Suspicion de faille de sécurité sur mon PC, besoin d'aide

Suspicion de faille de sécurité sur mon PC, besoin d'aide - Sécurité - Windows & Software

Marsh Posté le 13-06-2013 à 16:10:15    

Bonjour à tous,
 
J'ai depuis quelques temps un comportement de mon PC qui m'interpelle et pour lequel je ne trouve ni explication ni solution.  
 
Déjà, ce que je peux dire de la machine:
- Seven 64 bits totalement à jour
- Installé derrière un routeur, uniquement en RJ45 (pas de wifi ou autres)
- Avast installé et à jour + pare-feu de windows

Le comportement étrange:

 
Depuis quelques temps (2 semaines ou 3?), à l'occasion d'un surf sur le net par exemple, un son va se faire entendre. D'une durée d'environ 30 secondes peut être, ça ressemble en gros à:
-bruits d'un micro qui s'allume ou qu'on frotte par accident
- souffle important (ou compression très forte?)
- petits bruits qui font penser à une molette de souris
Pas de message, ou autre. Juste un assortiment de ces 3 sons. A priori, c'est toujours la même séquence. Cela survient en gros tous les 4 ou 5 jours (j'utilise pas énormément mon PC ces temps ci).  
C'est très angoissant.  
Hier, le phénomène s'est encore produit, comme je venais de charger une page internet 2 minutes auparavant, j'ai coupé le navigateur, ce qui a coupé le son. C'était une page de ce forum! (Donc je me dis que si c'était lié à la navigation sur HFR, le problème aurait déclenché des centaines de remarques des utilisateurs).  
 
Mes tentatives de résolution:
 
Tout d'abord, je vérifie mon casque micro: le micro est bien coupé à l'interrupteur. Je suis équipé d'une X-Fi titanium fatality, pour info, les enceintes sont branchées à l'arrière de la carte X-fi.  
 
Suspectant un virus ou un piratage, j'ai fait les choses suivantes:
- Plusieurs scans Avast (tout à jour), y compris en mode parano. => 0 virus ou autre.
- Scans de Malware Anti-malware => 0
- Scan d'AVG => 0
- Scans d'antivirus MBR (plus les noms en tête, mais celui de BitDefender, celui d'avast) => 0
- Scans d'un ou deux anti rootkit => 0
- Un Spybot pour la forme => 0
- Adwcleaner => 0
- Tentative de détecter des choses avec GMER, sans résultat compréhensible de ma part.  
A ce stade, j'utilisais Chrome.  
 
Fatigué par les scans et n'aimant pas l'idée d'avoir un pc moisi, j'ai alors décidé de formater seven et de le réinstaller, toujours à partir de la même version achetée (si ça peut aider dans le diagnostic, j'achète les logiciels que j'utilise, ou je prends de l'open source, donc pas de crack, de versions pirates ou autres navigations sur des sites vérolés, je suis assez parano de base).
Installation => Mise à jour de Seven en masse => Installation de quelques logiciels de base comme Steam, Foobar.  
Je passe alors sur Firefox et j'y ajoute Adblock +.  
 
L'installation a 4 jours d'ancienneté. J'ai bien fait attention à être prudent: navigation que sur une poignée de sites safes (gamekult, jv.com, HFR, journaux type le monde...).
 
Hier soir, Steam tourne, je suis en train d'ouvrir 3 onglets. 2 du forum HFR, un de JV.Com.
 
Le phénomène se déclenche.
J'avais déjà un doute sur le fait que ça puisse être une pub (pas de visuel et le message n'a aucun sens), mais avec adblock+, _ça me semble encore plus improbable!
 
=> Je n'ai aucune idée de ce que ça peut être et je suis désemparé :(. Pouvez-vous m'aider? Merci 1000 fois!


Message édité par ShinobiOfGaming le 13-06-2013 à 21:42:38
Reply

Marsh Posté le 13-06-2013 à 16:10:15   

Reply

Marsh Posté le 13-06-2013 à 18:32:52    

Merci pour ta réponse.
 
De mémoire, j'avais étudié le gestionnaire de tâches, en particulier hier (facile avec un seven tout propre)
=> Pas vu de seosoft mais je regarde à nouveau ce soir.
=> Mumble, j'y ai pensé, mais je l'ai pas réinstallé depuis ce week end.
=> Chrome, pas utilisé depuis la réinstallation.
=> Dropbox, pas réinstallé non plus.
=> Pas de widget non plus (ni avant, ni après).  
 
Je vais quand même bien étudier les services et msconfig pour ce SeoSoft (ou autres lignes étranges).

Reply

Marsh Posté le 13-06-2013 à 21:48:48    

En fait j'ai passé adwcleaner, je viens de corriger le premier post. Il n'avait donné aucun résultat.  
Je suis en train de passer OTL (je me prépare à m'absenter, je reviens après).
Je note l'info pour Adblocks, du couper hier soir dans le doute j'ai aussi installé le module "noscript". Par contre, si c'était une pub de HFR, je me dis que je ne devrais pas être le seul ici à y avoir droit (?).  
 
Pour la partie matériel, le son me semble trop identique pour que ce soit des parasites ou autres. Par ailleurs, le matériel a 6 mois à peine (mais il est vrai que ça ne protège pas d'un composant moisi).  
 
Dès que j'ai le log OTL, je peux le mettre ici, si ça peut aider.
 
J'ai le log OTL, très imposant pour le coup. Perso, je n'y vois rien d'anormal. Visiblement je peux générer des logs plus clairs et moins touffus, est ce qu'il y a des rubriques particulières à étudier?


Message édité par ShinobiOfGaming le 13-06-2013 à 21:56:14
Reply

Marsh Posté le 15-06-2013 à 00:08:55    

Désolé, j'étais pas très présent hier soir et aujourd'hui. Merci pour tes conseils, tout d'abord.
Je m'y mets maintenant.
 
- Les outils sysinternals: Je suis dessus.  
 
* Process Explorer:
a. Si je ne mets que "mes processus", je ne vois strictement rien de suspect.  
b. En mettant tous les processus... J'ai des processus qui n'ont ni description ni "compagnie". Je pense que c'est normal, mais dans le doute: lsm.exe / csrss.exe (2 fois!) / winlogon.exe / smss.exe / Wininit.exe / services.exe. Mis à part ça, tout me semble parfaitement normal.  
 
* Autoruns : Je cache les "windows entries".
a. j'ai un "rdpclip" en "file not found".
b. Dans "Task Scheduler", j'ai un  
"\Microsoft\Windows\NetTrace\GatherNetworkInfo   c:\windows\system32\gathernetworkinfo.vbs 10/06/2009 22:36" qui apparait sur fond rose. Pas de description ni de publisher?  
Dans HKLM\System\CurrentControlSet\ j'ai un "gdrv   File not found: C:\Windows\gdrv.sys " qui apparait en jaune. A priori c'est lié à gigabyte (ma CM est une GB).  
Par ailleurs, sur fond rose, j'ai:
ATI Ticker   c:\program files (x86)\ati technologies\ati.ace\graphics-previews-common\ticker.ax 29/03/2013 04:11
MMACE Deinterlace   c:\program files (x86)\ati technologies\ati.ace\graphics-previews-common\mmacefilters.dll 29/03/2013 04:11
MMACE ProcAmp   c:\program files (x86)\ati technologies\ati.ace\graphics-previews-common\mmacefilters.dll 29/03/2013 04:11
MMACE SoftEmu   c:\program files (x86)\ati technologies\ati.ace\graphics-previews-common\mmacefilters.dll 29/03/2013 04:11
 
A priori, tout ça, c'est du ATI. Je n'ai rien d'autre de notable sur Autoruns. Tout le reste dispose d'une description, d'un éditeur et semble avoir du sens.  
 
Je m'occupe du rapport OTL dans la foulée.
=> Voilà. http://pjjoint.malekal.com/files.p [...] 14q15h13r7
Merci par avance!


Message édité par ShinobiOfGaming le 15-06-2013 à 00:22:13
Reply

Marsh Posté le 18-06-2013 à 01:08:08    

Peut être du neuf, je viens de voir un truc perturbant:
 
En faisant clic droit sur "dossier" de la barre windows, je remarque des liens écrits en chinois et autres idéogrammes. Plusieurs.  
Etonné, je remarque qu'ils mènent vers mon bureau. Je clique dessus, ça n'envoie sur rien. Je ne vois pas non plus de dossiers correspondants sur mon bureau.  
Je fais clic droit dessus, propriété. Je regarde l'onglet "partage".  
Je vois le mot "partagé" à la fin d'une série d'idéogrammes.
Je regarde l'onglet sécurité: J'ai une croix rouge et le message: "Les informations de sécurité demandées sont indisponibles ou ne sont pas affichables".
 
Je regarde ensuite dans l'explorateur les "Emplacements récents". J'en vois 5 du même genre. 3 ont été modifiés à la même seconde, 2 autres ont été modifiés également au même moment.  
 
Je copie colle l'intitulé de ces liens, et je regarde si google peut traduire. Il n'y arrive pas. Je regarde alors si google peut m'indiquer des choses en recherchant dessus.
Le premier lien qu'il me trouve (je ne clique pas dessus!) est: "https: //svn.win.tue.nl/.../sandro_les1a_sql_injections_v03.pptx?view..."
 
:(
 
1. Un avis sur le sujet?
2. Je fais quoi?
3. Ca commence à me bouffer ces histoires. Est ce qu'il ne faut pas que j'envisage de sortir l'ensemble des DD de ma machine, d'en racheter 2 neufs et de considérer comme perdu à tout jamais les anciens DD, pour ne prendre aucun risque?  
 
Ca me semble dément ces histoires, mais je n'ai pas le moindre bout de piste et j'ai passé tous les scans possibles, j'ai plus d'idée :(.  
 
Merci pour votre aide!  

Reply

Marsh Posté le 18-06-2013 à 13:22:21    

Des noms de fichiers avec des idéogrammes, sont en général provoqués par des erreurs d'écriture disque. Essayes de faire un "Error Scan" avec le logiciel HD Tune. On sait jamais, le disque dur peu faire ce genre de bruits. Poste nous une capture de la fenêtre de HD Tune lorsque qu'il aura fini.

Reply

Marsh Posté le 18-06-2013 à 23:56:42    

Bonsoir,
 
J'ai passé un Error Scan sur mes 3 DD ce soir. Scan complet, pas un Quick Scan.  
 
Les résultats: sur les 3 DD, aucun défaut à signaler. 0,0% de "damaged blocks". Les onglets "santé" indiquent qu'ils vont bien également.  
J'imagine que ça n'empêche pas un bug d'écriture "logiciel" (genre un des scanners ou logiciels que j'utilise fébrilement depuis quelques temps?). Mais du coup je ne suis toujours pas bien rassuré.
 
Pour disposer d'une protection supplémentaire, et dans l'espoir d'avoir aussi plus d'infos sur ce qui entre/sort de mon PC, je vais installer Online Armor Free.  
 
PS: j'ai également posté sur Malekal, comme conseillé :)

Reply

Marsh Posté le 19-06-2013 à 20:29:03    

J'avoue ne pas avoir bien compris tes 2 dernières questions ^^.
 
Je ne nettoie pas spécialement le PC, mais dernièrement j'ai utilisé plein d'outils divers, comme exposé dans le premier post. Rien de plus ou de moins (?). Si tu évoques CCleaner, j'imagine que c'est parce que le log OTL doit sembler bien léger. Ca s'explique parce que j'ai réinstaller seven il y a une dizaine de jours (donc une poignée de jours avant le log OTL), non?  
 
Pour les liens affichés, je suppose que tu parles de mes idéogrammes douteux. C'est directement en cliquant droit sur l'icône de l'explorateur de la barre windows (emplacements récents donc). Je les retrouve aussi via l'explorateur en allant dans "emplacements récents".  
 
Est ce que ça répond à tes questions?
 
Encore merci!

Reply

Marsh Posté le 21-06-2013 à 23:40:48    

Pour l'instant, toujours pas de retour du "son étrange" et à priori pas de kanjis mystiques supplémentaires. Je ne sais pas si c'est un hasard ou si d'une façon ou d'une autre je me suis mis à l'abri du truc.  J'ai installé Online Armor Free qui me semble fonctionner pas mal.  
 
J'en profite pour sécuriser un brin Firefox (en évitant de conserver trop de données, en effet). Pas de module suspect, à part ce que j'ai installé (adblock, noscript...) et quelques modules attendus.  
 
J'hésite encore à envisager un dernier format/réinstallation, pour être bien propre. Pour l'instant je n'ai pas encore réactivé mon windows, il reste 2 bonnes semaines pour ça, je me laisse ce temps pour voir et décider.  
 
Je note les outils de nettoyage, ça peut être pratique en effet, et je n'ose pas trop me lancer dedans généralement (par flippe de l'outil bullshit qui salope tout ^^).
 
Bref, je reste vigilant, j'attends encore avant de me dire que c'est passé (j'étais peu sur le PC dernièrement).

Reply

Marsh Posté le 22-06-2013 à 20:24:24    

Inutile de charger d'autant de protections ... Je pense que le problème est physique, plutôt que "virtuel". Comme dit plus haut, DD ou ventilo. Puisque tu as formaté, je ne vois pas l'intérêt de refaire du ménage approfondi. Deux formatages : inutile. Voilà ;)
Sinon, c'est vrai que tu as l'air plutôt paranoïaque  :lol: :D


Message édité par letrouveur le 22-06-2013 à 20:26:35
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed