Virus sur tous mes PC, même sur une nouvelle installation

Virus sur tous mes PC, même sur une nouvelle installation - Virus/Spywares - Windows & Software

Marsh Posté le 27-09-2016 à 10:29:16    

Bonjour à tous,
 
Ce matin, je me suis rendu compte que tous mes PC étaient piratés...  
Mon navigateur s'ouvre avec soit une publicité, soit avec un message d'alerte de sécurité :

Spoiler :

http://img4.hostingpics.net/pics/40906320160927101016.jpg


 
Un de mes PC vient d'avoir une toute nouvelle installation et n'a pas communiqué avec le premier PC (ce sont des PC pro)
Le 3e PC n'avait pas été allumé depuis un certain temps (il s'agit d'un PC de secours).
 
Avast ne trouve rien même avec un scan complet au démarrage.  
Que faire ?
Utile de dénoncer à la gendarmerie ? (des infos complémentaires à aller chercher) ?
 
Merci d'avance  :hello:

Reply

Marsh Posté le 27-09-2016 à 10:29:16   

Reply

Marsh Posté le 27-09-2016 à 10:55:27    


iso officiel?
tu as installé quoi comme programmes? tu télécharges tes programmes sur quels sites?


Message édité par leroimerlinbis le 27-09-2016 à 10:55:49
Reply

Marsh Posté le 27-09-2016 à 11:02:46    

Oui, uniquement des OS obtenues de manière officielle

 

Premier PC : licence win7 ultimate boite (physique), migration vers windows 10 il y a peu.
Second PC : windows 7 pro OEM (lenovo)
Troisième PC : windows 7 home premium OEM (dell) migration vers windows 10 il y a quelques mois.

 

En programme que tous ont il y a l'imprimante, spotify, Open Offfice, VLC, FireFox, Google earth, avast, pdf xchange, pdf creator, pdf sam, java, flash et 7zip

 

En général quand j'ai pas les CD, je télécharge depuis le site officiel des éditeurs ou clubic. J'ai des logiciels également depuis un vieux dossier mais je n'ai jamais eu de problème avec.

Message cité 1 fois
Message édité par Profil supprimé le 27-09-2016 à 11:05:02
Reply

Marsh Posté le 27-09-2016 à 11:16:40    


 
clubic, il faut oublier.  
ils avaient intégrés un downloader bien bien pourri y a quelques temps. Si tu as téléchargé un programme sur clubic à cette époque et si tu l'as installé, ton problème vient certainement de là.
 
de toutes façons y a pas 50 causes possible si tu es infecté sur une installation neuve : c'est soit l'iso qui n'est pas officiel, soit tes programmes qui sont en cause.
 
le windows 7 ultimate, il est vraiment officiel?
 
 

Reply

Marsh Posté le 27-09-2016 à 11:19:13    


 
S'il est branché sur le même réseau, il a communiqué.
 
Tu dis que ce sont des PC pros, quelle est la structure du réseau ? Y'a des serveurs sur ce réseau ?
Je demande ça car pour que tous les PCs soient contaminés d'un coup comme ça, ça ne m'étonnerait pas que la contamination soit propagée depuis un serveur.
 
Sinon, dans un premier temps, tu peux essayer un petit coup de Malwarebytes anti-malwares pour essayer de désinfecter tout ça, ça peut suffire si le virus est pas trop costaud. Si ça ne suffit pas je laisserais d'autres personnes plus compétentes te répondre.


---------------
https://www.flickr.com/photos/182924845@N04/
Reply

Marsh Posté le 27-09-2016 à 12:05:10    


 

leroimerlinbis a écrit :


 
clubic, il faut oublier.  
ils avaient intégrés un downloader bien bien pourri y a quelques temps. Si tu as téléchargé un programme sur clubic à cette époque et si tu l'as installé, ton problème vient certainement de là.
 
de toutes façons y a pas 50 causes possible si tu es infecté sur une installation neuve : c'est soit l'iso qui n'est pas officiel, soit tes programmes qui sont en cause.
 
le windows 7 ultimate, il est vraiment officiel?


 
Ah bah à part si on m'a refilé une fausse boite, je pense que c'est bon.
 
 
 
Arf. A vrai dire, ils ont été vérifié plusieurs par l'anti-virus (pas qu'aujourd'hui, j'ai fait assez régulièrement des scans). Vu que ça date de quelques années, ils devraient être reconnus non ?
 

zerist a écrit :


 
S'il est branché sur le même réseau, il a communiqué.
 
Tu dis que ce sont des PC pros, quelle est la structure du réseau ? Y'a des serveurs sur ce réseau ?
Je demande ça car pour que tous les PCs soient contaminés d'un coup comme ça, ça ne m'étonnerait pas que la contamination soit propagée depuis un serveur.
 
Sinon, dans un premier temps, tu peux essayer un petit coup de Malwarebytes anti-malwares pour essayer de désinfecter tout ça, ça peut suffire si le virus est pas trop costaud. Si ça ne suffit pas je laisserais d'autres personnes plus compétentes te répondre.


 
Je travaille de chez moi. J'utilise le réseau wifi pour mes PC portables et un câble pour mon PC fixe (le premier "contaminé" ). Tous transites par la box, pas de serveur. Je vais essayer le logiciel que tu proposes.
 
 
 
Merci à tous pour vos réponses ^^

Reply

Marsh Posté le 27-09-2016 à 12:14:46    

Testé Malwarebyte sur un des PC et ... rien :(

Reply

Marsh Posté le 27-09-2016 à 12:17:27    


 
ça ne répond pas aux autres questions de mon message
 

Reply

Marsh Posté le 27-09-2016 à 12:34:50    

A bah j'ai la facture, la boite était sous cellophane quand je l'ai reçue.
Sinon, j'ai beau relire, c'est quoi les autres questions ?  :whistle:

 

J'ai fait un scan avec Roguekiller : voici les résultats :
RogueKiller V12.6.4.0 (x64) [Sep 26 2016] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/download/roguekiller/
Blog : http://www.adlice.com

 

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : CAD [Administrateur]
Démarré depuis : C:\Users\Public\Pictures\Sample Pictures\RogueKillerX64.exe
Mode : Scan -- Date : 09/27/2016 12:19:42 (Durée : 00:09:12)

 

¤¤¤ Processus : 0 ¤¤¤

 

¤¤¤ Registre : 12 ¤¤¤
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)

 

¤¤¤ Tâches : 0 ¤¤¤

 

¤¤¤ Fichiers : 0 ¤¤¤

 

¤¤¤ WMI : 0 ¤¤¤

 

¤¤¤ Fichier Hosts : 0 ¤¤¤

 

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

 

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] 3xnubk8j.default : user_pref("browser.startup.homepage", "http://forum.hardware.fr/" ); -> Trouvé(e)

 

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Samsun  SSD 850 EVO 1TB SCSI Disk Device +++++
--- User ---
[MBR] cce3b315f356f685799071f05b92770f
[BSP] ba2a610c964aca935fe50362099556a1 : Empty|VT.Unknown MBR Code
Partition table:
0 - [MAN-MOUNT] EFI system partition | Offset (sectors): 2048 | Size: 100 MB
1 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 206849 | Size: 128 MB
2 - Basic data partition | Offset (sectors): 468994 | Size: 131472 MB
3 - Basic data partition | Offset (sectors): 269723744 | Size: 822168 MB
User = LL1 ... OK
User = LL2 ... OK

 

Message cité 1 fois
Message édité par Profil supprimé le 27-09-2016 à 12:38:11
Reply

Marsh Posté le 27-09-2016 à 12:37:48    


 

Citation :

clubic, il faut oublier.  
ils avaient intégrés un downloader bien bien pourri y a quelques temps. Si tu as téléchargé un programme sur clubic à cette époque et si tu l'as installé, ton problème vient certainement de là.
 
de toutes façons y a pas 50 causes possible si tu es infecté sur une installation neuve : c'est soit l'iso qui n'est pas officiel, soit tes programmes qui sont en cause.


 
bon pas vraiment des questions ok :D
mais l'idée est là!  
tu as surement un ou plusieurs programmes vérolés.  
A moins que depuis ton installation "neuve" tu aies eu un comportement "à risque"

Reply

Marsh Posté le 27-09-2016 à 12:37:48   

Reply

Marsh Posté le 27-09-2016 à 12:42:06    

Ah pour la partie sur clubic j'ai répondu à zagobar qui reprenait la même réflexion.
 
Non, c'est apparu après l'installation des dits logiciels...

Reply

Marsh Posté le 27-09-2016 à 12:45:08    


 
ben justement!!!
ça ne peut venir que de un ou plusieurs logiciels que tu as installé!
 
un antivirus ne bronchera pas forcément.


Message édité par leroimerlinbis le 27-09-2016 à 12:46:02
Reply

Marsh Posté le 27-09-2016 à 12:48:12    

Par hasard, ça peut venir de spotify ? Je crois que le point commun c'est qu'il a demandé un accès au firewall

Message cité 1 fois
Message édité par Profil supprimé le 27-09-2016 à 12:48:21
Reply

Marsh Posté le 27-09-2016 à 12:50:43    


 
pas forcément.
 
je te conseille de mettre tous tes exécutables à la poubelle et de les retélécharger.
 

Reply

Marsh Posté le 27-09-2016 à 20:24:27    

Un coup d'AdwCleaner au moins sur chaque PC ne serait pas un luxe.  
Sinon, toutes les détections de Roguekiller sont des faux positifs.

Reply

Marsh Posté le 27-09-2016 à 21:50:57    

ce malware a dû laisser des traces dans les menu démarrer pour lancer un fichier ou autre.
Si tu regardes la date de création du fichier, cela te renseignera peut-être sur ce qui a pu se passer.

Reply

Marsh Posté le 28-09-2016 à 22:30:11    

Plop,
 
Après vérification, il semble que c'était bien spotify qui foutait le boxon avec des pubs intempestives. A priori, le problème est récurent.

Reply

Marsh Posté le 10-10-2016 à 10:48:30    

Jamais eu de problème avec Spotify. Es-tu sûr de ta source ?
 
Puis un pc qui déconne apres une réinstallation.
Cela ne peut venir soit  
- d'un dvd windows "vérolé". Aparemment ce n'est pas ton cas
- d'un logiciel "merdique". Retélécharge des logiciels sur les sites officiels et surtout bien lire et décocher les trucs inutiles
 
Sur mon pc, j'ai environ 60 logiciels dont certains ont une provenance....  :D  
Je n'ai jamais eu de problème


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
Reply

Marsh Posté le 10-10-2016 à 10:53:36    

Lanstack a écrit :

Jamais eu de problème avec Spotify. Es-tu sûr de ta source ?


 
ça dépend sur quel site il a téléchargé spotify.
si c'est sur 01NET ou softonic, faut pas trop s'étonner d'avoir des merdes! ça fait parti du package :D

Reply

Marsh Posté le 10-10-2016 à 11:10:01    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed