Désinfection de ScreenConnect [résolu]

[Loulou83]

Bonsoir,
Avant toute chose je dois vous préciser mon âge, 89 ans, car ceci peut expliquer que je n'arrive pas à résoudre mon problème.
J'ai été infecté par ScreenConnect, et selon vos recommandations, j'ai utilisé FRST, et obtenu les 3 fichiers que je me suis préparé à vous envoyer via pjjoint.
J'ignore ce que je dois faire ensuite et pour cette raison je vous adresse ci-joint les URL de ces 3 dossiers.
Je vous remercie d'avance de votre aide, et vous prie d'accepter mes meilleures salutations
Loulou83

Lien à transmettre à vos correspondant pour visualiser le fichier : addition
https://pjjoint.malekal.com/files.php?i ... 14b6i11n11
Lien à transmettre à vos correspondant pour visualiser le fichier : Shortcut
https://pjjoint.malekal.com/files.php?i ... k6u5u11g13
Lien à transmettre à vos correspondant pour visualiser le fichier : FRST
https://pjjoint.malekal.com/files.php?i ... u5v7g14x11

[Malekal_morte]

Salut,

ScreenConnect est en général utilisé dans le cadre des arnaques de support téléphoniques.
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus


Désinstalle :

AnyDesk (logiciel de contrôle à distance, installé volontairement ?)
Avast Cleanup Premium (sert à rien)
Mozilla VPN (installer volontairement ?)

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-02-03 09:34 - 2022-02-03 09:34 - 000000000 _____ C:\ProgramData\UpdateLock-D78BF5DD33499EC2
2022-02-06 17:25 - 2019-12-07 10:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-02-06 17:06 - 2020-09-27 06:33 - 000000000 ____D C:\Windows\system32\SleepStudy
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Loulou83]

Bonsoir,
Grand merci pour votre aide. Ci dessous le contenu de Fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 05-02-2022
Exécuté par USER (13-02-2022 18:29:02) Run:2
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 18:29:02 ====

[Malekal_morte]

La correction est vide.

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

[Loulou83]

La correction est vide.

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

Bonjour,
Je n'avais pas dû bien comprendre, mais cette fois-ci, il y a du texte :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-02-2022 01
Exécuté par USER (14-02-2022 16:31:38) Run:3
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2022-02-03 09:34 - 2022-02-03 09:34 - 000000000 _____ C:\ProgramData\UpdateLock-D78BF5DD33499EC2
2022-02-06 17:25 - 2019-12-07 10:14 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2022-02-06 17:06 - 2020-09-27 06:33 - 000000000 ____D C:\Windows\system32\SleepStudy
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\ProgramData\UpdateLock-D78BF5DD33499EC2 => déplacé(es) avec succès
C:\ProgramData\regid.1991-06.com.microsoft => déplacé(es) avec succès

"C:\Windows\system32\SleepStudy" dossier déplacer:

Impossible de déplacer "C:\Windows\system32\SleepStudy" => Planifié pour déplacement au redémarrage.

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 14-02-2022 16:32:52)

C:\Windows\system32\SleepStudy => déplacé(es) avec succès

==== Fin de Fixlog 16:32:52 ====

Merci encore mille fois !
Cordialement
Loulou83

[Malekal_morte]

Oui c'est mieux.
Du coup tu n'as plus ScreenConnect qui t'importune ?

[Loulou83]

Bonjour,
Hélas, trois fois hélas, Screenconnect est toujours là !
Cordialement
Loulou83

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Loulou83]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

Bonsoir Angélique,
Peut-être un nouvel espoir, mais je ne suis pas sûr d'avoir exécuté l'opération comme il se doit. Toujours est-il que j'ai un nouveau texte à envoyer :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-02-2022 01
Exécuté par USER (15-02-2022 19:44:25) Run:4
Exécuté depuis D:\Admin\Louis\Desktop
Profils chargés: USER
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1475648890-30971190-2564915406-1001\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [2075480 2013-06-24] (Flexera Software LLC -> Flexera Software LLC.)
HKU\S-1-5-18\...\Run: [OpAgent] => "OpAgent.exe" /agent (Pas de fichier)
roupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
R2 ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec); C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84\OR939Y55.C9K\scre..tion_2c2536e5112611c9_0006.0003_80b1c8acffec1486\ScreenConnect.ClientService.exe [90768 2021-09-28] (ScreenConnect Software -> )
R2 ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b); C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84\OR939Y55.C9K\scre..tion_2c2536e5112611c9_0006.0003_80b1c8acffec1486\ScreenConnect.ClientService.exe [90768 2021-09-28] (ScreenConnect Software -> )
C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-1475648890-30971190-2564915406-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM" => supprimé(es) avec succès
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\OpAgent" => supprimé(es) avec succès
roupPolicy: Restriction ? <==== ATTENTION => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => supprimé(es) avec succès
ScreenConnect Client (58cf1285-4946-4789-8761-42d3e4a23cec) => service supprimé(es) avec succès
ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => supprimé(es) avec succès
ScreenConnect Client (f2b886b1-6c1e-4c86-9bdb-ed50fcc83e0b) => service supprimé(es) avec succès
C:\Users\USER\AppData\Local\Apps\2.0\EE0N5OTQ.E84 => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 110629565 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1179854 B
Edge => 0 B
Chrome => 165593 B
Firefox => 1119883594 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 50718 B
NetworkService => 57648 B
USER => 851237004 B

RecycleBin => 19364139 B
EmptyTemp: => 2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 19:45:19 ====


Je crois bien que cette fois l'objectif ait été atteint.
Merci Angélique

[angelique]

Oui c'est OK

supprime alors C:\FRST et les rapports.