Attaque "classique" téléphonez urgent Windows cause virus [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Attaque "classique" téléphonez urgent Windows cause virus [résolu]

par Czav »

Bonjour,
j'ai récupéré le PC d'une de mes amies qui a été victime de la fameuse et oh combien connue attaque "html". Elle a malheureusement téléphoné puis accepté de laisser prendre son ordinateur à distance.
Résultat = anydesk... et récupération de ses accès notamment à son compte bancaire avec des retraits !!! Je lui ai fait changer ses mots de passe. Elle a bloqué tout paiement via son compte bancaire.
J'ai utilisé FRST depuis son bureau. Et n'ai pour l'instant rien fait d'autre que de regarder quelques détails.
1- C'est arrivé le 09 mai 2024
2- AnyDesk a été installé à 15h36 + gcapi.dll à 15h37 + RemotePCHost à 18h08 (vu dans les Téléchargements)
3- Dans les applications installées le 09 mai 2024 = Cartes (Microsoft Corporation) + Microsoft Visual C++ 2015 Redistribuable (x86) + Microsoft Visual C++ 2015-2022 Redistribuable + Outlook (nex) Microsoft Corporation + RemotePCHost version 7.6.79 + RemotePCPrinter + Skype
Je ne sais pas si mon amie avait installé certaines de ces applications elle-même avant de se faire "pigeonner" mais je peux essayer de le savoir.
4- Apprès le 09 mai 2024, quelques programmes plus récents dans Applications et fonctionnalités =
-- Microsoft Edge le 11 mai 2024
-- Hub de commentaires Microsoft Corporation le 11 mai 2024
-- Google Chrome le 11 mai 2024
-- Microsoft Edge WebView2 Runtime le 12 mai 2024
-- Microsoft OneDrive LE 14 MAI 2024
-- Update for Windows 10 for x64- based Systems le 15 mai 2024 (jour où j'ai récupéré l'ordinateur et Mise à jour qui s'est effectuée au lancement.
Voilà un état des lieux que j'ai pu faire.
En lien les fichiers FRST.txt, Addition.txt et Shortcut.txt récupérés depuis le bureau de l'ordinateur infecté.
Je ne suis pas assez sûr de moi pour lui garantir une machine désinfectée. Je préfère donc m'adresser à vous pour savoir si quelqu'un pourrait m'aider.
Je vous en remercie par avance, sans quoi je reformate à zéro l'ensemble mais mon amie perdra tout. Elle le sait mais je préfère tenter de l'éviter.

https://pjjoint.malekal.com/files.php?i ... 2b9p6f7c15
https://pjjoint.malekal.com/files.php?i ... 0k5e14g8g5
https://pjjoint.malekal.com/files.php?i ... k7u11p7g12

Bien à vous.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Parisien_entraide »

Bonjour

Malekal ou Angélique te donneront un "fix", mais ce qu'il faut savoir c'est que majoritairement le but de ces arnaques téléphoniques sont là pour te faire acheter un produit , un antivirus généralement et à prix fort, en faisant croire que le PC est infecté (Avec PC Privacy Shield ce qui est le cas là)
Pour la majorité cela s'arrête là car c est la base du business

Ensuite il y a une minorité qui en profite lors du paiement pour récupérer les données bancaires lors de l'achat ou en "surveillant" les accès pour le paiement (donc avec le code bancaire)
Visiblement c'est le cas ici

Dans les AV on note un tas d'antivirus installés un seul suffit (quel était celui qui était installé à la base ?)

AV: Norton Security (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Norton Security (Enabled - Up to date) {30744133-1E94-7B35-F4A3-82A5AEF1CBAA}
AV: Kaspersky Anti-Virus (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Norton Security (Enabled - Up to date) {E3FDBD9F-8140-1400-F32B-8B58923F7C4D}
AV: Kaspersky Anti-Virus (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Norton Security (Enabled) {084FC016-54FB-7A6D-DFFC-2B9050228CD1}
FW: Norton Security (Enabled) {6BFC5632-188D-B806-D13E-C607121B42A0}
FW: Norton Security (Enabled) {DBC63CBA-CB2F-1558-D874-226D6CEC3B36}

Pour infos si le "remote" est toujours en place on ne change pas les mots de passe il faut attendre de tout virer sinon cela ne sert à rien
Et ensuite utiliser un gestionnaire de mots de passe (Keeppass XC par ex)

Là tout le kit est en place donc attend le fixe de Malekal ou Angélique
(Sinon il y a eu des mises à jour de Windows et pour les librairies .net etc.. Ce sont les programmes qui vérifient si les versions sont déjà en place et installent ce qui peut manquer pour bien fonctionner)

A lire en attendant : https://www.malekal.com/arnaque-support ... c-support/
(Et ne pas oublier de porter plainte, et de signaler à la plate forme Pharos https://www.cybermalveillance.gouv.fr/diagnostic/profil
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Attaque "classique" téléphonez urgent Windows cause virus

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Bonsoir,
et merci à vous deux pour votre aide si rapide.
J'ai bien vu qu'il y avait plusieurs antivirus, et j'avoue ne pas savoir si c'est mon amie qui pensait que c'était plus sûr. Je suis bien d'accord que c'est à proscrire.
Pour ce qui est des mots de passe et du Remote, je crois que les changements de mots de passe ont été effectués via téléphone et non via l'ordinateur infesté. Je vais quand même m'en assurer.
Je vais effectuer ce soir le fix comme indiqué (en admin) et ne manquerai pas de revenir vers vous pour vous tenir informés du résultat.
Encore un grand merci pour votre disponibilité et votre aide précieuse.
:-)
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Parisien_entraide »

Sinon dis lui qu'il faut faire TRES attention aux documents stockés sur l'ordinateur (Ce que tout le monde fait)
Il est préférable de tout mettre sur un support externe (Et éviter la clé USB qui ne doit être que de secours car une clé USB ce n'est pas fiable)

En cas d'accès extérieur, (cas présent) ou de malware type Stealer, cela pourrait servir au mieux à du phishing ciblé (cas du faux conseiller bancaire par ex) ou... de l'usurpation d'identité où il faut plusieurs années pour s'en remettre

"Normalement" pour le cas présent ce n'est pas le but, car il faut faire durer le business

C'est pour cela que j'ai des doute sur ma compréhension de la phrase
"accès notamment à son compte bancaire avec des retraits "
Ce n'est pas plutôt qu'ils ont pu avoir accès via AnyDesk aux informations bancaires et qu''un paiement a été effectué pour l'antivirus ?


ASPECT SECURITE

Il y aura évidement du ménage à faire avec les anti virus
Je note la présence de ublock Origin c'est très bien pour les navigateurs

Néanmoins je conseille d'installer l'outil hardentools à minima
https://www.malekal.com/hardentools-securiser-windows/

Si la personne a "succombé" à ce type d'arnaque, elle peut AUSSI cliquer sur un lien vérolé, ou sur des pièces jointes vérolées reçues en mail
Ce genre d'outils qui en plus se laisse oublier pour 99% des gens (ceux qui n'utilisent pas PowerShell au quotidien par ex) est une barrière efficace

Par contre je conseille de décocher "User account Control" L'UAC est déjà en place par défaut, mais là cela va mettre le curseur à fond et cela va déclencher des fenêtres de confirmation pour tout et n'importe quoi

Sinon d'autres détails sur cet outils dont des astuces, et du complément comme ajouter des lignes pour le Firewall de Windows (Même si on utilise un antivirus tiers, ceux ci se servent de celui de Windows et changent l'interface en ajoutant des fonctions)
viewtopic.php?t=60030


ASPECT MATERIEL

Sinon attention avec le SSD, car il n'a qu'une taille de 120Gb mais 118.13 GB en fait, avec en place libre 55.93 GB
Il faut garder entre 15 et 20% de place sur ces petits SSD pour que la maintenance se fasse correctement (TRIM, Garbage collector etc) soit ne pas aller en dessous de 20 Go de place libre (cela va vite)

Je note par ex que dans les programmes installés, il y a CyberLink PowerDVD 12, qui devait être livré avec le PC, qui n'est qu'une version d'essai et qui en plus n'est pas à jour (Si elle lit des vidéos avec il y a mieux, plus efficace et moins encombrant comme MPC-BE par ex ou VLC Videolan)
A virer avec Revo Uninstaller ou Geek Uninstaller

Si on continue côté matériel, le processeur est poussif (mais il n'y a rien à faire) mais il n'y a que 4 Go de RAM
4Go supplémentaire améliorerait la fluidité, surtout avec les navigateurs internet
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Re bonsoir,
j'ai donc lancé FRST64 (clic droit Exécuter en tant qu'administrateur) depuis le bureau après avoir copié le fixlist sur ce même bureau.
Voiçi le résultat dans le fixlog.txt =

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.04.2024 01
Exécuté par ODILE (25-05-2024 19:26:01) Run:1
Exécuté depuis C:\Users\ODILE\Desktop
Profils chargés: defaultuser0 & ODILE
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-420773373-709618564-16438393-1001\...\Run: [PCPrivacyShield2018] => "C:\Program Files (x86)\PC Privacy Shield 2018\PCPrivacyShield2018.exe" minimized (Pas de fichier)
Startup: C:\Users\ODILE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RemotePCHostUI.lnk [2024-05-22]
ShortcutTarget: RemotePCHostUI.lnk -> C:\Program Files (x86)\RemotePC Host\RemotePCHostUI.exe (IDrive, Inc. -> )
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2024-05-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (AnyDesk Software GmbH -> AnyDesk Software GmbH)
Task: {66F1716A-36B1-4C00-AB30-A82BD5E63AFB} - System32\Tasks\RemotePC => C:\Program Files (x86)\RemotePC Host\RPCDownloader.exe [533928 2024-05-02] (IDrive, Inc. -> )
R2 AnyDesk; C:\Program Files (x86)\AnyDesk\AnyDesk.exe [5328200 2024-05-09] (AnyDesk Software GmbH -> AnyDesk Software GmbH)
S3 MpKslde352adb; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{9C257609-D319-4C9A-9FB3-05BB8222F091}\MpKslDrv.sys [X]
2024-05-09 18:12 - 2024-05-09 18:12 - 000000000 ____D C:\Program Files\RemotePCPrinter
2024-05-09 18:12 - 2023-11-01 19:41 - 024608256 _____ C:\WINDOWS\system32\gsdll64.dll
2024-05-09 18:12 - 2023-04-21 17:35 - 000179712 _____ C:\WINDOWS\system32\RemotePCmon.dll
2024-05-09 18:11 - 2024-05-22 18:24 - 000000000 ____D C:\Users\ODILE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RemotePC Host
2024-05-09 18:11 - 2024-05-13 19:15 - 000000000 ____D C:\ProgramData\RemotePC Performance
2024-05-09 18:11 - 2024-05-09 18:14 - 000000000 ____D C:\ProgramData\RemotePC Performance Host
2024-05-09 18:11 - 2024-05-09 18:11 - 000003850 _____ C:\WINDOWS\system32\Tasks\RPCServiceHealthCheck
2024-05-09 18:11 - 2024-05-09 18:11 - 000003788 _____ C:\WINDOWS\system32\Tasks\ServiceMonitor
2024-05-09 18:11 - 2024-05-09 18:11 - 000003558 _____ C:\WINDOWS\system32\Tasks\RPCPerformanceHealthCheck
2024-05-09 18:11 - 2024-05-09 18:11 - 000003522 _____ C:\WINDOWS\system32\Tasks\StartRPCPerformanceService
2024-05-09 18:11 - 2024-05-09 18:11 - 000003464 _____ C:\WINDOWS\system32\Tasks\StartRPCService
2024-05-09 18:11 - 2024-05-09 18:11 - 000003334 _____ C:\WINDOWS\system32\Tasks\StartRPCPerformanceServiceOnStart
2024-05-09 18:11 - 2024-05-09 18:11 - 000000196 _____ C:\WINDOWS\system32\RPCPrinterDownloader.txt
2024-05-09 18:10 - 2024-05-22 18:27 - 000003776 _____ C:\WINDOWS\system32\Tasks\RemotePC
2024-05-09 18:10 - 2024-05-09 18:10 - 000000000 ____D C:\Users\ODILE\AppData\Roaming\RemotePC
2024-05-09 18:09 - 2024-05-15 09:05 - 000000000 ____D C:\ProgramData\RemotePC Host
2024-05-09 18:09 - 2024-05-09 18:11 - 000000000 ____D C:\Program Files (x86)\RemotePC Host
2024-05-09 18:08 - 2024-05-09 18:08 - 073298688 _____ (IDrive Inc ) C:\Users\ODILE\Downloads\RemotePCHost.exe
2024-05-09 16:33 - 2024-05-22 18:17 - 000000000 ____D C:\Program Files (x86)\AnyDesk
2024-05-09 16:33 - 2024-05-09 16:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyDesk
2024-05-09 16:33 - 2024-05-09 16:33 - 000000000 ____D C:\ProgramData\AnyDesk
2024-05-09 15:48 - 2024-05-09 15:48 - 000000000 ____D C:\Users\ODILE\AppData\Roaming\PC Privacy Shield 2018
2024-05-09 15:37 - 2024-05-09 15:39 - 000000000 ____D C:\Users\ODILE\AppData\Roaming\AnyDesk
2024-05-09 15:37 - 2024-05-09 15:37 - 000394240 _____ (Google Inc.) C:\Users\ODILE\Downloads\gcapi.dll
2024-05-09 15:36 - 2024-05-09 15:36 - 005328200 _____ (AnyDesk Software GmbH) C:\Users\ODILE\Downloads\AnyDesk.exe
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-420773373-709618564-16438393-1001\Software\Microsoft\Windows\CurrentVersion\Run\\PCPrivacyShield2018" => supprimé(es) avec succès
C:\Users\ODILE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RemotePCHostUI.lnk => déplacé(es) avec succès
C:\Program Files (x86)\RemotePC Host\RemotePCHostUI.exe => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk => déplacé(es) avec succès
C:\Program Files (x86)\AnyDesk\AnyDesk.exe => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{66F1716A-36B1-4C00-AB30-A82BD5E63AFB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66F1716A-36B1-4C00-AB30-A82BD5E63AFB}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\RemotePC => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RemotePC" => supprimé(es) avec succès
AnyDesk => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\AnyDesk => supprimé(es) avec succès
AnyDesk => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MpKslde352adb => supprimé(es) avec succès
MpKslde352adb => service supprimé(es) avec succès

"C:\Program Files\RemotePCPrinter" Dossier déplacer:

C:\Program Files\RemotePCPrinter => déplacé(es) avec succès
C:\WINDOWS\system32\gsdll64.dll => déplacé(es) avec succès
C:\WINDOWS\system32\RemotePCmon.dll => déplacé(es) avec succès

"C:\Users\ODILE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RemotePC Host" Dossier déplacer:

C:\Users\ODILE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RemotePC Host => déplacé(es) avec succès

"C:\ProgramData\RemotePC Performance" Dossier déplacer:

C:\ProgramData\RemotePC Performance => déplacé(es) avec succès

"C:\ProgramData\RemotePC Performance Host" Dossier déplacer:

C:\ProgramData\RemotePC Performance Host => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\RPCServiceHealthCheck => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\ServiceMonitor => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\RPCPerformanceHealthCheck => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\StartRPCPerformanceService => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\StartRPCService => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\StartRPCPerformanceServiceOnStart => déplacé(es) avec succès
C:\WINDOWS\system32\RPCPrinterDownloader.txt => déplacé(es) avec succès
"C:\WINDOWS\system32\Tasks\RemotePC" => non trouvé(e)

"C:\Users\ODILE\AppData\Roaming\RemotePC" Dossier déplacer:

C:\Users\ODILE\AppData\Roaming\RemotePC => déplacé(es) avec succès

"C:\ProgramData\RemotePC Host" Dossier déplacer:

Impossible de déplacer "C:\ProgramData\RemotePC Host" => Planifié pour déplacement au redémarrage.


"C:\Program Files (x86)\RemotePC Host" Dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\RemotePC Host" => Planifié pour déplacement au redémarrage.

C:\Users\ODILE\Downloads\RemotePCHost.exe => déplacé(es) avec succès

"C:\Program Files (x86)\AnyDesk" Dossier déplacer:

C:\Program Files (x86)\AnyDesk => déplacé(es) avec succès

"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyDesk" Dossier déplacer:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyDesk => déplacé(es) avec succès

"C:\ProgramData\AnyDesk" Dossier déplacer:

C:\ProgramData\AnyDesk => déplacé(es) avec succès

"C:\Users\ODILE\AppData\Roaming\PC Privacy Shield 2018" Dossier déplacer:

C:\Users\ODILE\AppData\Roaming\PC Privacy Shield 2018 => déplacé(es) avec succès

"C:\Users\ODILE\AppData\Roaming\AnyDesk" Dossier déplacer:

Impossible de déplacer "C:\Users\ODILE\AppData\Roaming\AnyDesk" => Planifié pour déplacement au redémarrage.

C:\Users\ODILE\Downloads\gcapi.dll => déplacé(es) avec succès
C:\Users\ODILE\Downloads\AnyDesk.exe => déplacé(es) avec succès

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 34934798 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 114297239 B
Edge => 0 B
Chrome => 68917348 B
Firefox => 68478557 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 2858190 B
NetworkService => 7047580 B
defaultuser0 => 7047580 B
ODILE => 413189165 B

Bien cordialement.

RecycleBin => 171842666 B
EmptyTemp: => 847.4 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-05-2024 19:38:39)

C:\ProgramData\RemotePC Host => a été déplacé(e) avec succès
C:\Program Files (x86)\RemotePC Host => Impossible de déplacer
C:\Users\ODILE\AppData\Roaming\AnyDesk => a été déplacé(e) avec succès

==== Fin de Fixlog 19:38:39 ====
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Parisien_entraide »

Angélique te le confirmera mais c'est bon


Regarde pour le reste qui a été indiqué dans un autre message


A l'issue refait un Scan FRST et donne les rapports


Si tout est bon/nettoyé


Concernant les mots de passe
==================================

Ne pas stocker les login mot de passe dans le navigateur. Un simple script permet de les récupérer

Par sécurité changer les mots de passes d'utiliser un gestionnaire de mots de passe
https://www.malekal.com/keepassxc-le-ge ... piratages/

Activer la double authentification si le site ou service web le permet
https://www.malekal.com/la-double-authe ... ca-marche/

________

Par précaution/sécurité

Réinitialiser les navigateurs Après désinfection ou suspicion
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : ---------------

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site , ce serait sympa :-) : Evaluer le site malekal.com
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Attaque "classique" téléphonez urgent Windows cause virus

par angelique »

ça parrait ok, ils ne peuvent plus reprendre la main sur la machine.

Changer les MDP des sites pré enregistrés dans le navigateur Ѡeb

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Merci à vous, vous êtes de fameux anges gardiens.
Et disponibles si rapidement. Je n'en reviens pas.
Et vive l'environnement Linux. ;-)
Bien cordialement.
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Bonjour,
suite à votre aide oh combien précieuse, voiçi les fichiers retournés par FRST après le fix.

https://pjjoint.malekal.com/files.php?i ... 5h5k14d9w6
https://pjjoint.malekal.com/files.php?i ... 7m11x12e12
https://pjjoint.malekal.com/files.php?i ... 1h11q10r10

Je vais maintenant faire un peu de ménage dans tous ces AV et mots de passe enregistrés dans les navigateurs, désinstaller ce qui ne sert à rien. Et suivre les conseils : hardentools, Revo uninstall pour CyberLink PowerDVD 12...

Encore un grand merci et belle journée à vous.

PS. @Parisien_entraide, je n'ai pas les détails mais il y a bien eu plusieurs paiements effectués de quelques centaines d'euros qui sont passés puis des tentatives de 1000 puis 1500 euros qui ont été bloquées par la banque faute de suffisamment d'argent sur le compte.
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Attaque "classique" téléphonez urgent Windows cause virus

par angelique »

Désinstalle :

AnyDesk (HKLM-x32\...\AnyDesk) (Version: ad 8.0.10 - AnyDesk Software GmbH)

App Explorer (HKU\S-1-5-21-420773373-709618564-16438393-1001\...\Host App Service) (Version: 0.273.4.677 - SweetLabs)

RemotePC Host version 7.6.79 (HKLM-x32\...\{182A1B5D-9D64-44E4-BDBC-5B12B3959896}}_is1) (Version: 7.6.79 - IDrive Inc)

RemotePC Printer (HKLM\...\{0CF4A039-A836-4DC6-A785-178815EFBB11}) (Version: 3.0.2 - IDrive Inc)

Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Bonjour Angelique,
j'ai suivi tes conseils à la lettre = désinstallation des 4 programmes (via Revo Uninstaller en mode avancé donc suppression de toutes les clés de registre).
Puis j'ai lancé FRST en mode admin et appliqué ton fixlist.
Voilà le résultat du fixlog =

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.04.2024 01
Exécuté par ODILE (26-05-2024 11:07:35) Run:1
Exécuté depuis C:\Users\ODILE\Desktop
Profils chargés: defaultuser0 & ODILE
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {07F25957-C6C6-4C68-9694-902415FE3E75} - \RPCServiceHealthCheck -> Pas de fichier <==== ATTENTION
Task: {3EB4B74C-9F25-4B4E-81B1-5BCD63707B9E} - \RPCPerformanceHealthCheck -> Pas de fichier <==== ATTENTION
Task: {57C8555B-6ECA-46F3-90BF-9C751DFD3D56} - \StartRPCService -> Pas de fichier <==== ATTENTION
Task: {6EB15C20-A424-469E-8CF9-1E896A33806E} - \StartRPCPerformanceService -> Pas de fichier <==== ATTENTION
Task: {6F54ABBF-CE2E-49B2-81FD-274A04FB0E4B} - \ServiceMonitor -> Pas de fichier <==== ATTENTION
Task: {B0A22341-6952-46ED-9EF3-2F90106B4B07} - \StartRPCPerformanceServiceOnStart -> Pas de fichier <==== ATTENTION
HKLM\...\Print\Monitors\REMOTEPCPRINTER: RemotePCmon.dll (Pas de fichier)
2024-05-25 19:31 - 2024-05-25 19:31 - 000003776 _____ C:\WINDOWS\system32\Tasks\RemotePC
2024-05-25 19:26 - 2024-05-25 19:26 - 000000000 ____D C:\ProgramData\RemotePC Performance Host
2024-05-09 18:09 - 2024-05-25 19:26 - 000000000 ____D C:\Program Files (x86)\RemotePC Host
2024-05-26 07:53 - 2020-01-09 10:48 - 000000000 ____D C:\Users\ODILE\AppData\Local\Host App Service
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07F25957-C6C6-4C68-9694-902415FE3E75}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07F25957-C6C6-4C68-9694-902415FE3E75}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RPCServiceHealthCheck" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3EB4B74C-9F25-4B4E-81B1-5BCD63707B9E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3EB4B74C-9F25-4B4E-81B1-5BCD63707B9E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RPCPerformanceHealthCheck" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{57C8555B-6ECA-46F3-90BF-9C751DFD3D56}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{57C8555B-6ECA-46F3-90BF-9C751DFD3D56}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\StartRPCService" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6EB15C20-A424-469E-8CF9-1E896A33806E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6EB15C20-A424-469E-8CF9-1E896A33806E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\StartRPCPerformanceService" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6F54ABBF-CE2E-49B2-81FD-274A04FB0E4B}" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ServiceMonitor" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B0A22341-6952-46ED-9EF3-2F90106B4B07}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0A22341-6952-46ED-9EF3-2F90106B4B07}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\StartRPCPerformanceServiceOnStart" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Control\Print\Monitors\REMOTEPCPRINTER => supprimé(es) avec succès
"C:\WINDOWS\system32\Tasks\RemotePC" => non trouvé(e)

"C:\ProgramData\RemotePC Performance Host" Dossier déplacer:

C:\ProgramData\RemotePC Performance Host => déplacé(es) avec succès
"C:\Program Files (x86)\RemotePC Host" => non trouvé(e)
"C:\Users\ODILE\AppData\Local\Host App Service" => non trouvé(e)

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10614870 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 3128488 B
Edge => 0 B
Chrome => 5924535 B
Firefox => 19122400 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 39600 B
NetworkService => 39600 B
defaultuser0 => 39600 B
ODILE => 2245676 B

RecycleBin => 95927930 B
EmptyTemp: => 130.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:08:19 ====

On dirait bien que c'est propre, non ?
Mille mercis.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Parisien_entraide »

Bonjour

Comme il est dit ici
https://www.malekal.com/arnaque-support ... c-support/
Le but final est de vous faire acheter des logiciels de nettoyage et de désinfection ou prendre des abonnements à la hotline.
Le faux technicien ne tentera pas d’installer des virus ni voler des données durant la phase de prise en main.
et
Le but de ces arnaques est de vous faire acheter des logiciels antivirus ou abonnement à des prix excessifs.
Ces derniers comme ont tendance au final à ralentir l’ordinateur.
Le technicien n’est pas là pour installer des virus/malwares, voler des mots de passe et compagnie.
Du reste il y a des stés bien établies en haut de la chaine, System1 et sa filiale, Privacy One Group, car PC Protect (qui était installé) c'est l autre nom de Total AV ou de ScanGuard
viewtopic.php?p=528503#p528503

Donc leur but c'est de perdurer et de se limiter à l'arnaque, et pas au vol de données

MAIS viennent se greffer là dessus d'autres parasites", minoritaires, dont le but est de gagner de l'argent le plus rapidement possible
Il récupèrent les données bancaires au moment du paiement et se dépêchent d'exploiter le filon car la malheureuse victime va vite avertir sa banque
Du reste derrière ce ne sont pas les mêmes (réseaux africains souvent établis en Belgique avec des relais familiaux, ou du maghreb)
Les stés créent pour l'occasion n'existent pas longtemps (Et c'est le problème pour les pister) et ce sont eux que l'on voit souvent dans les médias qui se font arrêter
Néanmoins derrière ces réseaux africains etc, on retrouve les mêmes commanditaires et pays, que dans les stés bien établies qui se limitent aux arnaques "classiques". Ils jouent sur tous les tableaux en fait et sont bien protégés

-------------------------------------

Concernant les nouveaux rapports

Je note un programme parasite (Il est installé d'office sur les ACER et LENOVO
(svchost.exe ->) (SweetLabs Inc -> SweetLabs, Inc) C:\Users\ODILE\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe

Ainsi que (Pourtant effacé dans le fix mais certains de ces parasites reviennent via des taches programmés
Task: {ADA37596-6F5B-45D4-BD1A-292D97BC7344} - System32\Tasks\RemotePC => C:\Program Files (x86)\RemotePC Host\RPCDownloader.exe [533928 2024-05-02] (IDrive, Inc. -> )


Je note un service "Dashlane"....(Gestionnaire de mots de passe)
Ce n'est pas qu'il soit mauvais, mais pour en tirer partie il faut passer par la version payante. (45 euros par an)
De plus depuis fin 2023, l'éditeur a limité le nombre de mots de passe dans la version gratuite à 25 et on ne peut plus en ajouter d'autres


Edit : Je me demande si tu as postés les "bons" nouveau rapports car je retrouve anydesk etc également ce n'est pas normal

Effaces les anciens rapports et refais un scan car là il y a un truc qui ne colle pas


Edit 2 : Angélique a été plus rapide que moi :) Donc appliquer le nouveau fix
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Attaque "classique" téléphonez urgent Windows cause virus

par angelique »

ça doit être ok , supprime comme cité précédemment frst64
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Czav
Messages : 7
Inscription : 25 mai 2024 12:56

Re: Attaque "classique" téléphonez urgent Windows cause virus

par Czav »

Voilà une bonne chose de faîte grâce à vous deux.
Je ne sais pas si j'y serai arrivé tout seul, en tout cas si rapidement.
Merci encore et bon dimanche.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »