Scam + interceptions réseau (24x7 Techies) Résolu/Fermé

Question

Bonjour,

J'ai un problème avec l'ordinateur de l'un de mes clients qui semble simple en superficie, mais....

La partie visible de l'iceberg, que je nomme scam, mais je ne suis pas sûr de cette appellation :
- A chaque démarrage, la page http://24x7pctechies.net/ (qui n'est juste qu'un "panneau publicitaire") s'ouvre dans Edge (navigateur par défaut), elle est bien dans le navigateur telle que vous la verriez en visitant l'URL pourtant ce n'est pas la page de démarrage d'Edge. Alors ça je connais, il ne faut naturellement pas appeler ces numéros de soi-disant support et cela n'a pas été fait
- Mais, je prends Teamviewer comme exemple, ce n'est pas le seul, lorsqu'on désire ouvrir Teamviewer (normal ou QS), son lancement est immédiatement interrompu et cette page Edge se ré-affiche
- Par contre, le surf sur internet par Edge, Firefox ou Chrome ne semble pas impacté, ni même la consultation et envoi d'E-Mails par Outlook
- Ah oui, le problème initial était que les accès Samba au NAS étaient coupés (liaison de lecteur au démarrage), je les ai simplement effacés et recréés et plus de problèmes de ce côté-là.

Ce que j'ai déjà fait (merci Malekal ;-)) :
- Malwarebytes
- Emsisoft Anti-malware
- Hitman Pro
- Adwcleaner
- Scan online NOD32
- Scan Kaspersky
- contrôlé qu'il n'y ait rien de bizarre dans "démarrage" du Gestionaire des tâches et dans le dossier "démarrage" du Menu démarrer
- Essayé de voir les Process avec Process Explorer avec l'option VirusTotal, il m'en repère 3 qui ont 1/76, mais en tuant ces process, le problème reste le même (ils ont bien disparu de la liste des Process)
- Désinstallé et réinstallé Edge Chromium
- Désinstallé et réinstallé l'antivirus (Kaspersky Internet Security), le problème est identique avec ou sans ce dernier
- J'ai même pu faire la mise à jour Windows 20H2 (depuis la 2004) sans problèmes mais sans rien résoudre (à un certain moment on essaie de croire à l'impossible ;-))

Rien y fait, je suis de plus en plus persuadé que le problème se trouve dans les process ce qui expliquerai que tous les logiciels de détection ne voient rien. Je vais prendre cet ordinateur chez moi demain soir, mais là je suis à un stade où je ne sais plus quoi faire ou plutôt comment m'y prendre pour poursuivre les investigations ...

D'où mon appel à l'aide

Naturellement l'option formatage et réinstallation  complète fait partie des options possibles, mais je trouve cela démesuré alors qu'il y a peut-être une solution plus simple à laquelle je n'ai pas pensé ou pas su faire correctement.

MisteryBean · Accepted Answer

Bonjour,

- Malwarebytes- Emsisoft Anti-malware- Hitman Pro- Adwcleaner- Scan online NOD32- Scan Kaspersky  

Ha oui !! quand même !! , j'espère qu'ils ne sont pas encore installés sur le PC ?

-------------------

On va regarder si on voit quelque chose :
Bien lire toute la procédure avant de poster les rapports
--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

AgentMulder · Answer

Bonjour

Est-ce que le problème est là en mode sans échec ?

lochinver · Answer

Merci,

Le mode sans échec, non, effectivement , pas essayé (j'y ai pensé en écrivant mon post, mais au final, qu'est-ce que cela m'indiquera d'utile ?). 

Pour les anti-malware, j'ai tout utilisé un à un et désinstallé avant de passer au suivant.

Je ne récupère l'ordi que demain soir, donc je poste volontiers les rapports FRST ici même dès que je les aurai générés.

lochinver · Answer

Alors, il y avait effectivement une adresse E-Mail dans les profils, je l'ai déconnectée et ai rétabli les paramètres par défaut
La page de démarrage d'Edge était celle définie (www.bluewin.ch), et, naturellement la page MSN nouvel onglet après avoir rétabli les paramètres.
Après ces modifications et redémarrage, toujours pareil
Démarrage en mode sans échec avec réseau : pas de fenêtre PCTechies au démarrage et teamviewer OK
Donc il s'agit bien d'une appli au démarrage ou autre chose (service) ?
Désolé AgentMulder c'était une bonne piste ta proposition

MisteryBean · Answer

RE_

OK , en mode normal , dans le gestionnaire des tâches => Démarrage => Désactives tout et redémarres et dis moi

lochinver · Answer

Le problème est toujours présent en désactivant tout, j'avais déjà fait un peu le tri là-dedans, mais là j'ai carrément tout désactivé sans succès

MisteryBean · Answer

RE_

Tu peux relancer un scan FRST et poster les nouveaux rapports ?

Je pourrais comparer ce qui est toujours en cours d'exécution

lochinver · Answer

Voilà (j'ai fait FRST normal, sans décocher dans la liste blanche) :
FRST : https://up.security-x.fr/file.php?h=R5c2a7225bbe8a920d4931b9245a3e0b9
Addition : https://up.security-x.fr/file.php?h=R7bf44c7e5b4305ae4b0e0bac62574060

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end

MisteryBean · Answer

RE_

Merci pour ton acharnement, si jamais j'ai le PC tout le week-end 

C'est une vrai saloperie ce truc :-(

---------
-----------------------

J'ai un doute sur un fichier , on va vérifier :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le   

start::Toolbar: HKU\S-1-5-21-1335967941-1673278040-1567979082-1002 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier virustotal: C:\Program Files (x86)\COM Explorer\Debug\dlllhost.exe end::

lochinver · Answer

Non, c'est pas lui, pareil... https://up.security-x.fr/file.php?h=R816b528fbbec0ce3da80d3eb277601ae

MisteryBean · Answer

RE_

Oui , le fix ne l'a pas supprimé , il l'a juste vérifié sur virutotal et il est clean .

C'est les 3 lll qui m'ont fait douter dlllhost.exe :  https://www.virustotal.com/gui/file/7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f/detection/f-7feaa8e96e720bd05f3f133dec7c516bb9eb51b3aeed64e0c85ca276bd85e61f-1576241423

Ce qui m'étonne , c'est que je ne trouve rien sur ce programme : COM Explorer et en plus , il est caché . Dans le doute , on va le virer .

---------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::closeprocesses:createrestorepoint:HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr [581120 2021-01-12] (Microsoft Windows -> Microsoft Corporation) COM Explorer (HKLM-x32\...\{3FD70AC8-7597-42ED-A6DB-1A77CBD6F679}) (Version: 1.0.1 - DIVEN AND MUCH COMPANY LIMITED) Hidden emptytemp:end::

--> Au redémarrage , si le soucis est toujours présent , désinstalles COM Explorer qui devrait se trouver maintenant dans les programmes . Crée un point de restauration avant

--> Redémarres le PC et dis moi

lochinver · Answer

YES !!! C'était ça, par contre en deux étapes, je m'explique :

Le correctif FRST a fait que la page ne s'affiche plus au démarrage, mais par contre, elle apparaissait et bloquait Teamviewer

La désinstallation de COM Explorer a résolu ce dernier point

Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ?

Je testerai à fond demain, mais là c'est déjà le bonheur, merci vraiment

MisteryBean · Answer

Par contre la date d'installation de ce COM Explorer était en 2019, c'est une feinte pour qu'on ne s'en méfie pas ?  

Oui , c'est possible , ça m'a d'ailleurs mis le doute .

Le fait que ça n'ai pas démarré après le premier correctif vient de ceci :
HKU\S-1-5-21-1335967941-1673278040-1567979082-1002\Control Panel\Desktop\SCRNSAVE.EXE -> C:\WINDOWS\system32\PhotoScreensaver.scr

que j'ai supprimé dans le premier correctif . Le SID me paraissait bizarre bien que photoscreensaver.scr soit légitime .

--------
---------------------------

Si c'est OK , c'est que c'était une association des deux , bien planqué le machin :-(
 
Tiens moi au jus demain , là , je vais me coucher , boulot à 06h00 :-)

lochinver · Answer

Voilà, j'ai réactivé les apps au démarrage, essayé tout ce qu'il y a à essayer, tout roule !

En plus après tous ces nettoyages il démarre au quart de tour.

Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ?

Mais surtout un tout grand merci, là je me voyais déjà en train de tout ré-installer.

MisteryBean · Answer

Une dernière question, je sais pas comment ce machin a été attrapé, est-ce que un Malwarebytes en temps réel en plus de Kaspersky aurait pu empêcher cela ?  

Difficile de savoir , il aurait fallu avoir tout les rapports de nettoyage pour voir ce qui a été détecté pour pouvoir déduire quelque chose , mais en général , ce sont des installations qui se font via des programmes repackés et quand la personne fait "suivant" , elle donne l'autorisation de l'installation .
Si la personne se souvient ce qu'elle a installée juste avant ce problème , ça peut être un début de piste , mais , quelle que soit la protection , on sait tous que le point faible est entre la chaise et le clavier ;-)

Scam + interceptions réseau (24x7 Techies)

15 réponses

Bien lire toute la procédure avant de poster les rapports

Discussions similaires

Newsletters