Désinfection de ScreenConnect [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Loulou83
Messages : 12
Inscription : 01 janv. 2014 12:28
Localisation : Cuers - Var

Désinfection de ScreenConnect [résolu]

par Loulou83 »

Bonsoir,
Avant toute chose je dois vous préciser mon âge, 89 ans, car ceci peut expliquer que je n'arrive pas à résoudre mon problème.
J'ai été infecté par ScreenConnect, et selon vos recommandations, j'ai utilisé FRST, et obtenu les 3 fichiers que je me suis préparé à vous envoyer via pjjoint.
J'ignore ce que je dois faire ensuite et pour cette raison je vous adresse ci-joint les URL de ces 3 dossiers.
Je vous remercie d'avance de votre aide, et vous prie d'accepter mes meilleures salutations
Loulou83

Lien à transmettre à vos correspondant pour visualiser le fichier : addition
https://pjjoint.malekal.com/files.php?i ... 14b6i11n11
Lien à transmettre à vos correspondant pour visualiser le fichier : Shortcut
https://pjjoint.malekal.com/files.php?i ... k6u5u11g13
Lien à transmettre à vos correspondant pour visualiser le fichier : FRST
https://pjjoint.malekal.com/files.php?i ... u5v7g14x11
Le vieil homme n'a pas abdiqué
Malekal_morte
Messages : 110998
Inscription : 10 sept. 2005 13:57

Re: Désinfection de ScreenConnect

par Malekal_morte »

Salut,

ScreenConnect est en général utilisé dans le cadre des arnaques de support téléphoniques.
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus


Désinstalle :
AnyDesk (logiciel de contrôle à distance, installé volontairement ?)
Avast Cleanup Premium (sert à rien)
Mozilla VPN (installer volontairement ?)


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-02-03 09:34 - 2022-02-03 09:34 - 000000000 _____ C:\ProgramData\UpdateLock-D78BF5DD33499EC2
2022-02-06 17:25 - 2019-12-07 10:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-02-06 17:06 - 2020-09-27 06:33 - 000000000 ____D C:\Windows\system32\SleepStudy
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Loulou83
Messages : 12
Inscription : 01 janv. 2014 12:28
Localisation : Cuers - Var

Re: Désinfection de ScreenConnect

par Loulou83 »

Bonsoir,
Grand merci pour votre aide. Ci dessous le contenu de Fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 05-02-2022
Exécuté par USER (13-02-2022 18:29:02) Run:2
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 18:29:02 ====
Le vieil homme n'a pas abdiqué
Malekal_morte
Messages : 110998
Inscription : 10 sept. 2005 13:57

Re: Désinfection de ScreenConnect

par Malekal_morte »

La correction est vide.

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Loulou83
Messages : 12
Inscription : 01 janv. 2014 12:28
Localisation : Cuers - Var

Re: Désinfection de ScreenConnect

par Loulou83 »

Malekal_morte a écrit : 13 févr. 2022 23:12 La correction est vide.

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.
Bonjour,
Je n'avais pas dû bien comprendre, mais cette fois-ci, il y a du texte :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-02-2022 01
Exécuté par USER (14-02-2022 16:31:38) Run:3
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2022-02-03 09:34 - 2022-02-03 09:34 - 000000000 _____ C:\ProgramData\UpdateLock-D78BF5DD33499EC2
2022-02-06 17:25 - 2019-12-07 10:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-02-06 17:06 - 2020-09-27 06:33 - 000000000 ____D C:\Windows\system32\SleepStudy
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\ProgramData\UpdateLock-D78BF5DD33499EC2 => déplacé(es) avec succès
C:\ProgramData\regid.1991-06.com.microsoft => déplacé(es) avec succès

"C:\Windows\system32\SleepStudy" dossier déplacer:

Impossible de déplacer "C:\Windows\system32\SleepStudy" => Planifié pour déplacement au redémarrage.

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 14-02-2022 16:32:52)

C:\Windows\system32\SleepStudy => déplacé(es) avec succès

==== Fin de Fixlog 16:32:52 ====

Merci encore mille fois !
Cordialement
Loulou83
Le vieil homme n'a pas abdiqué
Malekal_morte
Messages : 110998
Inscription : 10 sept. 2005 13:57

Re: Désinfection de ScreenConnect

par Malekal_morte »

Oui c'est mieux.
Du coup tu n'as plus ScreenConnect qui t'importune ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Loulou83
Messages : 12
Inscription : 01 janv. 2014 12:28
Localisation : Cuers - Var

Re: Désinfection de ScreenConnect

par Loulou83 »

Bonjour,
Hélas, trois fois hélas, Screenconnect est toujours là !
Cordialement
Loulou83
Le vieil homme n'a pas abdiqué
Avatar de l’utilisateur
angelique
Messages : 31246
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Désinfection de ScreenConnect

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Loulou83
Messages : 12
Inscription : 01 janv. 2014 12:28
Localisation : Cuers - Var

Re: Désinfection de ScreenConnect

par Loulou83 »

angelique a écrit : 15 févr. 2022 15:26 Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Bonsoir Angélique,
Peut-être un nouvel espoir, mais je ne suis pas sûr d'avoir exécuté l'opération comme il se doit. Toujours est-il que j'ai un nouveau texte à envoyer :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-02-2022 01
Exécuté par USER (15-02-2022 19:44:25) Run:4
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1475648890-30971190-2564915406-1001\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [2075480 2013-06-24] (Flexera Software LLC -> Flexera Software LLC.)
HKU\S-1-5-18\...\Run: [OpAgent] => "OpAgent.exe" /agent (Pas de fichier)
roupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
R2 ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec); C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84\OR939Y55.C9K\scre..tion_2c2536e5112611c9_0006.0003_80b1c8acffec1486\ScreenConnect.ClientService.exe [90768 2021-09-28] (ScreenConnect Software -> )
R2 ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b); C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84\OR939Y55.C9K\scre..tion_2c2536e5112611c9_0006.0003_80b1c8acffec1486\ScreenConnect.ClientService.exe [90768 2021-09-28] (ScreenConnect Software -> )
C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-1475648890-30971190-2564915406-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM" => supprimé(es) avec succès
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\OpAgent" => supprimé(es) avec succès
roupPolicy: Restriction ? <==== ATTENTION => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => supprimé(es) avec succès
ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => service supprimé(es) avec succès
ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => supprimé(es) avec succès
ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => service supprimé(es) avec succès
C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84 => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 110629565 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1179854 B
Edge => 0 B
Chrome => 165593 B
Firefox => 1119883594 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 50718 B
NetworkService => 57648 B
USER => 851237004 B

RecycleBin => 19364139 B
EmptyTemp: => 2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 19:45:19 ====


Je crois bien que cette fois l'objectif ait été atteint.
Merci Angélique
Le vieil homme n'a pas abdiqué
Avatar de l’utilisateur
angelique
Messages : 31246
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Désinfection de ScreenConnect

par angelique »

Oui c'est OK PDT_018

supprime alors C:\FRST et les rapports.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »