Victime de prise de contrôle à distance

[Doezer]

Bonjour,

Ce n'est peut-être pas lié, mais ce matin j'ai cliqué sur un lien de téléchargement qui m'a amené vers une fausse page avec une popup disant "Votre PC est bloqué". Je n'y ai pas prêté attention et j'ai fermé l'onglet car ça arrive parfois, sans que cela soit vraiment dangereux.

Problème, quelques minutes plus tard, je lâche la souris de mon PC et je la vois descendre tout seul vers la barre des tâches. Je la reprends mais quelques secondes plus tard, c'est reparti et elle bouge dans un autre sens.
Dans la panique je désactive ma carte réseau et je n'ai plus eu de souci.

J'ai analysé le PC avec Malwarebytes Anti-Malware (MBAM) (pas à jour) qui n'a rien trouvé. J'ai aussi 3 rapports Hijackthis, OLT et ZHPDiag :
http://pjjoint.malekal.com/files.php?id ... 2e13l13i12
http://pjjoint.malekal.com/files.php?id ... 12y15u12q8
http://pjjoint.malekal.com/files.php?id ... 8t6i9s9b11
Shortcut : http://pjjoint.malekal.com/files.php?id ... s5u13f8g13
FRST : http://pjjoint.malekal.com/files.php?id ... 7u5m13h9o8
Additions : http://pjjoint.malekal.com/files.php?id ... 15b11e9o10

J'ai utilisé le service d'analyse de pijoint mais je n'ai rien trouvé qui me semble suspicieux.

J'ai aussi lancé une analyse avec Windows Defender (je suis sous Windows 10)

Merci de votre aide

Edit : je rajoute le lien sur lequel je suis allé ce matin et le lien vers lequel j'ai été redirigé (mdp : liens)
http://pjjoint.malekal.com/files.php?id ... m14j5m6l15

[Malekal_morte]

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Les techniciens ne volent pas de données et n'installent pas de logiciciels malveillants, le but est vraiment de faire de la vente forcée en installant des logiciels de nettoyages Windows peu fiable ou des antivirus.

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus : https://www.internet-signalement.gouv.f ... put.action

2/ Rappel les et menace les de porter plainte
demande à être rembourser.

3/ Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

~~

OTL est dépassé, pour vérifier ton ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Doezer]

Bonjour et merci,
j'ai rajouté les liens FRST dans le post original.
Par contre je n'ai rien fait sur le site en question, j'ai directement fermé l'onglet, donc rien d'installé ou autre. Mais la souris qui bouge d'une façon humaine c'est assez douteux, donc j'imagine qu'il y a quand même quelque chose d'installé qui conduit à cela.
Shortcut : http://pjjoint.malekal.com/files.php?id ... s5u13f8g13
FRST : http://pjjoint.malekal.com/files.php?id ... 7u5m13h9o8
Additions : http://pjjoint.malekal.com/files.php?id ... 15b11e9o10

[Malekal_morte]

Pas infecté,
Change tes mots de passe en cas de doute,

Teamviewer est installé, mais je pense que c'est antérieur à cette prise en main.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2015-01-23 20:08 - 2015-01-23 20:08 - 0000038 ___SH () C:\Users\Vincent\AppData\Local\69ff07055291669bb2b218.72821112 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[Doezer]

Voilà (je redémarre maintenant) :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par Vincent (13-05-2017 13:57:35) Run:1
Exécuté depuis D:\Vincent\Bureau
Profils chargés: Vincent (Profils disponibles: Vincent & test)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2015-01-23 20:08 - 2015-01-23 20:08 - 0000038 ___SH () C:\Users\Vincent\AppData\Local\69ff07055291669bb2b218.72821112
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Vincent\AppData\Local\69ff07055291669bb2b218.72821112 => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3182398265-2260872914-1735228022-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3182398265-2260872914-1735228022-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 4017647 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 382563607 B
Java, Flash, Steam htmlcache => 490172316 B
Windows/system/drivers => 139527710 B
Edge => 2937255 B
Chrome => 567511635 B
Firefox => 378470149 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 635740 B
NetworkService => 1278454 B
Vincent => 12313047428 B
test => 37247 B

RecycleBin => 81664 B
EmptyTemp: => 13.3 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 13:59:55 ====

[Malekal_morte]

voila, rien à ajouter =)