Ransonware go.depannageordi.com et CPU Guardian

[grtx]

Bonjour,

J'ai un problème avec le PC d'un proche, qui a les logiciels malveillants CPU Guardian et Privacy Protect d'installés.

Il a malheureusement été victime d'une arnaque type Ransonware, et a payé 100 euros pour obtenir le "déblocage" de son ordinateur. Le site fenêtre de ce Ransonware est http://go.depannageordi.com/ (Attention, arnaque).

J'ai lancé des analyses avec Malwarebytes Anti-Malware (MBAM) qui a mis des fichiers en quarantaine, mais impossible de désinstaller ces logiciels complètement, ils apparaissent dans la barre Démarrer.

Je crains que le PC ne soit toujours infecté et qu'il ne soit pas sécurisé.

J'ai trouvé votre forum en effectuant quelques recherches, et bien qu'ayant trouvé des posts traitant déjà de sujet similaire, j'ai l'impression que le rapport qui est rendu à chaque fois diffère en fonction des analyses FRST ; je préfère donc ouvrir un nouveau topic.

Voici donc les analyses lancées à l'instant.

Shortcut.Txt : https://pjjoint.malekal.com/files.php?i ... 0d5g8e5c14
Addition : https://pjjoint.malekal.com/files.php?i ... 6k11p12f15
FRST : https://pjjoint.malekal.com/files.php?i ... 12y13w14h8

Merci d'avance pour votre aide.

[Malekal_morte]

Salut,


Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur :

• Portail Pharos
• reporter l'arnaque à Microsoft

2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique


~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 Task: {EDFE6CBA-4B76-435A-97CA-1A72A1E0666D} - \CPUGuardian_Popup -> Pas de fichier <==== ATTENTION
Task: {EE6351EF-2731-4A0F-A3BE-CC551AA9D00A} - \CPUGuardian_Start -> Pas de fichier <==== ATTENTION
2018-11-05 10:08 - 2018-11-05 10:09 - 000000000 ____D C:\Users\Alain\Documents\CPUGuardian
2018-11-05 10:08 - 2018-11-05 10:08 - 000472552 _____ (Privacy Shield ) C:\Users\Alain\Downloads\PCPrivacyProtect.1.0.2.Install.exe
2018-11-05 10:08 - 2018-11-05 10:08 - 000000000 ____D C:\Users\Alain\AppData\Local\CPU_Guardian
2018-11-05 10:07 - 2018-11-05 10:07 - 002971664 _____ (CPU Guardian) C:\Users\Alain\Downloads\CPUGuardianSetup.exe
2018-11-05 09:57 - 2018-11-05 12:11 - 000000054 _____ C:\END
2018-11-05 09:57 - 2018-11-05 11:59 - 000000000 ____D C:\Users\Alain\AppData\Roaming\supportdotcom
2018-11-05 09:56 - 2018-11-05 17:34 - 000000000 ____D C:\Program Files (x86)\supportdotcom
2018-11-05 09:56 - 2018-11-05 09:56 - 000000000 ____D C:\Users\Alain\AppData\Local\SPRT
2018-10-26 16:07 - 2018-10-26 16:07 - 000000000 ____D C:\Users\Alain\AppData\Local\{E50AF6A3-44BB-4925-AD12-A1B93A621E00}
2018-10-22 12:42 - 2018-10-22 12:42 - 000000000 _____ C:\Windows\SysWOW64\sho9A12.tmp
2013-07-17 18:41 - 2013-07-17 18:41 - 000003584 _____ () C:\Users\Alain\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2014-11-03 09:30 - 2014-12-17 09:30 - 000000001 _____ () C:\Users\Alain\AppData\Local\DSI.DAT
2014-10-31 13:20 - 2014-10-31 13:20 - 000612252 _____ (CMI Limited) C:\Users\Alain\AppData\Local\nsmFDC4.tmp
2018-09-28 08:20 - 2018-09-28 08:20 - 000000000 _____ () C:\Users\Alain\AppData\Local\oobelibMkey.log
2014-12-09 12:53 - 2014-12-09 12:53 - 000000000 _____ () C:\Users\Alain\AppData\Local\{E3E6F2FC-5829-4F72-A2D7-B92BF53D855E}
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[grtx]

Merci pour ta réponse rapide, c'est exactement ce que je cherchais ! Je commence les démarches pour obtenir un potentiel remboursement.

tout s'est bien passé. Voici le rapport fixlog : https://pjjoint.malekal.com/files.php?i ... p6x10d5s11

Y'a-t-il une autre manipulation à faire ? Je fouille un peu mon ordi, j'ai l'impression que les deux malwares ont disparus.

Merci encore

[Malekal_morte]

Pour l'ordinateur, ça doit être bon.
Éventuellement changer les mots de passe mais ils ne sont pas là pour voler des données, juste faire payer et prendre un abonnement.
Tu n'as plus qu'à les harceler pour tenter de te faire rembourser.

[grtx]

Et bien merci beaucoup, je n'avais encore jamais nettoyé un ordinateur victime de ransonware.

Merci pour la docu, et le support très efficace.

Bonne journée, topic à archiver !