Win 10 faux support microsoft, plantage icônes et Microsoft edgeRésolu/Fermé

Question

Bonjour, 

Sur un portable sony VAIO, le propriétaire a appelé un faux numéro de support qui a pris le contrôle à distance du pc. 

Je ne le savais pas au départ, il m'a demandé de lui supprimer les pubs intempestives.
Adwcleaner, quelques manipulations : le pc fonctionne bien.

Quelques jours plus tard, Microsoft Edge plante, il s'ouvre, impossible d'écrire dedans 
puis se ferme tout seul. 

Là je suis informé du problème, je fais une restauration à quelques jours (mais datée après le faux support) et des scans complets avec AVAST et MBAM, les rapports donnent surtout des restes des logiciels de pubs (genre Search Scope), je passe CCleaner aussi (beaucoup de données supprimées), j'enlève quelques programmes au démarrage.
Le pc refonctionne, rapide.

Une semaine après un soir il me rappelle, idem, Microsoft Edge plante, icônes du bureau blanches (notamment un raccourci internet, mais en fait il n'y presque aucune icône sur le bureau à la base, ils n'y ont rien mis). Je viens le lendemain, j'essaye d'installer Mozilla depuis un exe qui est sur une usb mais que je transfère sur bureau : icône blanche qui ne se lance pas.

Je redémarre juste le pc, et là tout refonctionne.

Je ne sais pas quoi penser : problème de MAJ Microsoft, Win 10 pas au point, ou faut-il faire un scan avec un logiciel style ZHPdiag ?

Ou si je fais "actualiser le pc sans affecter les fichiers" ? Ou "réinitialisation usine" ?
L'utilisateur n'a presque aucun fichier personnel, et je peux les sauvegarder et lui refaire toutes les Maj Windows et autres logiciels, cela m'est égal

Mais donc j'ai un peu peur d'une infection due au faux support téléphonique, et que même une réinitialisation usine ne supprimerait pas (est-ce possible ?)

Merci d'avance pour votre aide.

Configuration: Windows 7 / Firefox 40.0

fabul · Answer

Salut,

Fais un nettoyage avec AdwCleaner

Installe RegRun Reanimator

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Patiente durant l'analyse.

Clic sur "Fix problems".

Attention, il détecte des faux positifs (des bons fichiers).

Tu peux faire des recherches.

Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système.

Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.

Clic sur "Reboot" a la fin.

Si tu n'est pas sur de ce qu'il faut supprimer ou pas, tu ferais mieux de demander de l'aide,

Si tu a besoin d'aide,

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious , tu peux le dire, on procédera différemment. 

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.

Cyboo · Answer

Merci fabul, voici les résultats :

Déjà il fonctionne toujours au redémarrage

les scans : 

Adwcleaner scan strictement vide

RegRun : 4 items j'ai ajouté des commentaires en italiques 

1 : Item Name: {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126}
Author: 
Current Setting: C:\PROGRAM FILES (X86)\BLUETOOTH SUITE\IEPLUGIN.DLL
Type: Browser Helper Objects(x64)
"the setup differs from the default one, this only a warning

j'ai cliqué sur "need some help" good 100%


2 : Item Name: BtvStack
Author: 
Related File: "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe"
Type: Explorer Run

need some help : bad 20% : fichier non signé pas d'information de fabricant
N'a pu trouver le fichier, pourrait être déjà détruit ou caché par un rootkit


3 : Item Name: livessp
Author: 
Related File: livessp.dll
Type: LSA Security Packages

Bad 20%, même texte


4 : Item Name: wfpcapture
Author: 
Current Setting: \SystemRoot\System32\drivers\wfpcapture.sys
Type: Drivers

pour celui là j'ai fermé le logiciel sans faire exprès et il bug en refaisant des scan donc je ne sais pas s'il est "good" ou "bad"
Et d'ailleurs du coup je ne sais même pas si je pourrais supprimer les items

fabul · Answer

Je ne vois pas d'infection.

Mais ça c'est bizarre:

Ou c'est peut être bizarre qu'il le détecte.

Et on ne voit pas le chemin du fichier (Fichier caché système).

3 : Item Name: livessp
Author:
Related File: livessp.dll
Type: LSA Security Packages 


Tu pourrais vérifier si ce fichier est réellement inexistant

C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe

Et supprimer avec RegRun de "Explorer Run " si tu peux.

Si il existe, laisse le.

fabul · Answer

Livessp.dll with description Live Security Package is a process file from company Microsoft Corporation belonging to product Microsoft® Windows® Operating System.
The file is digitally signed from Microsoft Corporation - Microsoft Time-Stamp Service
We do not recommend removing digitally signed files from Microsoft Corporation

Dans ton cas, il n'a pas l'air signé.

Tu crois que le hacker aurait eu la possibilité de trafiquer un fichier protégé système ?

fabul · Answer

Pour répondre a ta question, une restauration d'usine règlerais le problème.

Cyboo · Answer

Bonjour fabul,

La manière dont on ma raconté le faux support avait l'air juste du chantage à l'argent que l'ami a refusé. La prise de contrôle servant à ajouter (par l'installation d'un logiciel je crois) de la peur en affichant encore plus de symptômes et de fausses infections que le message poussant à appeler.
Pour l'anecdote on peut marchander, et on a l'impression d'avoir affaire à une plateforme ou plusieurs personnes travaillent, et le gars peut même demander à son "patron" pour une réduction, un peu comme pour l'achat d'un cuisine.

Pour le fichier dont tu me parles, j'ai fait apparaître le fichiers et dossiers cachés, y compris système, et il y a un btvstack.exe.mui dans chaque sous dossier de langue de bluetoothsuite,  - le B est en majuscule sur le US, pas sur les autres - Mais pas juste un Btvstack.exe dans le dossier lui même. 
Par contre comme je te dis, RegRun bug, j'ai laissé le dernier scan toute la nuit il bloque au moment de la création du point de restauration. Des fois il bloquait à x% du scan. Je l'avais pourtant désinstallé réinstallé.
(Et il ne trouve plus que 3 items, je sais pas si j'ai fait une fausse manip à un moment. Au fait cela veut dire quoi "prohibited" dans sa classification avec "warning" et "suspicious" ? ).

Après aucune idée pour la possibilité de modification de ce fichier par le hacker, mes compétences sont limitées.
Peu de gens protègent leur système au niveau des droits admin et sécurité (que je trouve compliqué sur Microsoft d'ailleurs).
Et si ce fichier est responsable de ce symptômes de MS Edge qui s'écroule et d'icônes blanches et inactives sur le bureau

Ce type de hacking laisse-t-il seulement des traces faisant bugger le pc, ou le pc peut-il encore servir à un botnet par ex (ceci me fait peur d'ailleurs on peut avoir un pc faisant partie d'un botnet tout en ayant des symptômes très très discret paraît-il) ou peuvent-ils continuer à fouiller le pc ?

L'utilisation du pc est très restreinte, aucunes données personnelles, bancaires, même pas de photos ou de doc administratifs pour l'instant et le pc a plusieurs mois déjà.

Mais je vais donc choisir la solution la plus prudente, la réinitialisation.
avec réinstallation d'un AV et toutes les mises à jours nécessaires.

J'ai vu sur un autre topic qu'une personne a eu un problème avec les icônes de son bureau sur Win 10, et cela ressemblait juste à un bug.
Comme je l'ai dit, chaque fois que je manipule le pc de mon ami, il refonctionne.
Mais pour un non habitué, avoir son bureau et son navigateur qui bug au démarrage deux ou trois de fois de suite, et deux fois en 10 jours, c'est trop, et dans cas je ne pouvais lui promettre que le hacking n'avait aucun lien avec ce symptôme.

Encore une fois merci beaucoup pour ton aide fabul, je mettrais le topic en résolu après avoir travaillé sur le pc aujourd'hui.

fabul · Answer

il bloquait à x% du scan. Je l'avais pourtant désinstallé réinstallé.
Pas besoin de le désinstaller , juste le réinstaller par dessus.

 Au faut cela veut dire quoi "prohibited" dans sa classification avec "warning" et "suspicious" ? 
Prohibited, c'est sur la liste noire, et les autres , c'est dans la zone grise

Il y a peu de chance qu'il y ait un bot caché.

Généralement ils menacent de bloquer le PC.


Oui, Win10 a ses bugs, surtout en installation "mise a jour"
les logiciels doivent s'adapter aussi.

Cyboo · Answer

Par contre c'est pas réinitialisation usine mais "tout supprimer", sinon il perd Win 10 je crois, d'après ce lien
https://support.microsoft.com/en-us/windows/recovery-options-in-windows-10-31ce2444-7de3-818c-d626-e3b5a3024da5

Win 10 faux support microsoft, plantage icônes et Microsoft edge

8 réponses

Newsletters