Faux support windows et contrôle a distance [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

ludok
Messages : 5
Inscription : 29 avr. 2023 02:23

Faux support windows et contrôle a distance [Résolu]

par ludok »

Bonjour
Ma mere a été victime d'un faux support windows. Heureusement elle a sentie l'arnaque mais ils ont quand meme installé any desk et ConnectWise Control.client. j'ai aussi un dll gcapi dans le dossier téléchargements.
J'ai fait un rapport frst. Je pense avoir supprimé les traces de leurs passage mais si quelqu'un pouvait regarder ca de plus près.
Merci

Frst :
https://pjjoint.malekal.com/files.php?i ... x5z14l9f14
https://pjjoint.malekal.com/files.php?i ... s10o14d5h8
Avatar de l’utilisateur
Parisien_entraide
Messages : 20268
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Faux support windows et contrôle a distance

par Parisien_entraide »

Bonjour

Malekal ou Angélique te diront ce qu'il en est, mais de toutes les façons à la base le but est de faire acheter, au mieux, et au pire, acheter et/ou voler les identifiants de carte bleue, pas d'installer un ransomware par ex

Au passage on voit que ce n'est pas ta mère qui a installé les programmes sur ce PC , mais toi probablement

Bitdefender
Dashlane
Acronis
Thunerbird
etc

A noter qu'il y a des traces de de MBAM, installé en tant que service, dans les pilotes.. Cela fait trop avec Bitdefender, surtout si installé fraichement en période d'essai (le Bouclier temps réel peut entrer en conflit avec Bitdefender)
Il peut etre gardé en tant que scanner mais cela fait un service qui tourne en arrière plan
En fait faut utiliser et virer, car MBAM se prend pour un antivirus qu'il n'est pas (c'est un anti malware avec quelques capacités antivirus), même si pour certaines infections il peut faire mieux que certains AV pour des ciblages particuliers

Par contre je conseille de virer Ghostery, et AdBlock Plus et de mettre à la place Ublock Origin
viewtopic.php?p=527443/

Lire ce qui concerne AdBlock Plus
viewtopic.php?p=528497#p528497


Au passage, je note le moteur de recherche ECOSIA...
Pour fonctionner, il fait du tracking publicitaire, mais les ad blockers neutralisent ce pour quoi il a été conçu.
Il est sur Edge, qui a ses protections, sans compter Bitdefender
Donc au final il ne sert à rien . et il est dangereux de ne pas installer un ad blocker de nos jours



Un peu de lecture (il s'agit d'un message générique) et il ne faut pas hésiter à signaler

_____
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur : Image
Image

2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
ludok
Messages : 5
Inscription : 29 avr. 2023 02:23

Re: Faux support windows et contrôle a distance

par ludok »

Salut, merci pour cette première réponse, je vais regarder tout ca.
3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliqua
    nt sur la colonne.
    Désinstalle tous les logiciels qui ont été installés le jour de la prise en main
    Au sujet du 3eme point aucun logiciel n'a été installé ce jours la. Mais avec l'outil frst j'ai retrouvé des traces de any desk et ConnectWise clients que j'ai supprimé
    2023-04-27 17:49 - 2023-04-27 18:02 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_8ffb5a66debf24d3
    2023-04-27 17:48 - 2023-04-27 17:49 - 000000000 ____D C:\Users\linem\AppData\Local\Deployment
    2023-04-27 17:48 - 2023-04-27 17:48 - 000000000 ____D C:\Users\linem\AppData\Local\Apps\2.0
    2023-04-27 17:44 - 2023-04-27 17:44 - 000000000 ____D C:\Users\linem\AppData\Roaming\AnyDesk
    Avatar de l’utilisateur
    Parisien_entraide
    Messages : 20268
    Inscription : 02 juin 2012 20:48
    Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

    Re: Faux support windows et contrôle a distance

    par Parisien_entraide »

    Oui j'avais noté les traces des habituels programmes, mais c'est vraiment tronqué le nom de ce fichier ou si c'est seulement visuel via le rapport ?


    " scre..tion_2c2536e5112611c9_0006.0003_8ffb5a66debf24d3

    Pour le reste (infection et autres ) Malekal ou Angélique te diront ce qu'il en est
    - Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
    - « Un problème sans solution est un problème mal posé. » (Albert Einstein)
    - « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
    - Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
    - Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
    - Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
    Avatar de l’utilisateur
    angelique
    Messages : 32263
    Inscription : 28 févr. 2008 13:58
    Localisation : Breizhilienne

    Re: Faux support windows et contrôle a distance

    par angelique »

    Rien à rajouter, sauf qu'ils ont souvent tendances à piquer les identifiants et mots de passes préenregistrés dans le navigateur(chose à ne pas faire).
    Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
    https://helicium.altervista.org/
    Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
    Un p'tit Don à Angélique PDT_018 Merci.
    Image
    ludok
    Messages : 5
    Inscription : 29 avr. 2023 02:23

    Re: Faux support windows et contrôle a distance

    par ludok »

    Parisien_entraide a écrit : 29 avr. 2023 15:25 Oui j'avais noté les traces des habituels programmes, mais c'est vraiment tronqué le nom de ce fichier ou si c'est seulement visuel via le rapport ?


    " scre..tion_2c2536e5112611c9_0006.0003_8ffb5a66debf24d3

    Pour le reste (infection et autres ) Malekal ou Angélique te diront ce qu'il en est
    Non il est comme ca meme dans l'explorateur de fichier
    ludok
    Messages : 5
    Inscription : 29 avr. 2023 02:23

    Re: Faux support windows et contrôle a distance

    par ludok »

    Bonjour
    Au passage, je note le moteur de recherche ECOSIA...
    Pour fonctionner, il fait du tracking publicitaire, mais les ad blockers neutralisent ce pour quoi il a été conçu.
    Il est sur Edge, qui a ses protections, sans compter Bitdefender
    Donc au final il ne sert à rien . et il est dangereux de ne pas installer un ad blocker de nos jours
    Je n'ai pas trouvé trace de ecosia sur edge et il n'est de toute façon jamais utilisé
    A noter qu'il y a des traces de de MBAM, installé en tant que service, dans les pilotes..
    Il n'est plus actif en arrière plan depuis longtemps et est juste la comme simple anti malware occasionnel.
    Par contre je conseille de virer Ghostery, et AdBlock Plus et de mettre à la place Ublock Origin
    J'ai suivie ce conseil
    Rien à rajouter, sauf qu'ils ont souvent tendances à piquer les identifiants et mots de passes préenregistrés dans le navigateur(chose à ne pas faire
    Pour ca j'ai bien essayé de lui mettre Dashlane ou bitwarden pour enregistrer les mot de passe mais bon
    En tout cas j'ai changé les mots de passe des adresses mail.

    Merci
    Avatar de l’utilisateur
    Parisien_entraide
    Messages : 20268
    Inscription : 02 juin 2012 20:48
    Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

    Re: Faux support windows et contrôle a distance

    par Parisien_entraide »

    Bonsoir

    Vu que tu as changé les mots de passe, normalement le dernier risque est écarté (Néanmoins tu ne parles que du mail, il n'y avait pas de sites ?)

    Quant aux programmes de gestion de mots de passe, il est vrai que cela demande des manipulations, et pour certains ce n'est pas toujours simple à mettre en oeuvre (sans compter les sites récalcitrants)
    - Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
    - « Un problème sans solution est un problème mal posé. » (Albert Einstein)
    - « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
    - Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
    - Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
    - Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
    • Sujets similaires
      Réponses
      Vues
      Dernier message

    Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »