Escroquerie - ransomware

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
DanyV
Messages : 4
Inscription : 18 mai 2021 11:04

Escroquerie - ransomware

par DanyV »

Bonjour,
Hier, ma belle-mère a une alerte dans une fenêtre pop-up lui disant d'appeler un numéro de téléphone si elle ne voulait pas perdre toutes ses données.
Elle a appelé, a donné son numéro de carte bleue, s'est fait allégée de 300 euros.
Puis, on lui a dit qu'un technicien allait intervenir sur son PC à distance pour améliorer la protection de son ordinateur.
Un "technicien" a donc fait des modifications sur son ordinateur pendant une heure...
Quand j'ai su cela, je lui ai fait faire opposition et je viens immédiatement ici demander votre précieuse aide afin de vérifier ce qui a réellement été installé sur son PC.
Merci d'avance pour votre aide et votre marche à suivre.
Bonne journée,
DanyV
Avatar de l’utilisateur
Parisien_entraide
Messages : 8862
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Escroquerie - ransomware

par Parisien_entraide »

Bonjour,


Tu as tous les détails et marche à suivre dans ce lien d'arnaque de support téléphonique

Ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc).

Lire ces dossiers pour bien comprendre et avoir des exemples.

- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Ta belle-mère a appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur : Image
Image

2/ Rappeler la société, les menacer de porter plainte, demander à être remboursé, tu as 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.

Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel) (visiblement c'est fait)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
DanyV
Messages : 4
Inscription : 18 mai 2021 11:04

Re: Escroquerie - ransomware

par DanyV »

Merci pour votre réponse rapide !

Voici les logiciels installés hier :
- Adblock Plus pour IE
- Watchdog Anti-Malware
- WebAdvisor par McAfee

Du coup, il s'agirait "juste" de vente forcée ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 8862
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Escroquerie - ransomware

par Parisien_entraide »

Pour la réponse à "vente forcée"... Tu n'a pas tout lu des liens indiqués :-)


""Watchdog Antimalware" peut peut etre poser problème (il se lance au démarrage du PC normalement)
C'est ce programme qui est un faux scanner de virus en ligne, qui indique que tu es infecté
Le reste est à virer (Avec Revo Uninstaller par ex pour aller au plus profond) https://www.malekal.com/revo-uninstalle ... acilement/

Il y a une méthode pour éradiquer cela, mais Malekal ou Angélique (helpeurs du forum) te donneront un "fix" à appliquer si besoin est

Pour cela


La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
DanyV
Messages : 4
Inscription : 18 mai 2021 11:04

Re: Escroquerie - ransomware

par DanyV »

Merci pour tous les liens, nous prendrons le temps de les lire ma belle-mère et moi pour en apprendre plus concernant ces pratiques détestables !

Voici les trois rapports FRST :
FRST.txt -> https://pjjoint.malekal.com/files.php?i ... 6i9j6q5n13
Addition.txt -> https://pjjoint.malekal.com/files.php?i ... 10m14r9r15
Shortcut.txt -> https://pjjoint.malekal.com/files.php?i ... 10c8g9t6l7

Merci d'avance pour votre retour !
Avatar de l’utilisateur
Parisien_entraide
Messages : 8862
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Escroquerie - ransomware

par Parisien_entraide »

Ah tiens on voit bien que le faux antimalware a été construit sur la base de Zemana software (un anti malware sans intéret)
https://www.malekal.com/meilleurs-antim ... s_a_eviter

du fait de la trace : ZAM.krnl.trace
Et l'analyse indique bien une bonne implémentation de ce faux anti malware

INDICATIONS (mais tu ne touche à rien avant intervention de Malekal ou Angélique)


Mcafee : Boaf.. En plus inutile sous Win10, Windows Defender peut prendre relais
Ce dernier est actif dans le centre de sécurité mais pas McAfee qui en plus est en erreur dans le journal des évènements et figure dans les navigateurs avec ses modules annexes


Bitdefender : On trouve une trace d'installation et un pilote actif(?)
En lien peut etre avec la solution de sécurité de Darty lors de l'achat on trouve dans le centre de sécurité un "F Secure" mais en mode désactivé (pas de traces visibles de F secure)




Ce que tu peux faire en attendant l'intervention

Tu peux soumettre à Virus Total
https://www.malekal.com/virustotal-anal ... antivirus/

Le fichier MirkatService.exe ?
C:\Users\danyc\AppData\Local\Microsoft\WindowsApps\MirkatService.exe

Je le vois souvent sur les PC Lenovo et sa fonction n'a jamais été claire


APRES DESINFECTION

Outre les lectures déjà indiquées ;:

https://www.malekal.com/securiser-pc-windows-10/

dont la partie de protection des navigateurs.. Là suivant les rapports il n'y a meme pas un Ublock Origin (le Ad Block installé ne fait pas tout)
https://www.malekal.com/securiser-pc-wi ... lveillants

Actuellement ta belle mère navigue nue ou presque sur internet. Ce n 'est pas conseillé (en plus avec Ublock Origin les pages internet s'afficheront plus vite d'environ 30% en moyenne)

Sans aller jusqu'à un OS armor comme indiqué dans le tuto de sécurisation etc il est possible de passer par https://www.malekal.com/hardentools-securiser-windows/ (plus facile à prendre en main je pense)


Accessoirement et sans lien avec ce qui précède :
Il ne serait pas inutile de passer à 8 Go de Ram, le PC s'en trouverait plus réactif car là c'est limite

Pourcentage de mémoire utilisée: 92%
Mémoire physique - RAM - totale: 3976.24 MB
Mémoire physique - RAM - disponible: 308 MB
Mémoire virtuelle totale: 8328.24 MB
Mémoire virtuelle disponible: 2879.76 MB
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
angelique
Messages : 30946
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Escroquerie - ransomware

par angelique »

Bonjour/Bonsoir

Désisntalle via exécuter : appwiz.cpl

- Adblock Plus pour IE
- Watchdog Anti-Malware
- WebAdvisor par McAfee



Image Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------

Puis Menu démarrer / Paramètres / Mises à jour et sécurité

sélectionne télécharger et installer la mise à jour 20H2

et dans mises à jour facultatives / coche tout / télécharger et installer


--------

Puis au redémarrage, télécharge, installe https://download.lenovo.com/pccbbs/thin ... 7.0118.exe

une fois installé, va le chercher dans le menu démarrer, exécute le clic droit exécuter en tant qu'administrateur, suis les instructions et sélectionne et installe toutes les mises à jour (si PC portable, qu'il soit en charge en cas de maj BIOS!!!!!!!)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
DanyV
Messages : 4
Inscription : 18 mai 2021 11:04

Re: Escroquerie - ransomware

par DanyV »

Bonjour Angelique,
Merci pour cette réponse et pour l'aide !
Désolé pour le temps de réponse, mais je ne suis pas tout le temps chez ma belle-mère :)

Je ne trouve pas le programme appwiz.cpl
J'ai supprimé Adblock, Watchdog et WebAdvisor.

J'ai installé la mise à jour 21H1 (donc j'imagine que la 20H2 était déjà passée). Il n'y avait rien d'autres dans les maj.

Et voici le contenu du Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-05-2021 01
Exécuté par danyc (30-05-2021 15:00:01) Run:1
Exécuté depuis C:\Users\danyc\OneDrive\Bureau
Profils chargés: danyc
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
ContextMenuHandlers1: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Watchdog Anti-Malware\AM_ShellExt64.dll [2021-04-07] (WatchDogDevelopment.com, LLC -> Advanced Malware Protection. Copyright 2018.)
ContextMenuHandlers1: [4.0 Watchdog Anti-Malware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Watchdog Anti-Malware\AM_ShellExt64.dll [2021-04-07] (WatchDogDevelopment.com, LLC -> Advanced Malware Protection. Copyright 2018.)
ContextMenuHandlers6: [2.0 Zemana AntiMalware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Watchdog Anti-Malware\AM_ShellExt64.dll [2021-04-07] (WatchDogDevelopment.com, LLC -> Advanced Malware Protection. Copyright 2018.)
ContextMenuHandlers6: [4.0 Watchdog Anti-Malware] -> {6ABB1C11-E261-4CEA-BBB5-3836225689DD} => C:\Program Files (x86)\Watchdog Anti-Malware\AM_ShellExt64.dll [2021-04-07] (WatchDogDevelopment.com, LLC -> Advanced Malware Protection. Copyright 2018.)
Toolbar: HKLM - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll Pas de fichier
Toolbar: HKLM-x32 - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll Pas de fichier
BHO-x32: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => Pas de fichier
BHO: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => Pas de fichier
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2021-05-14] (McAfee, LLC -> McAfee, LLC)
BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2021-05-14] (McAfee, LLC -> McAfee, LLC)
BHO-x32: Adblock Plus for IE Browser Helper Object -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files\Adblock Plus for IE\AdblockPlus32.dll [2017-01-03] (Eyeo GmbH -> Eyeo GmbH)
HKLM\...\Run: [CL-24-2C2E0135-9A04-4548-AE46-304DCABA54BA] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-24-2C2E0135-9A04-4548-AE46-304DCABA54BA\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-24-2C2E0135-9A04-4548-AE46-304DCAB (l'élément de données a 7 caractères en plus).
CHR Extension: (McAfee® WebAdvisor) - C:\Users\danyc\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2021-05-18]
2021-05-17 11:16 - 2021-05-17 11:16 - 000000000 ____D C:\Users\danyc\AppData\Roaming\supportdotcom
2021-05-17 11:16 - 2021-05-17 11:16 - 000000000 ____D C:\Users\danyc\AppData\Local\SPRT
2021-05-17 11:15 - 2021-05-17 11:15 - 002938944 _____ C:\Users\danyc\Downloads\connect_398168.exe
2021-05-17 11:15 - 2021-05-17 11:15 - 000000000 ____D C:\Program Files (x86)\supportdotcom
S3 BDVEDISK; C:\WINDOWS\system32\DRIVERS\bdvedisk.sys [96616 2020-04-27] (Bitdefender SRL -> BitDefender)
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware => supprimé(es) avec succès
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\4.0 Watchdog Anti-Malware => non trouvé(e)
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\2.0 Zemana AntiMalware => supprimé(es) avec succès
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\4.0 Watchdog Anti-Malware => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => supprimé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} => non trouvé(e)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} => non trouvé(e)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFCB3198-32F3-4E8B-9539-4324694ED664} => non trouvé(e)
HKLM\Software\Wow6432Node\Classes\CLSID\{FFCB3198-32F3-4E8B-9539-4324694ED664} => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\CL-24-2C2E0135-9A04-4548-AE46-304DCABA54BA" => supprimé(es) avec succès
CHR Extension: (McAfee® WebAdvisor) - C:\Users\danyc\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2021-05-18] => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\Users\danyc\AppData\Roaming\supportdotcom => déplacé(es) avec succès
C:\Users\danyc\AppData\Local\SPRT => déplacé(es) avec succès
C:\Users\danyc\Downloads\connect_398168.exe => déplacé(es) avec succès
C:\Program Files (x86)\supportdotcom => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\BDVEDISK => supprimé(es) avec succès
BDVEDISK => service supprimé(es) avec succès

========= Powershell: =========


Outil Gestion et maintenance des images de déploiement
Version : 10.0.19041.844

Version de l'image : 10.0.19041.985


[==========================100.0%==========================]
La restauration a été effectuée.
L'opération a réussi.



D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .


L a v Ú r i f i c a t i o n e s t Ó 1 0 0 % t e r m i n Ú e .


L a P r o t e c t i o n d e s r e s s o u r c e s W i n d o w s a d Ú t e c t Ú d e s f i c h i e r s c o r r o m p u s e t l e s a r Ú p a r Ú s .


P o u r l e s r Ú p a r a t i o n s e n l i g n e , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l d e C B S s i t u Ú Ó l ' e m p l a c e m e n t s u i v a n t á :


w i n d i r \ L o g s \ C B S \ C B S . l o g . E x e m p l e á : C : \ W i n d o w s \ L o g s \ C B S \ C B S . l o g . P o u r l e s r Ú p a r a t i o n s

h o r s c o n n e x i o n , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l f o u r n i p a r l ' i n d i c a t e u r / O F F L O G F I L E .

========= Fin de Powershell: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 172621298 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 9718164 B
Edge => 3737455 B
Chrome => 245220496 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 57456 B
NetworkService => 6398824 B
danyc => 96985914 B

RecycleBin => 8690369160 B
EmptyTemp: => 8.6 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 15:11:54 ====
Avatar de l’utilisateur
angelique
Messages : 30946
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Escroquerie - ransomware

par angelique »

Supprime les rapports frst, et C:\FRST

Tu as fais aussi les maj systemupdate de Lenovo ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »