Aide nettoyage virus après faux dépannage à distance

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Arrockant
Messages : 3
Inscription : 13 juil. 2023 11:59

Aide nettoyage virus après faux dépannage à distance

par Arrockant »

Bonjour,

Un de mes proches vient se subir une arnaque par téléphone où un faux technicien informatique a pris le contrôle de son ordinateur soit disant bloqué, puis installé un antivirus pour la modique somme de 300€. Je cherche dans un premier temps à m'assurer que l'ordinateur est totalement désinfecté avant de commencer les procédures de changement de mots de passe et de démarches légales.

J'ai effectué une analyse FRST dont vous trouverez les résultats ici :
FRST.txt : https://pastebin.com/6Vb3E7XT
Addition.txt : https://pastebin.com/eS7vn2ct
Shortcut.txt : https://pastebin.com/1RbykZWs

Je ne sais pas comment interpréter ces rapports, pouvez-vous m'éclairer sur la marche à suivre ? Lors de l'intervention du faux technicien il semblerait que celui-ci ait installé Avast ainsi que Revo Uninstalleret qu'il ait pu prendre la main sur l'ordinateur grâce à ConnectWiseControl.

Merci d'avance pour votre aide,

Arrockant
Avatar de l’utilisateur
Parisien_entraide
Messages : 20773
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Aide nettoyage virus après faux dépannage à distance

par Parisien_entraide »

Bonjour

Malekal ou Angélique (50 ans d'expérience :-) te diront ce qu'il en est



Mais les rapports (même si lisibles) sont à poster sur
https://pjjoint.malekal.com/


Ensuite il faut éviter de donner à son ordinateur, le nom ou prénom de l'utilisateur/utilisatrice
La, le prénom, usuel à une certaine époque, indique la tranche d'âge de la personne et peut la désigner en tant que cible pour des arnaques



A lire :;Il s agit d'un message générique pour te faire patienter

_________

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur : Image
Image

2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Arrockant
Messages : 3
Inscription : 13 juil. 2023 11:59

Re: Aide nettoyage virus après faux dépannage à distance

par Arrockant »

Merci pour ta réponse.
Parisien_entraide a écrit : 13 juil. 2023 12:48 Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.
J'avais effectivement lu la page du site à propos de ce type d'arnaque, c'est déjà une bonne nouvelle si l'ordinateur n'est pas infecté. Mais on n'est jamais trop prudent, je préfèrerais m'en assurer.

Parisien_entraide a écrit : 13 juil. 2023 12:48 Ensuite il faut éviter de donner à son ordinateur, le nom ou prénom de l'utilisateur/utilisatrice
La, le prénom, usuel à une certaine époque, indique la tranche d'âge de la personne et peut la désigner en tant que cible pour des arnaques
C'est bien vu ! Après ça parait quand-même bizarre de ne pas donner son nom à la session utilisateur.

Parisien_entraide a écrit : 13 juil. 2023 12:48 Mais les rapports (même si lisibles) sont à poster sur
https://pjjoint.malekal.com/
J'ai posté les rapports sur pastebin car pjjoint.malekal.com semble mal fonctionner chez moi. Voici les liens au cas où :
FRST.txt : https://pjjoint.malekal.com/files.php?i ... _9x8y11e69
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 9u9l5s10r7
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... w12n7i13r8
Avatar de l’utilisateur
angelique
Messages : 32286
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Aide nettoyage virus après faux dépannage à distance

par angelique »

Bonjour/Bonsoir

CCleaner (HKLM\...\CCleaner) (Version: 6.13 - Piriform) pas utile , privilégier ce qui est natif à Windows ➮ https://www.malekal.com/cleanmgr-nettoy ... ce-disque/



Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Arrockant
Messages : 3
Inscription : 13 juil. 2023 11:59

Re: Aide nettoyage virus après faux dépannage à distance

par Arrockant »

Bonsoir,

Merci pour le fix. Voici le contenu du Fixlog.txt :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-07-2023
Exécuté par Josette (13-07-2023 20:37:22) Run:1
Exécuté depuis F:\Josette\Downloads
Profils chargés: Josette
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKU\S-1-5-21-3458725813-2635902145-448892638-1002\...\StartupApproved\Run: => "PCPrivacyShield2020"
Task: {1BCC53CF-FE23-46A5-B81C-5FCE6B3BDF23} - System32\Tasks\OneDrive Standalone Update Task v2 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Pas de fichier)
R2 ScreenConnect Client (c5fe6e08-da02-4b7a-a911-7cb12843310e); C:\Users\Josette\AppData\Local\Apps\2.0\RQ2M6Q9W.VOK\X5GLVAN6.Q58\scre..tion_2c2536e5112611c9_0006.0003_6a29a996530af03e\ScreenConnect.ClientService.exe [90768 2023-07-12] (ScreenConnect Software -> )
U3 aspnet_state; pas de ImagePath
2023-07-12 19:19 - 2023-07-13 11:33 - 000000000 ____D C:\ProgramData\Avast Software
C:\Users\Josette\AppData\Local\Apps\2.0\RQ2M6Q9W.VOK
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R 
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R 
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R 
Hosts:
StartPowershell:
sfc /scannow
EndPowershell:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
"HKU\S-1-5-21-3458725813-2635902145-448892638-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\PCPrivacyShield2020" => supprimé(es) avec succès
"HKU\S-1-5-21-3458725813-2635902145-448892638-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\PCPrivacyShield2020" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1BCC53CF-FE23-46A5-B81C-5FCE6B3BDF23}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BCC53CF-FE23-46A5-B81C-5FCE6B3BDF23}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task v2 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Standalone Update Task v2" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ScreenConnect Client (c5fe6e08-da02-4b7a-a911-7cb12843310e) => supprimé(es) avec succès
ScreenConnect Client (c5fe6e08-da02-4b7a-a911-7cb12843310e) => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\aspnet_state => supprimé(es) avec succès
aspnet_state => service supprimé(es) avec succès
C:\ProgramData\Avast Software => déplacé(es) avec succès
C:\Users\Josette\AppData\Local\Apps\2.0\RQ2M6Q9W.VOK => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 2

========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= Powershell: =========


 
 
 D Ú b u t   d e   l  a n a l y s e   d u   s y s t Þ m e .   C e t t e   o p Ú r a t i o n   p e u t   n Ú c e s s i t e r   u n   c e r t a i n   t e m p s . 
 
 
 
 
 
 
 
 U n e   r Ú p a r a t i o n   s y s t Þ m e   e n   a t t e n t e   n Ú c e s s i t e   l a   f i n   d u   r e d Ú m a r r a g e .   R e d Ú m a r r e z 
 
 
 W i n d o w s   e t   e x Ú c u t e z   d e   n o u v e a u   s f c . 
 
 
 

========= Fin de Powershell: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1572864 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 68766237 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 48191510 B
Edge => 0 B
Chrome => 5983945 B
Firefox => 317675951 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 121132 B
NetworkService => 187670046 B
Josette => 278594479 B

RecycleBin => 318240570 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 20:41:31 ====
Avatar de l’utilisateur
angelique
Messages : 32286
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Aide nettoyage virus après faux dépannage à distance

par angelique »

C'est OK

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »