Arnaque Pc Shield Privacy

[Astrix]

Bonjour à tous,

Décidemment, en parcourant le forum je vois que je ne suis pas le seul à poster un sujet sur cette arnaque. De plus, mon dernier post ici porté sur le même sujet.

Alors voilà, je vais essayer d'être le plus clair possible. La mère d'un de mes meilleurs ami m'a appelé en catastrophe après avoir cliqué soit sur une pub soit sur un lien d'un de ces mails.

Résultat, une pub s'est affiché et elle a appelé le numéro pour débloquer le PC. Elle a eu une hotline et ils se connectés au pc et ont installés PC shield privacy. Elle a commencé à écrire son numéro de carte bancaire, quand elle s'est rendu compte de la supercherie. Son fils par téléphone, lui a expliqué comment fermer le ou les processus en cours lié au programme afin de débloquer une partie du PC puis elle m'a appelé.

J'ai désinstallé hier après midi le programme en question mais sans passer par REVO. Ce matin en allumant le PC, j'ai vu dans la barre des taches à bas à droite "connexion wise" en attente de l'autorisation de l'hôte" j'ai fermé l'application en suivant mais je ne l'ai pas trouvé dans les programmes à désinstaller. Ensuite, j'ai fait un scan avec ESET, BIT DEFENDER mais ils n'ont rien trouvé.

Par contre adwcleaner m'a trouvé ceci mais je ne sais pas si il y a un rapport :

***** [ Preinstalled Software ] *****

Deleted Preinstalled.LenovoIMController Folder C:\ProgramData\LENOVO\IMCONTROLLER
Deleted Preinstalled.LenovoIMController Folder C:\Users\dufie\AppData\Local\LENOVO\IMCONTROLLER
Deleted Preinstalled.LenovoIMController Folder C:\Windows\System32\Tasks\LENOVO\IMCONTROLLER
Deleted Preinstalled.LenovoIMController Registry HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\Lenovo Dependency Package_is1
Needs Reboot Preinstalled.LenovoIMController Folder C:\Windows\LENOVO\IMCONTROLLER


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

***** Reboot Required to Complete *****


***** [ Folders ] *****

Cleaning failed C:\Windows\LENOVO\IMCONTROLLER

*************************

AdwCleaner[S00].txt - [1875 octets] - [30/05/2024 10:27:22]

Une dernière chose et je ne sais pas non plus si ç a a un lien mais, après avoir tapé le mot de passe de session j'ai une fenêtre blanche qui s'affiche pendant 5 secondes environ puis le bureau s'affiche, voir ci dessous :




Comme je sais que ce genre d'intervention doit être fait au cas par cas, je me permet de venir demander votre aide.

En vous remerciant,

[angelique]

Adwcleaner ça sert à rien, vire le.


Bonjour/Bonsoir,

• Télécharge sur ton Bureau pas ailleurs FRST64.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!! Par commodité
  
  -------------
• Exécute FRST64.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
  
  Le filtre SmartScreen de windows peut afficher une alerte.
  Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.
  
  ----------
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer tes rapports, et poste les liens dans ta prochaine réponse pour analyse.

[Astrix]

Merci Angélique,

Voici les 2 liens :

https://pjjoint.malekal.com/files.php?i ... 10i8e6x5g6

https://pjjoint.malekal.com/files.php?i ... 4k7r5v13s8

[angelique]

A désinstaller si ce n'est pas installé volontairement:

Bitdefender Agent (HKLM\...\Bitdefender Agent) (Version: 27.0.1.272 - Bitdefender)


Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire, ne touche à rien et accepte le redémarrage

Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Astrix]

Apparemment la désinstallation de bitdefender agent n'avait pas fonctionné.

Voici le script :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30.05.2024
Exécuté par dufie (30-05-2024 12:55:46) Run:1
Exécuté depuis C:\Users\dufie\Desktop
Profils chargés: dufie
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {258A1876-AB20-48F9-8CD6-10CBC779C251} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Pas de fichier <==== ATTENTION
Task: {AAC7BE6E-8B95-46F6-89E9-556BA803D74A} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Pas de fichier <==== ATTENTION
2024-05-30 10:26 - 2024-05-30 10:26 - 008790880 _____ (Malwarebytes) C:\Users\dufie\Downloads\adwcleaner.exe
2024-05-29 12:54 - 2024-05-29 12:54 - 000000000 ____D C:\Users\dufie\AppData\Local\PCPrivacyShield
2024-05-29 11:05 - 2024-05-29 11:05 - 014903080 _____ (ShieldApps) C:\Users\dufie\Downloads\PCPrivacyShieldSetup.exe
2024-05-29 11:05 - 2024-05-29 11:05 - 000000000 ____D C:\Users\dufie\AppData\Roaming\PC Privacy Shield
2024-05-29 10:55 - 2024-05-30 10:15 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_7508c06694c4a32e
2024-05-29 10:55 - 2024-05-29 10:55 - 000000000 ____D C:\Users\dufie\AppData\Local\Deployment
2024-05-29 10:55 - 2024-05-29 10:55 - 000000000 ____D C:\Users\dufie\AppData\Local\Apps\2.0
2024-05-29 10:54 - 2024-05-29 10:54 - 000086672 _____ C:\Users\dufie\Downloads\ConnectWiseControl.Client.exe
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{258A1876-AB20-48F9-8CD6-10CBC779C251}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{258A1876-AB20-48F9-8CD6-10CBC779C251}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AAC7BE6E-8B95-46F6-89E9-556BA803D74A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAC7BE6E-8B95-46F6-89E9-556BA803D74A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\ImController\Lenovo iM Controller Monitor" => supprimé(es) avec succès
C:\Users\dufie\Downloads\adwcleaner.exe => déplacé(es) avec succès

"C:\Users\dufie\AppData\Local\PCPrivacyShield" Dossier déplacer:

C:\Users\dufie\AppData\Local\PCPrivacyShield => déplacé(es) avec succès
C:\Users\dufie\Downloads\PCPrivacyShieldSetup.exe => déplacé(es) avec succès

"C:\Users\dufie\AppData\Roaming\PC Privacy Shield" Dossier déplacer:

C:\Users\dufie\AppData\Roaming\PC Privacy Shield => déplacé(es) avec succès

"C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_7508c06694c4a32e" Dossier déplacer:

C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_7508c06694c4a32e => déplacé(es) avec succès

"C:\Users\dufie\AppData\Local\Deployment" Dossier déplacer:

C:\Users\dufie\AppData\Local\Deployment => déplacé(es) avec succès

"C:\Users\dufie\AppData\Local\Apps\2.0" Dossier déplacer:

C:\Users\dufie\AppData\Local\Apps\2.0 => déplacé(es) avec succès
C:\Users\dufie\Downloads\ConnectWiseControl.Client.exe => déplacé(es) avec succès

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20199987 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 21744070 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 7674 B
NetworkService => 200740 B
dufie => 373231432 B
defaultuser100000 => 373242184 B
defaultuser100000.LAPTOP-CSL13B6R => 373341909 B
defaultuser100000.LAPTOP-CSL13B6R.000 => 373351125 B

RecycleBin => 49236537 B
EmptyTemp: => 1.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 12:56:32 ====

[Parisien_entraide]

Bonjour

Angélique le confirmera mais c'est OK


Sinon normalement BitDefender Agent se désinstalle


Par précaution, réinitialise les navigateurs, change les mots de passe (voir ci dessous) ils ont pu être volés




QUE FAIRE APRES UNE INFECTION ou SUSPICION et par PRECAUTION ? - QUE FAIRE POUR SECURISER ?


De manière globale
A lire : que faire après une attaque de virus informatique.




Réinitialiser les navigateurs Après désinfection ou suspicion
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

Protéger les navigateurs

Cela traite de Firefox mais on peut retrouver les memes extensions sur Chrome
Par contre du fait du fonctionnement de Chrome, une extension comme Ublock Origin sera nettement moins efficace sur Chrome/Chromium que sur Firefox surtout avec le manifestV3
Donc le minimum est d'installer Ublock Origin
Dans le lien tu trouveras les articles du site pour encore aller plus loin dans les réglages de Ublock
viewtopic.php?p=527443/





Concernant les mots de passe
==================================

CHANGER LES MOTS DE PASSE

Ne pas stocker les login mot de passe dans le navigateur. Un simple script permet de les récupérer

Par sécurité changer les mots de passes d'utiliser un gestionnaire de mots de passe
https://www.malekal.com/keepassxc-le-ge ... piratages/

Activer la double authentification si le site ou service web le permet
https://www.malekal.com/la-double-authe ... ca-marche/



Sinon se rappeler que l'antivirus n'est qu'une brique dans la sécurité du PC


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?




MIEUX SECURISER

On peux améliorer les protections et sécurité de Windows en suivant ces indications et là pas besoin d'un antivirus tiers ou de programmes tiers payants

De base je conseille hardentools (cité plus bas) et les scripts proposés par Malekal (dont pour le firewall)


Securiser son PC (l'usage d'OS Armor n'est pas obligatoire tout comme Comodo Firewall)
https://www.malekal.com/securiser-pc-windows-10/

On peut très bien régler/affiner Windows defender
viewtopic.php?t=65877

ou avec le petit dernier avec son interface plus "lisible
DefenderUI : Interface pour gérer Windows Defender
https://www.malekal.com/defenderui-inte ... -defender/



Le tout combiné avec (pour le firewall)
https://www.malekal.com/windows-firewal ... -defender/
et
Firewall les bons réglages avec un script prêt à l'emploi
https://www.malekal.com/firewall-window ... n-reglages

Et des blocages de scripts avec hardentools
https://www.malekal.com/hardentools-securiser-windows/
et compléments viewtopic.php?t=60030

Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
Cela fait double emploi avec ce que fait hardentools pour powershell, mais il y a 2 scripts sous forme de .reg bien utiles

Je conseille d'avoir les 2.reg à portée de main, cela évite de relancer Hardentools pour réactiver PowerShell en cas de besoin (99% des utilisateurs n'en n'ont pas besoin, c'est juste "au cas où")

Là tu as tout ce qu'il faut pour te protéger (même avec un .pdf vérolé en phishing ou avec un script foireux via powershell)

[Astrix]

Bonjour,

Oui bitdefender s'est bien désinstallé. On lui a déjà dit de changer ses mots de passe, elle a également prévenu sa banque pour faire opposition à sa carte et certainement changer de compte bancaire aussi.

Je vais prendre le temps de sécuriser un peu mieux son PC avec les informations que tu m'a laissé.

Merci à Angélique et à toi Parisien_entraide

[Parisien_entraide]

Pas la peine de changer de compte (surtout qu'il faut tout changer ensuite avec les prélèvements etc c'est une plaie), le changement de carte suffit, (et visiblement cela n'a pas été jusqu'au bout) et surveiller les transactions