est juste qu'un "panneau publicitaire") s'ouvre dans Edge (navigateur par défaut)


A chaque démarrage du PC , ou à chaque démarrage de Edge ?

Si du PC , quand tu fermes tout avant de redémarrer , Edge s'ouvre t'il seul avec cette page ?
Si oui , essaie de changer le navigateur par défaut et vois quel navigateur s'ouvre avec cette page ?


Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
F-Secure a été, normalement désinstallé...
Edge non connecté, mais je l'avais désinstallé et ré-installé
La page apparaît à chaque démarrage du PC dans le navigateur par défaut (j'ai mis Chrome par défaut et idem, mais dans Chrome)
Si je lance le navigateur par défaut normalement c'est la page de démarrage qui est définie dans ce dernier qui s'affiche, normal
Si je lance Teamviewer, par exemple, c'est à nouveau la page 24x7 PC Techies qui s'ouvre dans le navigateur par défaut et le process Teamviewer est tué juste après son apparition...
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
OK , on va essayer de faire un correctif :

--> Copie ce qui se trouve ici : https://textup.fr/535807Zz de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

--> Si pareil , relances un scan FRST en décochant tout dans liste blanche (sauf un mois)
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474 >
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021

RE_

Ce qui est bizarre , c'est que j'ai supprimé certaines choses de Edge dans la correctif , mais c'est revenu :
Edge HomePage: Default -> hxxps://www.msn.com/?PC=UF01
Edge StartupUrls: Default -> "hxxps://www.bluewin.ch/fr/index.html"
Edge Extension: (Adblock Plus - bloqueur de publicités gratuit) - C:\Users\Raymond\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gmgoamodcdcjnbaobigkjelfplakmdhh [2021-03-12]


Quand tu ouvres Edge , quel est la page d'accueil ?

Regardes aussi dans paramètres (les trois points en haut à droite puis paramètres) si dans profil , ll y a une adresse mail

Si oui , déconnectes le puis à gauche Rétablir les paramètres puis Rétablir la valeur par défaut de tous les paramètres

Redémarres le PC et vois ce que ça donne .

------------
-----------------------------

Si pareil , Il faudrait relancer le PC en mode sans echec avec réseau (comme suggéré par AgentMulder) pour voir si c'est un programme ou une tâche qui le lance .
Messages postés
946
Date d'inscription
lundi 22 février 2021
Statut
Membre
Dernière intervention
5 juin 2021
104
Bonjour

Est-ce que le problème est là en mode sans échec ?
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
RE_

OK , en mode normal , dans le gestionnaire des tâches => Démarrage => Désactives tout et redémarres et dis moi
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
RE_

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end 


C'est une vrai saloperie ce truc :-(

---------
-----------------------

J'ai un doute sur un fichier , on va vérifier :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

start::
Toolbar: HKU\S-1-5-21-1335967941-1673278040-1567979082-1002 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier
virustotal: C:\Program Files (x86)\COM Explorer\Debug\dlllhost.exe
end::

Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
RE_

Oui , le fix ne l'a pas supprimé , il l'a juste vérifié sur virutotal et il est clean .

C'est les 3 lll qui m'ont fait douter dlllhost.exe : https://www.virustotal.com/gui/file/7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f/detection/f-7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f-1576241423

Ce qui m'étonne , c'est que je ne trouve rien sur ce programme : COM Explorer et en plus , il est caché . Dans le doute , on va le virer .

---------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

start::
closeprocesses:
createrestorepoint:
HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr [581120 2021-01-12] (Microsoft Windows -> Microsoft Corporation)
COM Explorer (HKLM-x32\...\{3FD70AC8-7597-42ED-A6DB-1A77CBD6F679}) (Version: 1.0.1 - DIVEN AND MUCH COMPANY LIMITED) Hidden
emptytemp:
end::


--> Au redémarrage , si le soucis est toujours présent , désinstalles COM Explorer qui devrait se trouver maintenant dans les programmes . Crée un point de restauration avant

--> Redémarres le PC et dis moi

Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ? 


Oui , c'est possible , ça m'a d'ailleurs mis le doute .

Le fait que ça n'ai pas démarré après le premier correctif vient de ceci :
HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr


que j'ai supprimé dans le premier correctif . Le SID me paraissait bizarre bien que photoscreensaver.scr soit légitime .

--------
---------------------------

Si c'est OK , c'est que c'était une association des deux , bien planqué le machin :-(

Tiens moi au jus demain , là , je vais me coucher , boulot à 06h00 :-)
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ? 


Difficile de savoir , il aurait fallu avoir tout les rapports de nettoyage pour voir ce qui a été détecté pour pouvoir déduire quelque chose , mais en général , ce sont des installations qui se font via des programmes repackés et quand la personne fait "suivant" , elle donne l'autorisation de l'installation .
Si la personne se souvient ce qu'elle a installée juste avant ce problème , ça peut être un début de piste , mais , quelle que soit la protection , on sait tous que le point faible est entre la chaise et le clavier ;-)
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Merci,

Le mode sans échec, non, effectivement , pas essayé (j'y ai pensé en écrivant mon post, mais au final, qu'est-ce que cela m'indiquera d'utile ?).

Pour les anti-malware, j'ai tout utilisé un à un et désinstallé avant de passer au suivant.

Je ne récupère l'ordi que demain soir, donc je poste volontiers les rapports FRST ici même dès que je les aurai générés.
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Alors, il y avait effectivement une adresse E-Mail dans les profils, je l'ai déconnectée et ai rétabli les paramètres par défaut
La page de démarrage d'Edge était celle définie (www.bluewin.ch), et, naturellement la page MSN nouvel onglet après avoir rétabli les paramètres.
Après ces modifications et redémarrage, toujours pareil
Démarrage en mode sans échec avec réseau : pas de fenêtre PCTechies au démarrage et teamviewer OK
Donc il s'agit bien d'une appli au démarrage ou autre chose (service) ?
Désolé AgentMulder c'était une bonne piste ta proposition
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Le problème est toujours présent en désactivant tout, j'avais déjà fait un peu le tri là-dedans, mais là j'ai carrément tout désactivé sans succès
Messages postés
3061
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 juin 2021
474
RE_

Tu peux relancer un scan FRST et poster les nouveaux rapports ?

Je pourrais comparer ce qui est toujours en cours d'exécution
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Voilà (j'ai fait FRST normal, sans décocher dans la liste blanche) :
FRST : https://up.security-x.fr/file.php?h=R5c2a7225bbe8a920d4931b9245a3e0b9
Addition : https://up.security-x.fr/file.php?h=R7bf44c7e5b4305ae4b0e0bac62574060

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
YES !!! C'était ça, par contre en deux étapes, je m'explique :

Le correctif FRST a fait que la page ne s'affiche plus au démarrage, mais par contre, elle apparaissait et bloquait Teamviewer

La désinstallation de COM Explorer a résolu ce dernier point

Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ?

Je testerai à fond demain, mais là c'est déjà le bonheur, merci vraiment
Messages postés
99
Date d'inscription
mercredi 23 avril 2014
Statut
Membre
Dernière intervention
13 mars 2021
1
Voilà, j'ai réactivé les apps au démarrage, essayé tout ce qu'il y a à essayer, tout roule !

En plus après tous ces nettoyages il démarre au quart de tour.

Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ?

Mais surtout un tout grand merci, là je me voyais déjà en train de tout ré-installer.