[Résolu]Infection: 4530 courriels/semaine

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu]Infection: 4530 courriels/semaine

Messagepar Maribou » 03 Aoû 2015 18:23

Bonjour à toutes les libellules,

Il y a quelques jours, l’administrateur du réseau de notre immeuble a reçu un communiqué du fournisseur d’accès à internet (Swisscom, j’habite en Suisse) l’avertissant qu’au cours de la seule semaine dernière, j’avais reçu 4530 courriels (!), et que l’accès à internet de mon ordinateur serait bloqué si je ne prenais pas immédiatement les mesures nécessaires. L’adresse IP indiquée dans le communiqué est bien celle de mon PC.
Or, je ne reçois en général qu’environ dix à trente courriels par jour (incluant les spams), ce qui fait donc un grand maximum de 200 par semaine ! Si j’en ai reçu 4530 la semaine dernière, cela s’est donc passé en toile de fond, de manière cachée, car je ne me suis rendu compte de rien. Mon PC fonctionne normalement et ne présente, en surface, aucun symptôme de contamination. Pourtant, si l’on en croit le FAI, je suis, de toute évidence, victime d’une attaque.
J'ai donc dû déconnecter mon PC, de peur qu'on me le bloque!
Il était question, notamment, d’une suspicion d’infection par le troyen Retefe. J’ai donc cherché sur le net quels étaient les moyens de le déceler et de s’en débarrasser. J’ai trouvé divers shareware (qui détectent, mais n’éliminent que si l’on achète !) présentés par leur éditeur comme excellents (of course !) pour lutter contre ce troyen; je les ai fait tourner sur mon PC au moins pour voir s’ils détectaient quelque chose. Voici ce qu'ils ont trouvé (mais pas supprimé) :
Détections de SpyHunter : Adware.Wajam (1 infection)
Détections de StrongHold:
    Refog Keylogger (3 infections) ProblemWare
    Surveilstar.Activity.Monitor (1 infection) Spyware/Trojan
    GlaryUtilities (3 infections) Adware.
Parmi les outils proposés sur le net, il y avait aussi Norton Power Eraser. Voici les résultats du scan :
    Risque : Registre
    Type : Paramètres Système
    État : Mauvais.
    Action : Réparer
    (ça a été fait)
J’ai fait aussi un scan en ligne avec Eset, un autre avec BitDefender : aucune détection.
Après avoir tâtonné ainsi au hasard sans résultat intéressant, j’ai décidé que ça suffisait, et j’ai lancé la procédure de décontamination trouvée sur le site Assiste.com. En voici les résultats :
1) Vérification de la liste de démarrage.
Apparemment, je ne vois rien de suspect. Une dizaine de processus, que je connais et qui sont utiles. J’ai lancé aussi HighJackThis, par curiosité, juste pour voir si quelque chose me sautait aux yeux dans le log. Ça n’a pas été le cas, mais, bien sûr, un œil plus expert serait nécessaire. Ce log est disponible sur: http://www.xxxx
2) Nettoyage avec CCleaner (en mode sans échec) : Fait.
3) Recherche de malveillances avec Malwarebytes Antimalware (en mode normal): aucune détection.
4) Recherche de malveillances avec AdwCleaner (en mode sans échec):
Une seule détection, dans l’onglet Registry :
    Type : data
    Key : HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings
    Value: ProxyOverride
    Data : <local>
5) Recherche de malveillances avec Junkware Removal Tool:
Je ne vois rien de bien méchant dans le log: élimination de quelques dossiers de FreeFileViewer, d'un PUP de VideodownloadHelper dans Firefox, et de quelques processus de rétablissement de Google Chrome comme fournisseur de services de recherches par défaut. Voici quand même le log, au cas où...: http://www.cjoint.com/c/EHdriWTl2n0
6) Recherche de malveillances avec ZHP Cleaner (mode normal) :
1 détection : PUP.Optional.Paretologic C:\Windows\Prefetch\Paretologic PC Health Advisor- AD8E0DC4.pf
Pas bien grave non plus, si?
7) Recherche de malveillances avec RogueKiller (mode normal) : aucune détection.
8) Nettoyage des raccourcis avec ShortcutCleaner : aucune détection.
9) Réinitialisation des navigateurs : ça, je ne l’ai pas fait ; avant de m’y résoudre, je voulais attendre les résultats des logiciels de nettoyage ainsi que vos conseils.
10) Analyse antivirus avec Hitman Pro: aucune détection.
11) Analyse antivirus avec Avira EU-Cleaner: 2 détections
    Babylon7_setup.exe PUA/SearchBar.TW
    ZHPDiag2.exe TR/Rogue.8214016
(Mais ZHPDiag2 étant un élément de ZHP Cleaner, j’ai bien peur qu’il ne s’agisse que d’une fausse alerte).

Juste une petite remarque, en passant: vous pouvez noter qu'aucun des outils ci-dessus n'a retrouvé les détections de SpyHunt et de StrongHold; alors est-ce que ces deux nettoyeurs sont particulièrement efficaces, ou bien est-ce que leurs "détections" ont juste pour but de faire acheter les logiciels? :wink:
D’après vous, y a-t-il dans tout cela, malgré tout, quelque chose qui permette de résoudre mon problème ? Une piste à suivre ?
D’avance, merci pour toute l’aide que vous pourrez m’apporter,
Maribou

Mon PC, mes protections, etc:
Système d'exploitation: Windows 7 Home Premium SP1
Antivirus :
    Avast antivirus gratuit 2015
    Eset online et BitDefender online
Pare feu : Comodo firewall version 8.2.0.4591
Anti malware :
    Malwarebytes Antimalware version gratuite 2.1.8.1057
    SpyBot Search & Destroy version 2.4.40.0
Autres protections :
    Secunia Personal Software Inspector version 3.0.0.9016
    AdBlock+
Nettoyeurs :
    CCleaner Free 5.05.5261
    Ashampoo 8.13
    Auslogics 5.0.6.245
    Comodo system-cleaner 3.0
    RevoUninstaller 1.95
Navigateur : Firefox 39.0
Nettoyeur de spams : Poptray 3.20
Client de messagerie : Thunderbird 38.1.0
Dernière édition par Maribou le 10 Aoû 2015 22:39, édité 3 fois.
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine!

Messagepar Hapax » 03 Aoû 2015 19:14

salut et bienvenue
afin d'établir ,préalablement,un diagnostic de ton PC,merci de suivre scrupuleusement cette procédure :
procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
puis de poster impérativement le rapport du scan demandé en lien Image
Un helper te prendra ensuite en charge ...
NB: tous les rapports demandés,sans exception, doivent être hébergés sur cjoint.com et figurer dans la même réponse...
Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris aux problèmes ni à la technologie. ( Bruce Schneier )
Avatar de l’utilisateur
Hapax
Modérateur
Modérateur
 
Messages: 11563
Inscription: 16 Juil 2008 09:45

Re: Infection: 4530 courriels par semaine!

Messagepar Maribou » 04 Aoû 2015 20:01

Bonsoir!
Bon, apparemment, j’ai pas bien fait mes devoirs. Je m’étais appliqué, pourtant ! :cry: Ben oui, je suis un petit nouveau, alors il faut pas me taper. La prochaine fois, je ferai mieux.
Je suis désolé de n’avoir pas de symptôme d’infection clair et précis ; en fait, si la plainte ne venait pas de Swisscom, je dirais que ce PC n’est pas infecté, car pour moi, tout va bien. Mais, bon…
Désolé aussi d’avoir utilisé un outil de la dernière guerre (HijackThis). Voici, donc, mon rapport ZHPDiag.
http://www.cjoint.com/c/EHes3ewpyS0
J’espère que cette fois, j’ai tout bien fait.
À bientôt et merci,
Maribou
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine!

Messagepar zaede » 04 Aoû 2015 22:21

Bonsoir Maribou, ce PC est comme tu le soulignes, propre.
Le spam provient de sites ou tu as mis ton adresse mail et elle a été "vendue" a des sites de spammeur.
Ce qui est curieux c'est que tu ne les ais pas eu
Spyhunter est un crapware, c'est a dire un logiciel crapuleux . Il a tendance a invité pleins de petits copains pour faire la fête sur la machine hote
Ce n'est heureusement pas le cas ici. A éviter
Spyboot est obsolète et peut egalement etre supprimé

SFTGC


  • Télécharger SFTGC.exe
  • Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.
  • Enregistrer le fichier sur le bureau.
    • Sous XP, double cliquer sur le fichier.
    • Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.

    Image
  • Pour lancer le nettoyage, il suffit de cliquer sur Go.
  • A la fin du nettoyage, un rapport va s'ouvrir.
  • Ce rapport est enregistré sur le bureau (SFTGC.txt)

Ce rapport étant trop long pour le forum, héberge le :
  • Sur Cjoint.fr et copie-colle le lien fourni dans ta réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infection: 4530 courriels par semaine!

Messagepar Maribou » 06 Aoû 2015 14:12

Bonjour Zaede,
Merci pour ta réponse. J’ai donc essayé de télécharger SFTGC.exe, mais voilà qu’antivirus désactivé ou pas, il ne se télécharge pas ! Que je clique sur le lien de téléchargement que tu donnes ou que j’essaie de télécharger ce logiciel depuis un autre site, le résultat est le même : j’obtiens bien la petite fenêtre grise me demandant si je veux sauvegarder le fichier, mais lorsque je clique sur le bouton « Save file », la fenêtre disparaît normalement mais rien n’apparaît dans le dossier « Downloads ». J’ai recommencé plusieurs fois sans plus de résultat (même une fois en désactivant le pare feu).
J’ai lancé une recherche dans tout le PC pour voir si le fichier sftgc.exe ne se serait pas téléchargé ailleurs : il n’a pas été trouvé. J’ai alors essayé de télécharger autre chose (USBFix.exe) et ce logiciel s’est téléchargé normalement dans le dossier « Download ».
Alors, que se passe-t-il avec SFTGC.exe? C’est bizarre !
Bonne soirée,
Maribou
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine!

Messagepar Maribou » 06 Aoû 2015 20:24

Bonsoir Zaede, c’est encore moi,
J’ai trouvé ce qui empêche SFTGC.exe de se télécharger. En effet, lorsque, dans Firefox, je clique sur la flèche noire qui montre les téléchargements, j’obtiens la boîte de dialogue ci-dessous :
Image

Lorsque je fais un clic droit sur le bouton rouge avec la croix blanche, j’obtiens le menu ci-dessous :
Image

Et lorsque je sélectionne quand même la commande « Unblock », j’obtiens (même avec Avast désactivé) l’avertissement suivant :
Image

C’est normal ? Je débloque quand même ?
Merci de me le confirmer,
Maribou
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine!

Messagepar zaede » 07 Aoû 2015 20:38

Re, debloque quand même, ce logiciel est sur. C'est juste avast qui nous fait une crise de paranoïa
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infection: 4530 courriels par semaine!

Messagepar Maribou » 08 Aoû 2015 13:57

Alors voilà le rapport!
http://www.cjoint.com/c/EHim2F8WWV0
À bientôt et merci encore,
Maribou
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine!

Messagepar zaede » 09 Aoû 2015 17:36

Re, c'est parfait, le PC fonctionne bien ?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infection: 4530 courriels par semaine!

Messagepar Maribou » 10 Aoû 2015 22:39

Et bien oui, tout continue à aller bien!

Je ne comprends pas cette alerte de Swisscom. Je vais dire à l'administrateur du réseau qu'un expert en décontamination a examiné mon PC, que rien n'a été trouvé, et que le problème (si vraiment problème il y a) doit certainement être cherché du côté de Swisscom).

Je vais donc marquer "Résolu" dans le titre du post, même s'il n'y avait rien à résoudre (et tant mieux)!

Je te remercie beaucoup pour ton aide,

Bonne continuation,

Maribou
Maribou
 
Messages: 8
Inscription: 03 Aoû 2015 14:40
Localisation: Suisse, Lac des quatre cantons

Re: Infection: 4530 courriels par semaine! (Résolu)

Messagepar zaede » 10 Aoû 2015 22:42

Pas de problèmes Maribou, en cas de soucis, n'hésite pas à poster à nouveau
A bientôt sur libellules.ch

:hello:
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités