Bonjour à tous,
 
Ce matin, je me suis rendu compte que tous mes PC étaient piratés...  
Mon navigateur s'ouvre avec soit une publicité, soit avec un message d'alerte de sécurité :

 
Un de mes PC vient d'avoir une toute nouvelle installation et n'a pas communiqué avec le premier PC (ce sont des PC pro)
Le 3e PC n'avait pas été allumé depuis un certain temps (il s'agit d'un PC de secours).
 
Avast ne trouve rien même avec un scan complet au démarrage.  
Que faire ?
Utile de dénoncer à la gendarmerie ? (des infos complémentaires à aller chercher) ?
 
Merci d'avance  

iso officiel?
tu as installé quoi comme programmes? tu télécharges tes programmes sur quels sites?

Oui, uniquement des OS obtenues de manière officielle

Premier PC : licence win7 ultimate boite (physique), migration vers windows 10 il y a peu.
Second PC : windows 7 pro OEM (lenovo)
Troisième PC : windows 7 home premium OEM (dell) migration vers windows 10 il y a quelques mois.

En programme que tous ont il y a l'imprimante, spotify, Open Offfice, VLC, FireFox, Google earth, avast, pdf xchange, pdf creator, pdf sam, java, flash et 7zip

En général quand j'ai pas les CD, je télécharge depuis le site officiel des éditeurs ou clubic. J'ai des logiciels également depuis un vieux dossier mais je n'ai jamais eu de problème avec.

 
clubic, il faut oublier.  
ils avaient intégrés un downloader bien bien pourri y a quelques temps. Si tu as téléchargé un programme sur clubic à cette époque et si tu l'as installé, ton problème vient certainement de là.
 
de toutes façons y a pas 50 causes possible si tu es infecté sur une installation neuve : c'est soit l'iso qui n'est pas officiel, soit tes programmes qui sont en cause.
 
le windows 7 ultimate, il est vraiment officiel?
 
 

 
S'il est branché sur le même réseau, il a communiqué.
 
Tu dis que ce sont des PC pros, quelle est la structure du réseau ? Y'a des serveurs sur ce réseau ?
Je demande ça car pour que tous les PCs soient contaminés d'un coup comme ça, ça ne m'étonnerait pas que la contamination soit propagée depuis un serveur.
 
Sinon, dans un premier temps, tu peux essayer un petit coup de Malwarebytes anti-malwares pour essayer de désinfecter tout ça, ça peut suffire si le virus est pas trop costaud. Si ça ne suffit pas je laisserais d'autres personnes plus compétentes te répondre.

 
Ah bah à part si on m'a refilé une fausse boite, je pense que c'est bon.
 
 
 
Arf. A vrai dire, ils ont été vérifié plusieurs par l'anti-virus (pas qu'aujourd'hui, j'ai fait assez régulièrement des scans). Vu que ça date de quelques années, ils devraient être reconnus non ?
 

 
Je travaille de chez moi. J'utilise le réseau wifi pour mes PC portables et un câble pour mon PC fixe (le premier "contaminé" ). Tous transites par la box, pas de serveur. Je vais essayer le logiciel que tu proposes.
 
 
 
Merci à tous pour vos réponses ^^

Testé Malwarebyte sur un des PC et ... rien

 
ça ne répond pas aux autres questions de mon message
 

A bah j'ai la facture, la boite était sous cellophane quand je l'ai reçue.
Sinon, j'ai beau relire, c'est quoi les autres questions ?  

J'ai fait un scan avec Roguekiller : voici les résultats :
RogueKiller V12.6.4.0 (x64) [Sep 26 2016] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/download/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : CAD [Administrateur]
Démarré depuis : C:\Users\Public\Pictures\Sample Pictures\RogueKillerX64.exe
Mode : Scan -- Date : 09/27/2016 12:19:42 (Durée : 00:09:12)

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 12 ¤¤¤
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : http://lenovo13.msn.com/?pc=LCTE  -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {B51B1E9B-2EA0-4213-BF5F-451752B5D45C} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules | {FD051B7B-C562-42A9-9AD7-86951D605178} : v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\CADC\AppData\Local\Temp\WZSE0.TMP\Common\EpsonNet Setup\ENEasyApp.exe|Name=EpsonNet Setup| [x] -> Trouvé(e)
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-522524221-2991162760-2534735498-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] 3xnubk8j.default : user_pref("browser.startup.homepage", "http://forum.hardware.fr/" ); -> Trouvé(e)

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Samsun  SSD 850 EVO 1TB SCSI Disk Device +++++
--- User ---
[MBR] cce3b315f356f685799071f05b92770f
[BSP] ba2a610c964aca935fe50362099556a1 : Empty|VT.Unknown MBR Code
Partition table:
0 - [MAN-MOUNT] EFI system partition | Offset (sectors): 2048 | Size: 100 MB
1 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 206849 | Size: 128 MB
2 - Basic data partition | Offset (sectors): 468994 | Size: 131472 MB
3 - Basic data partition | Offset (sectors): 269723744 | Size: 822168 MB
User = LL1 ... OK
User = LL2 ... OK

 
bon pas vraiment des questions ok
mais l'idée est là!  
tu as surement un ou plusieurs programmes vérolés.  
A moins que depuis ton installation "neuve" tu aies eu un comportement "à risque"

Ah pour la partie sur clubic j'ai répondu à zagobar qui reprenait la même réflexion.
 
Non, c'est apparu après l'installation des dits logiciels...

 
ben justement!!!
ça ne peut venir que de un ou plusieurs logiciels que tu as installé!
 
un antivirus ne bronchera pas forcément.

Par hasard, ça peut venir de spotify ? Je crois que le point commun c'est qu'il a demandé un accès au firewall

 
pas forcément.
 
je te conseille de mettre tous tes exécutables à la poubelle et de les retélécharger.
 

Un coup d'AdwCleaner au moins sur chaque PC ne serait pas un luxe.  
Sinon, toutes les détections de Roguekiller sont des faux positifs.

ce malware a dû laisser des traces dans les menu démarrer pour lancer un fichier ou autre.
Si tu regardes la date de création du fichier, cela te renseignera peut-être sur ce qui a pu se passer.

Plop,
 
Après vérification, il semble que c'était bien spotify qui foutait le boxon avec des pubs intempestives. A priori, le problème est récurent.

Jamais eu de problème avec Spotify. Es-tu sûr de ta source ?
 
Puis un pc qui déconne apres une réinstallation.
Cela ne peut venir soit  
- d'un dvd windows "vérolé". Aparemment ce n'est pas ton cas
- d'un logiciel "merdique". Retélécharge des logiciels sur les sites officiels et surtout bien lire et décocher les trucs inutiles
 
Sur mon pc, j'ai environ 60 logiciels dont certains ont une provenance....    
Je n'ai jamais eu de problème

 
ça dépend sur quel site il a téléchargé spotify.
si c'est sur 01NET ou softonic, faut pas trop s'étonner d'avoir des merdes! ça fait parti du package

http://www.arnaque-telephone.com/0178903897.html