Sujet Précédent Sujet Suivant

Scam + interceptions réseau (24x7 Techies)

Résolu/Fermé
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 - Modifié le 11 mars 2021 à 19:44
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 - 13 mars 2021 à 20:00
Bonjour,

J'ai un problème avec l'ordinateur de l'un de mes clients qui semble simple en superficie, mais....

La partie visible de l'iceberg, que je nomme scam, mais je ne suis pas sûr de cette appellation :
- A chaque démarrage, la page http://24x7pctechies.net/ (qui n'est juste qu'un "panneau publicitaire") s'ouvre dans Edge (navigateur par défaut), elle est bien dans le navigateur telle que vous la verriez en visitant l'URL pourtant ce n'est pas la page de démarrage d'Edge. Alors ça je connais, il ne faut naturellement pas appeler ces numéros de soi-disant support et cela n'a pas été fait
- Mais, je prends Teamviewer comme exemple, ce n'est pas le seul, lorsqu'on désire ouvrir Teamviewer (normal ou QS), son lancement est immédiatement interrompu et cette page Edge se ré-affiche
- Par contre, le surf sur internet par Edge, Firefox ou Chrome ne semble pas impacté, ni même la consultation et envoi d'E-Mails par Outlook
- Ah oui, le problème initial était que les accès Samba au NAS étaient coupés (liaison de lecteur au démarrage), je les ai simplement effacés et recréés et plus de problèmes de ce côté-là.

Ce que j'ai déjà fait (merci Malekal ;-)) :
- Malwarebytes
- Emsisoft Anti-malware
- Hitman Pro
- Adwcleaner
- Scan online NOD32
- Scan Kaspersky
- contrôlé qu'il n'y ait rien de bizarre dans "démarrage" du Gestionaire des tâches et dans le dossier "démarrage" du Menu démarrer
- Essayé de voir les Process avec Process Explorer avec l'option VirusTotal, il m'en repère 3 qui ont 1/76, mais en tuant ces process, le problème reste le même (ils ont bien disparu de la liste des Process)
- Désinstallé et réinstallé Edge Chromium
- Désinstallé et réinstallé l'antivirus (Kaspersky Internet Security), le problème est identique avec ou sans ce dernier
- J'ai même pu faire la mise à jour Windows 20H2 (depuis la 2004) sans problèmes mais sans rien résoudre (à un certain moment on essaie de croire à l'impossible ;-))

Rien y fait, je suis de plus en plus persuadé que le problème se trouve dans les process ce qui expliquerai que tous les logiciels de détection ne voient rien. Je vais prendre cet ordinateur chez moi demain soir, mais là je suis à un stade où je ne sais plus quoi faire ou plutôt comment m'y prendre pour poursuivre les investigations ...

D'où mon appel à l'aide

Naturellement l'option formatage et réinstallation complète fait partie des options possibles, mais je trouve cela démesuré alors qu'il y a peut-être une solution plus simple à laquelle je n'ai pas pensé ou pas su faire correctement.

15 réponses

Réponse 1 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
11 mars 2021 à 20:05
Bonjour, 

- Malwarebytes
- Emsisoft Anti-malware
- Hitman Pro
- Adwcleaner
- Scan online NOD32
- Scan Kaspersky


Ha oui !! quand même !! , j'espère qu'ils ne sont pas encore installés sur le PC ?

-------------------

On va regarder si on voit quelque chose :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
2
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 18:35
Voilà, j'ai le PC et ai fait le scan FRST

FRST.txt : https://up.security-x.fr/file.php?h=Rbc2b7a0be849d531383ee356eef0b743
Addition.txt : https://up.security-x.fr/file.php?h=R353e23526b49cc48938db1161062f44b

Je prie pour que la solution soit là-dedans... Merci par avance
0
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 19:37
RE_

On voit rien de particulier , à part des restes de F-secure , tu l'avais désinstallé ?
On voit que c'est un Windows 7 qui a migré vers Windows 10 , il y a donc des tâches qui n'ont plus lieu d'être .

Au niveau de Edge , c'est bizarre , on dirait qu'il y a deux profils ? , est ce qu'il est connecté dans Edge ? 

- A chaque démarrage, la page http://24x7pctechies.net/ (qui n'est juste qu'un "panneau publicitaire") s'ouvre dans Edge (navigateur par défaut)


A chaque démarrage du PC , ou à chaque démarrage de Edge ?

Si du PC , quand tu fermes tout avant de redémarrer , Edge s'ouvre t'il seul avec cette page ?
Si oui , essaie de changer le navigateur par défaut et vois quel navigateur s'ouvre avec cette page ?


1
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 19:46
F-Secure a été, normalement désinstallé...
Edge non connecté, mais je l'avais désinstallé et ré-installé
La page apparaît à chaque démarrage du PC dans le navigateur par défaut (j'ai mis Chrome par défaut et idem, mais dans Chrome)
Si je lance le navigateur par défaut normalement c'est la page de démarrage qui est définie dans ce dernier qui s'affiche, normal
Si je lance Teamviewer, par exemple, c'est à nouveau la page 24x7 PC Techies qui s'ouvre dans le navigateur par défaut et le process Teamviewer est tué juste après son apparition...
0
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 20:02
OK , on va essayer de faire un correctif :

--> Copie ce qui se trouve ici : https://textup.fr/535807Zz de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

--> Si pareil , relances un scan FRST en décochant tout dans liste blanche (sauf un mois)
1
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 20:32
Malheureusement, non, toujours pareil.

Log : https://up.security-x.fr/file.php?h=R00ac83e2a66b0df28a49748bdabd87df
FRST : https://up.security-x.fr/file.php?h=Rb5a989fa20d8bafe7e5b86a206f82a47
Addition : https://up.security-x.fr/file.php?h=Ra3933226d4662bc945a162df6d96aae9

Exécuté selon tes instructions.

Merci
0
Réponse 2 / 15
AgentMulder Messages postés 1075 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 1 novembre 2021 162
11 mars 2021 à 19:56
Bonjour

Est-ce que le problème est là en mode sans échec ?
1
Réponse 3 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 22:11
RE_

OK , en mode normal , dans le gestionnaire des tâches => Démarrage => Désactives tout et redémarres et dis moi
1
Réponse 4 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
Modifié le 12 mars 2021 à 22:55
RE_ 

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end


C'est une vrai saloperie ce truc :-(

---------
-----------------------

J'ai un doute sur un fichier , on va vérifier :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::
Toolbar: HKU\S-1-5-21-1335967941-1673278040-1567979082-1002 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier 
virustotal: C:\Program Files (x86)\COM Explorer\Debug\dlllhost.exe 
end::
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 23:17
RE_

Oui , le fix ne l'a pas supprimé , il l'a juste vérifié sur virutotal et il est clean .

C'est les 3 lll qui m'ont fait douter dlllhost.exe : https://www.virustotal.com/gui/file/7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f/detection/f-7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f-1576241423

Ce qui m'étonne , c'est que je ne trouve rien sur ce programme : COM Explorer et en plus , il est caché . Dans le doute , on va le virer .

---------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::
closeprocesses:
createrestorepoint:
HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr [581120 2021-01-12] (Microsoft Windows -> Microsoft Corporation) 
COM Explorer (HKLM-x32\...\{3FD70AC8-7597-42ED-A6DB-1A77CBD6F679}) (Version: 1.0.1 - DIVEN AND MUCH COMPANY LIMITED) Hidden 
emptytemp:
end::


--> Au redémarrage , si le soucis est toujours présent , désinstalles COM Explorer qui devrait se trouver maintenant dans les programmes . Crée un point de restauration avant

--> Redémarres le PC et dis moi

1
Réponse 6 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 23:47 
Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ?


Oui , c'est possible , ça m'a d'ailleurs mis le doute .

Le fait que ça n'ai pas démarré après le premier correctif vient de ceci : 
HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr


que j'ai supprimé dans le premier correctif . Le SID me paraissait bizarre bien que photoscreensaver.scr soit légitime .

--------
---------------------------

Si c'est OK , c'est que c'était une association des deux , bien planqué le machin :-(

Tiens moi au jus demain , là , je vais me coucher , boulot à 06h00 :-)
1
Réponse 7 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
13 mars 2021 à 20:00 
Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ?


Difficile de savoir , il aurait fallu avoir tout les rapports de nettoyage pour voir ce qui a été détecté pour pouvoir déduire quelque chose , mais en général , ce sont des installations qui se font via des programmes repackés et quand la personne fait "suivant" , elle donne l'autorisation de l'installation .
Si la personne se souvient ce qu'elle a installée juste avant ce problème , ça peut être un début de piste , mais , quelle que soit la protection , on sait tous que le point faible est entre la chaise et le clavier ;-)
1
Réponse 8 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
11 mars 2021 à 21:45
Merci,

Le mode sans échec, non, effectivement , pas essayé (j'y ai pensé en écrivant mon post, mais au final, qu'est-ce que cela m'indiquera d'utile ?).

Pour les anti-malware, j'ai tout utilisé un à un et désinstallé avant de passer au suivant.

Je ne récupère l'ordi que demain soir, donc je poste volontiers les rapports FRST ici même dès que je les aurai générés.
0
Réponse 9 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 22:04
Alors, il y avait effectivement une adresse E-Mail dans les profils, je l'ai déconnectée et ai rétabli les paramètres par défaut
La page de démarrage d'Edge était celle définie (www.bluewin.ch), et, naturellement la page MSN nouvel onglet après avoir rétabli les paramètres.
Après ces modifications et redémarrage, toujours pareil
Démarrage en mode sans échec avec réseau : pas de fenêtre PCTechies au démarrage et teamviewer OK
Donc il s'agit bien d'une appli au démarrage ou autre chose (service) ?
Désolé AgentMulder c'était une bonne piste ta proposition
0
Réponse 10 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 22:23
Le problème est toujours présent en désactivant tout, j'avais déjà fait un peu le tri là-dedans, mais là j'ai carrément tout désactivé sans succès
0
Réponse 11 / 15
MisteryBean Messages postés 8804 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 4 janvier 2025 1 240
12 mars 2021 à 22:33
RE_

Tu peux relancer un scan FRST et poster les nouveaux rapports ?

Je pourrais comparer ce qui est toujours en cours d'exécution
0
Réponse 12 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 22:41
Voilà (j'ai fait FRST normal, sans décocher dans la liste blanche) :
FRST : https://up.security-x.fr/file.php?h=R5c2a7225bbe8a920d4931b9245a3e0b9
Addition : https://up.security-x.fr/file.php?h=R7bf44c7e5b4305ae4b0e0bac62574060

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end
0
Réponse 13 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 23:02
Non, c'est pas lui, pareil... https://up.security-x.fr/file.php?h=R816b528fbbec0ce3da80d3eb277601ae
0
Réponse 14 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
12 mars 2021 à 23:41
YES !!! C'était ça, par contre en deux étapes, je m'explique :

Le correctif FRST a fait que la page ne s'affiche plus au démarrage, mais par contre, elle apparaissait et bloquait Teamviewer

La désinstallation de COM Explorer a résolu ce dernier point

Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ?

Je testerai à fond demain, mais là c'est déjà le bonheur, merci vraiment
0
Réponse 15 / 15
lochinver Messages postés 101 Date d'inscription mercredi 23 avril 2014 Statut Membre Dernière intervention 4 décembre 2024 1
13 mars 2021 à 17:15
Voilà, j'ai réactivé les apps au démarrage, essayé tout ce qu'il y a à essayer, tout roule !

En plus après tous ces nettoyages il démarre au quart de tour.

Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ?

Mais surtout un tout grand merci, là je me voyais déjà en train de tout ré-installer.
0

Discussions similaires

Branchez le câble réseau du player freebox
Marie -
Frezdesboas -

3 réponses
Livebox 4 Réseau Orange non détecté
Azfun -
brupala -

10 réponses
Livebox s'allume mais marque pas de réseau orange
Bebelle -
kaumune -

9 réponses
un scam ?
sentinelle vador -
sentinelle vador -

2 réponses
connexion par autre robot
ellereve54 -
pistouri -

4 réponses