supportdotcom\rang\ssrangsv.exe et desinfection ordinateur [résolu]

[nicole00123]

Bonsoir à tous,

L'ordinateur de ma grand mère a été infecté par un logiciel, ransomware ? Et je n'ai pas la démarche afin de supprimer les éventuel virus.

Le PC a été pris a distance par une personne malveillante.
Cette personne lui a demandé ces identifiants de compte bancaire par téléphone et a pu avoir accès apparemment a son ordinateur.

Dans le répertoire de téléchargement je vois un exécutable : connect_686784.exe

Et dans le répertoire AppData, j'ai des dossiers rang_fb_inst_6828.exe avec un exécutable ssrangsv.exe ainsi des fichiers logs à l’intérieur où le contenu ne m'inspire pas du tout confiance :

Code : Tout sélectionner

Mon Mar 01 18:40:53 2021
 SSRCSVC:     ERROR (Native(10872): File version: 0.5.35.0)
 SSRCSVC:     ERROR (Native(10872): Local time = [3-1-2021 - 18.40.53])
 SSRCSVC:     ERROR (Native(10872): UTC time = [3-1-2021 - 17.40.53])
 SSRCSVC:     INFO  (Native(10872): Ctx params:: Index = -1, Str =  )
 Firewall:    INFO  (Native(10872): FW-> Add self.)
 Firewall:    INFO  (Native(10816): FW-> App -> thread, Add = 1, Dir path = C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\.)
 Firewall:    INFO  (Native(10816): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe])
 Firewall:    INFO  (Native(9848): Initing COM: ApartmentThreaded_Ole1DDE, result (hr) = 0)
 Firewall:    INFO  (Native(9848): FW-> Is it On? [1])
 Firewall:    INFO  (Native(9848): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe])
 Firewall:    INFO  (Native(9848): FW-> App file [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe], is it already on = 1)
 Firewall:    INFO  (Native(10816): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe])
 Firewall:    INFO  (Native(4076): Initing COM: ApartmentThreaded_Ole1DDE, result (hr) = 0)
 Firewall:    INFO  (Native(4076): FW-> Is it On? [1])
 Firewall:    INFO  (Native(4076): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe])
 Firewall:    INFO  (Native(4076): FW-> App file [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe], is it already on = 0)
 Firewall:    ERROR (Native(4076): FW->Failed to add the app to firewall... Error = -2147024894)
 SSRCSVC:     INFO  (Native(10872): get ini ctx:: flow.)
 SSRCSVC-ini: INFO  (Native(10872): Initing COM: Ex(Default), result (hr) = 0)
 SSRCSVC-ini: INFO  (Native(10872): getInitValid:: process flow - URL = https://global.nexus.support.com/rang/win/connect?id=686784&os=windows, file = C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\rang_bstrap_msg_01.txt)
 SSRCSVC-ini: INFO  (Native(10872): do-Web-Work: scheme = curl, )
 SSRCSVC-ini: ERROR (Native(5816): Reply to getInitValid::, HTTP Error. ;; Http status = 0, Response = curl_easy_perform() failed: Http status = 0, curl Code = 6, desc = Couldn't resolve host name :: 
::  )
 SSRCSVC-ini: INFO  (Native(5816): Reply to getInitValid::, all done.. Result = -21)
 SSRCSVC-ini: INFO  (Native(5816): Reply to InitResponse, all done.. now signalling.  Result = -21)
 SSRCSVC-ini: ERROR (Native(10872): do-Web-Work - FAILED. scheme = curl, )
 SSRCSVC-ini: INFO  (Native(10872): do-Web-Work: scheme = json-rpc, )
 SSRCSVC-ini: ERROR (Native(1216): Reply to getInitValid::, HTTP Error. ;; Http status = 12007, Response = ::  )
 SSRCSVC-ini: INFO  (Native(1216): Reply to getInitValid::, all done.. Result = -21)
 SSRCSVC-ini: INFO  (Native(1216): Reply to InitResponse, all done.. now signalling.  Result = -21)
 SSRCSVC-ini: ERROR (Native(10872): do-Web-Work - FAILED. scheme = json-rpc, )
 SSRCSVC-ini: INFO  (Native(10872): do-Web-Work - complete. result = -21,)
 SSRCSVC-ini: INFO  (Native(10872): getInitValid:: process flow - complete. result = -21,)
 Firewall:    INFO  (Native(10872): FW-> Add self.)
 Firewall:    INFO  (Native(4668): FW-> App -> thread, Add = 0, Dir path = C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\.)
 Firewall:    INFO  (Native(4668): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe])
 Firewall:    INFO  (Native(8700): Initing COM: ApartmentThreaded_Ole1DDE, result (hr) = 0)
 Firewall:    INFO  (Native(8700): FW-> Is it On? [1])
 Firewall:    INFO  (Native(8700): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe])
 Firewall:    INFO  (Native(8700): FW-> App file [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe], is it already on = 1)
 Firewall:    INFO  (Native(8700): FW-> App file [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangsv.exe], removed from firewall.)
 Firewall:    INFO  (Native(4668): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe])
 Firewall:    INFO  (Native(2804): Initing COM: ApartmentThreaded_Ole1DDE, result (hr) = 0)
 Firewall:    INFO  (Native(2804): FW-> Is it On? [1])
 Firewall:    INFO  (Native(2804): FW-> Now checking file: [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe])
 Firewall:    INFO  (Native(2804): FW-> App file [C:\Users\Nicole\AppData\Local\Temp\rang_fb_inst_6828\ssrangui.exe], is it already on = 0)

Voici ci-après les rapports FRST.

FRST : https://pjjoint.malekal.com/files.php?i ... 2o7f10w6b8
Addition : https://pjjoint.malekal.com/files.php?i ... 11m14o15d9
Shortcut : https://pjjoint.malekal.com/files.php?i ... j6e8c11y12

Merci d'avance pour l'aide que vous pourrez m'apporter

[Malekal_morte]

Salut,

Si tu as des doutes sur ces fichiers, tu peux les analyser sur Virustotal mais vu ce que tu donnes, ça semble plutôt être lié à des des arnaque sde support téléphonique.
Pas de ransomware.


Désinstalle Packard Bell Games (WildTagent)

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
S2 Support.com Firebet Rang; C:\Program Files (x86)\supportdotcom\rang\ssrangsv.exe [3188568 2020-10-07] (Support.com, Inc. -> Support.com, Inc.)
C:\Program Files (x86)\supportdotcom
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[nicole00123]

Bonsoir,

Merci pour le support.

J'ai exécuté le fix et voilà le résultat :
https://pjjoint.malekal.com/files.php?i ... 11i10s7b11

Il y avait dans de dossiers cachés Temp énormement de log dû a supportdotcom ainsi que des fichiers exécutable que j'ai retiré manuellement.

De plus, ces exécutable ne sont pas détecté par VirusTotal... Pourtant je pense que c'est par le biais de cette application qu'il y a eu une liaison entre la personne et le PC.

En tout cas, merci encore pour le support !

[Malekal_morte]

La correction est vide.


Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

[nicole00123]

Mince ...

Voilà le nouveau log : https://pjjoint.malekal.com/files.php?i ... i5w5v8w8f8

J'ai peut être, entre temps, supprimé un dossier qui était dans Programme Files et qui correspondait à supportdotcom
Ainsi que 3 règles qui étaient inscrite dans le parefeu de Windows.

[Malekal_morte]

Cette fois il est bien supprimé donc je pense que l'on a terminé =)

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[nicole00123]

Si tout est parti alors c'est parfait !

Merci encore pour le support.