Bonjour à toutes les libellules,

Il y a quelques jours, l’administrateur du réseau de notre immeuble a reçu un communiqué du fournisseur d’accès à internet (Swisscom, j’habite en Suisse) l’avertissant qu’au cours de la seule semaine dernière, j’avais reçu 4530 courriels (!), et que l’accès à internet de mon ordinateur serait bloqué si je ne prenais pas immédiatement les mesures nécessaires. L’adresse IP indiquée dans le communiqué est bien celle de mon PC.
Or, je ne reçois en général qu’environ dix à trente courriels par jour (incluant les spams), ce qui fait donc un grand maximum de 200 par semaine ! Si j’en ai reçu 4530 la semaine dernière, cela s’est donc passé en toile de fond, de manière cachée, car je ne me suis rendu compte de rien. Mon PC fonctionne normalement et ne présente, en surface, aucun symptôme de contamination. Pourtant, si l’on en croit le FAI, je suis, de toute évidence, victime d’une attaque.
J'ai donc dû déconnecter mon PC, de peur qu'on me le bloque!
Il était question, notamment, d’une suspicion d’infection par le troyen Retefe. J’ai donc cherché sur le net quels étaient les moyens de le déceler et de s’en débarrasser. J’ai trouvé divers shareware (qui détectent, mais n’éliminent que si l’on achète !) présentés par leur éditeur comme excellents (of course !) pour lutter contre ce troyen; je les ai fait tourner sur mon PC au moins pour voir s’ils détectaient quelque chose. Voici ce qu'ils ont trouvé (mais pas supprimé) :
Détections de SpyHunter : Adware.Wajam (1 infection)
Détections de StrongHold:

Refog Keylogger (3 infections) ProblemWare
Surveilstar.Activity.Monitor (1 infection) Spyware/Trojan
GlaryUtilities (3 infections) Adware.

Parmi les outils proposés sur le net, il y avait aussi Norton Power Eraser. Voici les résultats du scan :

Risque : Registre
Type : Paramètres Système
État : Mauvais.
Action : Réparer (ça a été fait)

J’ai fait aussi un scan en ligne avec Eset, un autre avec BitDefender : aucune détection.
Après avoir tâtonné ainsi au hasard sans résultat intéressant, j’ai décidé que ça suffisait, et j’ai lancé la procédure de décontamination trouvée sur le site Assiste.com. En voici les résultats :
1) Vérification de la liste de démarrage.
Apparemment, je ne vois rien de suspect. Une dizaine de processus, que je connais et qui sont utiles. J’ai lancé aussi HighJackThis, par curiosité, juste pour voir si quelque chose me sautait aux yeux dans le log. Ça n’a pas été le cas, mais, bien sûr, un œil plus expert serait nécessaire. Ce log est disponible sur: http://www.xxxx
2) Nettoyage avec CCleaner (en mode sans échec) : Fait.
3) Recherche de malveillances avec Malwarebytes Antimalware (en mode normal): aucune détection.
4) Recherche de malveillances avec AdwCleaner (en mode sans échec):
Une seule détection, dans l’onglet Registry :

Type : data
Key : HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings
Value: ProxyOverride
Data : <local>

5) Recherche de malveillances avec Junkware Removal Tool:
Je ne vois rien de bien méchant dans le log: élimination de quelques dossiers de FreeFileViewer, d'un PUP de VideodownloadHelper dans Firefox, et de quelques processus de rétablissement de Google Chrome comme fournisseur de services de recherches par défaut. Voici quand même le log, au cas où...: http://www.cjoint.com/c/EHdriWTl2n0
6) Recherche de malveillances avec ZHP Cleaner (mode normal) :
1 détection : PUP.Optional.Paretologic C:\Windows\Prefetch\Paretologic PC Health Advisor- AD8E0DC4.pf
Pas bien grave non plus, si?
7) Recherche de malveillances avec RogueKiller (mode normal) : aucune détection.
8) Nettoyage des raccourcis avec ShortcutCleaner : aucune détection.
9) Réinitialisation des navigateurs : ça, je ne l’ai pas fait ; avant de m’y résoudre, je voulais attendre les résultats des logiciels de nettoyage ainsi que vos conseils.
10) Analyse antivirus avec Hitman Pro: aucune détection.
11) Analyse antivirus avec Avira EU-Cleaner: 2 détections

Babylon7_setup.exe PUA/SearchBar.TW
ZHPDiag2.exe TR/Rogue.8214016

(Mais ZHPDiag2 étant un élément de ZHP Cleaner, j’ai bien peur qu’il ne s’agisse que d’une fausse alerte).

Juste une petite remarque, en passant: vous pouvez noter qu'aucun des outils ci-dessus n'a retrouvé les détections de SpyHunt et de StrongHold; alors est-ce que ces deux nettoyeurs sont particulièrement efficaces, ou bien est-ce que leurs "détections" ont juste pour but de faire acheter les logiciels?
D’après vous, y a-t-il dans tout cela, malgré tout, quelque chose qui permette de résoudre mon problème ? Une piste à suivre ?
D’avance, merci pour toute l’aide que vous pourrez m’apporter,
Maribou

Mon PC, mes protections, etc:
Système d'exploitation: Windows 7 Home Premium SP1
Antivirus :

Avast antivirus gratuit 2015
Eset online et BitDefender online

Pare feu : Comodo firewall version 8.2.0.4591
Anti malware :

Malwarebytes Antimalware version gratuite 2.1.8.1057
SpyBot Search & Destroy version 2.4.40.0

Autres protections :

Secunia Personal Software Inspector version 3.0.0.9016
AdBlock+

Nettoyeurs :

CCleaner Free 5.05.5261
Ashampoo 8.13
Auslogics 5.0.6.245
Comodo system-cleaner 3.0
RevoUninstaller 1.95

Navigateur : Firefox 39.0
Nettoyeur de spams : Poptray 3.20
Client de messagerie : Thunderbird 38.1.0

salut et bienvenue
afin d'établir ,préalablement,un diagnostic de ton PC,merci de suivre scrupuleusement cette procédure :
procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
puis de poster impérativement le rapport du scan demandé en lien
Un helper te prendra ensuite en charge ...
NB: tous les rapports demandés,sans exception, doivent être hébergés sur cjoint.com et figurer dans la même réponse...

Bonsoir!
Bon, apparemment, j’ai pas bien fait mes devoirs. Je m’étais appliqué, pourtant ! Ben oui, je suis un petit nouveau, alors il faut pas me taper. La prochaine fois, je ferai mieux.
Je suis désolé de n’avoir pas de symptôme d’infection clair et précis ; en fait, si la plainte ne venait pas de Swisscom, je dirais que ce PC n’est pas infecté, car pour moi, tout va bien. Mais, bon…
Désolé aussi d’avoir utilisé un outil de la dernière guerre (HijackThis). Voici, donc, mon rapport ZHPDiag.
http://www.cjoint.com/c/EHes3ewpyS0
J’espère que cette fois, j’ai tout bien fait.
À bientôt et merci,
Maribou

Bonsoir Maribou, ce PC est comme tu le soulignes, propre.
Le spam provient de sites ou tu as mis ton adresse mail et elle a été "vendue" a des sites de spammeur.
Ce qui est curieux c'est que tu ne les ais pas eu
Spyhunter est un crapware, c'est a dire un logiciel crapuleux . Il a tendance a invité pleins de petits copains pour faire la fête sur la machine hote
Ce n'est heureusement pas le cas ici. A éviter
Spyboot est obsolète et peut egalement etre supprimé

SFTGC

• Télécharger SFTGC.exe
• Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.
• Enregistrer le fichier sur le bureau.
  
  • Sous XP, double cliquer sur le fichier.
  • Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.
  
  
• Pour lancer le nettoyage, il suffit de cliquer sur Go.
• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFTGC.txt)

Ce rapport étant trop long pour le forum, héberge le :

• Sur Cjoint.fr et copie-colle le lien fourni dans ta réponse

Bonjour Zaede,
Merci pour ta réponse. J’ai donc essayé de télécharger SFTGC.exe, mais voilà qu’antivirus désactivé ou pas, il ne se télécharge pas ! Que je clique sur le lien de téléchargement que tu donnes ou que j’essaie de télécharger ce logiciel depuis un autre site, le résultat est le même : j’obtiens bien la petite fenêtre grise me demandant si je veux sauvegarder le fichier, mais lorsque je clique sur le bouton « Save file », la fenêtre disparaît normalement mais rien n’apparaît dans le dossier « Downloads ». J’ai recommencé plusieurs fois sans plus de résultat (même une fois en désactivant le pare feu).
J’ai lancé une recherche dans tout le PC pour voir si le fichier sftgc.exe ne se serait pas téléchargé ailleurs : il n’a pas été trouvé. J’ai alors essayé de télécharger autre chose (USBFix.exe) et ce logiciel s’est téléchargé normalement dans le dossier « Download ».
Alors, que se passe-t-il avec SFTGC.exe? C’est bizarre !
Bonne soirée,
Maribou

Bonsoir Zaede, c’est encore moi,
J’ai trouvé ce qui empêche SFTGC.exe de se télécharger. En effet, lorsque, dans Firefox, je clique sur la flèche noire qui montre les téléchargements, j’obtiens la boîte de dialogue ci-dessous :


Lorsque je fais un clic droit sur le bouton rouge avec la croix blanche, j’obtiens le menu ci-dessous :


Et lorsque je sélectionne quand même la commande « Unblock », j’obtiens (même avec Avast désactivé) l’avertissement suivant :


C’est normal ? Je débloque quand même ?
Merci de me le confirmer,
Maribou

Re, debloque quand même, ce logiciel est sur. C'est juste avast qui nous fait une crise de paranoïa

Alors voilà le rapport!
http://www.cjoint.com/c/EHim2F8WWV0
À bientôt et merci encore,
Maribou

Re, c'est parfait, le PC fonctionne bien ?

Et bien oui, tout continue à aller bien!

Je ne comprends pas cette alerte de Swisscom. Je vais dire à l'administrateur du réseau qu'un expert en décontamination a examiné mon PC, que rien n'a été trouvé, et que le problème (si vraiment problème il y a) doit certainement être cherché du côté de Swisscom).

Je vais donc marquer "Résolu" dans le titre du post, même s'il n'y avait rien à résoudre (et tant mieux)!

Je te remercie beaucoup pour ton aide,

Bonne continuation,

Maribou

Pas de problèmes Maribou, en cas de soucis, n'hésite pas à poster à nouveau
A bientôt sur libellules.ch