ScreenConnect (Arnaque au téléphone)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

IDL40
Messages : 2
Inscription : 22 déc. 2023 17:03

ScreenConnect (Arnaque au téléphone)

par IDL40 »

Bonjour,
J'ai une personne qui m'a demandé de l'aide. Elle a reçu un message sur son ordinateur lui demandant d'appeler le numéro affiché.
Évidemment, c'était une arnaque et elle s'est faite avoir bien comme il faut. Je voudrais donc supprimer ScreenConnect qui est en arrière-plan. Je n'ai pas connecté l'ordinateur à internet depuis son "attaque".
J'ai fait une analyse comme dans votre vidéo sur Youtube et je vous joins les résultats des 3 fichiers qui sont ressortis:

FRST.txt
https://pjjoint.malekal.com/files.php?i ... 2u15k79c13

Addition.txt
https://pjjoint.malekal.com/files.php?i ... g121311j13

Shortcut.txt
https://pjjoint.malekal.com/files.php?i ... 4s6o12t9i7

Je vous remercie par avance pour votre aide et vous souhaite de bonnes fêtes.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: ScreenConnect (Arnaque au téléphone)

par Malekal_morte »

Bonjour,

Pour info, TeamViewer est aussi installé.

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
R2 ScreenConnect Client (02ace74d-6a40-4a6b-81da-00e59f4f9964); C:\Users\Asus\AppData\Local\Apps\2.0\OJRC66RT.XXK\9KJL0V7X.82P\scre..tion_25b0fbb6ef7eb094_0017.0008_17811350070c1918\ScreenConnect.ClientService.exe [95520 2023-12-19] (Connectwise, LLC -> )
C:\Users\Asus\AppData\Local\Apps\2.0\OJRC66RT.XXK\9KJL0V7X.82P\
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
IDL40
Messages : 2
Inscription : 22 déc. 2023 17:03

Re: ScreenConnect (Arnaque au téléphone)

par IDL40 »

Bonjour,

Merci pour votre réactivité. Oui, TeamViewer est installé mais depuis avant le problème, ils ont utilisé AnyDesk pour prendre le contrôle.
J'ai fait ce que vous m'avez demandé et je vois que ScreeConnect n'apparaît plus au démarrage, c'est super !

Je vous joins le fichier demandé:
https://pjjoint.malekal.com/files.php?i ... 11g13m13t9

En espérant que ce soit réglé, en tout cas merci beaucoup
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: ScreenConnect (Arnaque au téléphone)

par Parisien_entraide »

Bonjour

Le "fix" a fait le travail donc c'est réglé

Par contre n'oublie pas
https://www.malekal.com/arnaque-support ... s_de_passe

C'est à dire changer par sécurité les mots de passe
Si il y a eu paiement (pour leur solution anti virus en général) , divulgation du numéro de carte (ou pire du code), de contacter la banque et de suivre les conseils indiqués dans le lien ci dessus


Au passage, si tu as 2 minutes, est-ce que tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa et /ou TrustPilot : Evaluer le site malekal.com ?
En te remerciant
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
mc_31
Messages : 3
Inscription : 23 sept. 2024 16:03

Re: ScreenConnect (Arnaque au téléphone)

par mc_31 »

bonjour,

j'ai généré et uploadé les fichiers FRST.txt, Addition.txt et Shortcut.txt disponibles à
https://pjjoint.malekal.com/files.php?i ... y12z12o9i9
https://pjjoint.malekal.com/files.php?i ... 1115p11x11
https://pjjoint.malekal.com/files.php?i ... 8c6y9i8g14

je n'arrive pas à me débarasser de ScreenConect
d'avance merci pour l'aide

Mathieu
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: ScreenConnect (Arnaque au téléphone)

par Malekal_morte »

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
S4 ScreenConnect Client (db0ae5f3-281b-4fd4-8316-c418cb938012); C:\Users\mathi\AppData\Local\Apps\2.0\TQCCGGJ3.GCA\N9VN2VPT.BXC\scre..tion_2c2536e5112611c9_0006.0003_f2011ed7f0eeaca8\ScreenConnect.ClientService.exe [90768 2024-09-23] (ScreenConnect Software -> )
 C:\Users\mathi\AppData\Local\Apps
 2024-09-23 13:05 - 2024-09-23 14:42 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_f2011ed7f0eeaca8
2024-09-23 13:05 - 2024-09-23 14:37 - 000000000 ____D C:\Users\mathi\AppData\Local\Deployment
2024-09-23 13:05 - 2024-09-23 13:05 - 000000000 ____D C:\Users\mathi\AppData\Local\Apps\2.0
2024-09-23 13:04 - 2024-09-23 13:04 - 000086672 _____ C:\Users\mathi\Downloads\ConnectWiseControl.Client.exe
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.

et à désinstaller, car inutiles et encombrant :
CyberLink
McAfee
WebAdvisor par McAfee

Enfin refais un scan FRST et donne à nouveau les rapports pour voir s'il n'y a pas de restes de McAfee, comme il est très collant..
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
mc_31
Messages : 3
Inscription : 23 sept. 2024 16:03

Re: ScreenConnect (Arnaque au téléphone)

par mc_31 »

Merci pour ta réponse rapide
Après un nouveau scan, à part dans le fichier Addition.txt dans lequel il reste la clef de registre ScreenConnect
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client (db0ae5f3-281b-4fd4-8316-c418cb938012) => ""="Service"
bien qu'elle n'existe plus
il ne reste rien dans les 2 autres fichiers au sujet de ScreenConnect
le service lui même a disparu de la liste des services

Par contre, je suis surpris de voir que le dossier C:\Users\mathi\AppData\Local\Apps a disparu

Concernant McAfee, je ne le désinstalle pas car je viens de souscrire pour 2 ans à leur antivirus

Merci à toi
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: ScreenConnect (Arnaque au téléphone)

par Malekal_morte »

ok tu es courageux pour McAfee =)

Change les mots de passe, ils peuvent avoir été pris leur de la prise en main.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
mc_31
Messages : 3
Inscription : 23 sept. 2024 16:03

Re: ScreenConnect (Arnaque au téléphone)

par mc_31 »

oui j'ai changé les principaux et vais continuer de le faire
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: ScreenConnect (Arnaque au téléphone)

par Malekal_morte »

yep du coup, je pense que c'est terminé =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
damien29
Messages : 2
Inscription : 20 oct. 2024 15:26

Re: ScreenConnect (Arnaque au téléphone)

par damien29 »

Bonjour,

Je vous transmets les liens pour une personne qui s'est avoir avec screen connect

FRST https://pjjoint.malekal.com/files.php?i ... 5n14c15v12

ADDITION https://pjjoint.malekal.com/files.php?i ... b5f11l6f15

SHORTCUT https://pjjoint.malekal.com/files.php?i ... 11g15y15j9

En vous remerciant pour votre support
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: ScreenConnect (Arnaque au téléphone)

par Parisien_entraide »

Bonjour

Malekal ou Angélique s'occuperont de te fournir un "Fix"

Attention aux arnaques de type : hxxps://www.security-cleaner.com/ (il figure comme lien sur le bureau mais il a peut etre été placé lors de la prise à distance)
McAffee (antivirus) était déjà en place ?

Je déconseille Lastpass comme gestionnaire de mots de passe
viewtopic.php?p=527746#p527746
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: ScreenConnect (Arnaque au téléphone)

par Malekal_morte »

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2024-10-20 14:36 - 2024-07-12 07:35 - 000016811 _____ C:\Users\miche\AppData\LocalLow\86cda845fb34fc8d76e06b3c2457ab8b8652e36ebdfd4e83d1179764c3415a32
2024-10-20 11:24 - 2024-07-11 17:21 - 000000130 _____ C:\Users\miche\AppData\LocalLow\4844a7f98cb66099c05c3690bf4a7d958cf5342c98027ac96958436f67e87dde
2024-10-20 11:24 - 2024-07-11 13:50 - 000000130 _____ C:\Users\miche\AppData\LocalLow\46fc982a3fc746c21684f8a82fac28362f17e278971a077b5645b9210ef4adb7
2024-10-20 11:04 - 2024-07-11 13:50 - 000595621 _____ C:\Users\miche\AppData\LocalLow\a3a555296d48ace65d74fd798cea2d23f658cce24c04ef0d483bd5838eb0b770
2024-10-17 21:33 - 2024-07-12 09:32 - 000241224 _____ C:\Users\miche\AppData\LocalLow\7b656f1f03b09b7ff5c7fce3e355262b38761d7c34c046bcb6f6632aa6d10581
2024-10-17 21:33 - 2024-07-12 09:32 - 000000130 _____ C:\Users\miche\AppData\LocalLow\f690b76eda7ff27fa825c662fbe7bbb6ec55d82d07d93023eb3c28244b178403
2024-10-13 11:44 - 2024-07-25 07:40 - 000021931 _____ C:\Users\miche\AppData\LocalLow\99a41ac37eea95975bd14e26567f3a65ce922d15d0ed10000344c1b19cafcc16
2024-09-25 21:59 - 2024-09-25 21:59 - 000002264 _____ C:\Users\miche\AppData\LocalLow\74a1e9b33f1245fd81ee448389ee2c661227f2147833f6fceedf274ab80e204e
2024-10-15 21:06 - 2024-10-15 21:06 - 000002264 _____ C:\Users\defaultuser100000\AppData\LocalLow\74a1e9b33f1245fd81ee448389ee2c661227f2147833f6fceedf274ab80e204e
C:\Users\miche\AppData\Local\Apps\2.0
R2 ScreenConnect Client (28e6adfe-be27-49f0-abb3-e7ccf95b919e); C:\Users\miche\AppData\Local\Apps\2.0\6R9YKJE7.XAW\BCDMTOBB.VYL\scre..tion_2c2536e5112611c9_0006.0003_4117c09cc865b27d\ScreenConnect.ClientService.exe [90768 2024-10-15] (ScreenConnect Software -> )
2024-10-15 09:37 - 2024-10-20 14:32 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_4117c09cc865b27d
2024-10-15 09:37 - 2024-10-17 21:48 - 000000000 ____D C:\Users\miche\AppData\Local\Deployment
Hosts:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.

2) Désinstalle - inutiles et lourds, laisse Windows Defender :
McAfee
WebAdvisor par McAfee
S'il n'était pas installé avant, fais attention car ils peuvent t'avoir pris un abonnement dessus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
damien29
Messages : 2
Inscription : 20 oct. 2024 15:26

Re: ScreenConnect (Arnaque au téléphone)

par damien29 »

Bonjour,

Merci Malekal_morte

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-09-2024
Exécuté par miche (23-10-2024 18:17:25) Run:1
Exécuté depuis C:\Users\miche\Desktop
Profils chargés: miche
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩
*****************


==== Fin de Fixlog 18:17:25 ====
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: ScreenConnect (Arnaque au téléphone)

par Parisien_entraide »

Bonsoir

Ce n' est pas bon to fixlist. Il est vide

---------------------------
Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corrige.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »