Arnaque téléphonique et PC Privacy Protect

[Mutt]

Bonjour,
Mon père a été victime d'une tentative d'escroquerie tout récemment et j'ai bien besoin de votre aide. Je vous raconte l'histoire : En surfant sur internet l'ordinateur s'est bloqué, une page s'est affichée avec un numéro à appeler... évidement mon père a appeler et l'interlocteur a pris le pc en main... Mon père n'a quand même pas cédé au chantage de payer un nouvel antivirus etc... En regardant sur les forums j'ai bien vu qu'il s'agissait d'une arnaque, mais j'ai toujours un doute quant au fait que le pirate contrôlé l'ordi... surtout que j'ai le fameux Privacy Protect d'installé.
Voici les liens des rapports FRST :
https://pjjoint.malekal.com/files.php?i ... v8u11x1113
https://pjjoint.malekal.com/files.php?i ... o7y14o14l6
https://pjjoint.malekal.com/files.php?i ... 4t6x6w8w14
Merci de votre aide

[Malekal_morte]

Salut,


Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur :

• Portail Pharos
• reporter l'arnaque à Microsoft

2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.
A désinstaller aussi :

Google Toolbar for Internet Explorer
Ma-Config.com
RegCure Pro

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
 HKU\S-1-5-21-939326758-553211618-3187306930-1000\...\Run: [PCPrivacyShield2018] => C:\Program Files (x86)\PC Privacy Shield 2018\PCPrivacyShield2018.exe minimized 
  2018-11-17 13:50 - 2018-11-23 19:57 - 000000000 ____D C:\Users\Guillaume\AppData\Local\PCPrivacyShield2018
2018-11-17 13:50 - 2018-11-17 13:50 - 000003480 _____ C:\WINDOWS\System32\Tasks\PCPrivacyShield2018-User_Account_Control
2018-11-17 13:49 - 2018-11-17 13:49 - 000000000 ____D C:\Users\Guillaume\AppData\Roaming\PC Privacy Shield 2018
2018-11-17 13:47 - 2018-11-17 14:02 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_2e3aa0714219eb00
2018-11-17 13:47 - 2018-11-17 13:47 - 000000000 ____D C:\Users\Guillaume\AppData\Local\Deployment
2018-11-17 13:47 - 2018-11-17 13:47 - 000000000 ____D C:\Users\Guillaume\AppData\Local\Apps\2.0
2018-11-17 13:45 - 2018-11-17 13:45 - 000000000 ____D C:\Users\Guillaume\AppData\Roaming\AnyDesk 
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique

[Mutt]

Tout d'abord merci beaucoup pour ta réponse si rapide !

Voici le contenu du fichier fixlog : "Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21.11.2018
Exécuté par Guillaume (23-11-2018 21:33:18) Run:1
Exécuté depuis C:\Users\Guillaume\Desktop\FRST
Profils chargés: Guillaume (Profils disponibles: Guillaume)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 21:33:18 ===="

[Malekal_morte]

Le fichier de correction est vide.
FRST n'est pas sur le bureau directement dans un sous-dossier FRST.
Déplace le sur le bureau.

[Mutt]

Oui effectivement j'avais crée un fichier sur le bureau.
J'ai refait la correction avec FRST directement sur le bureau : https://pjjoint.malekal.com/files.php?i ... 5f15l9u6m5

[Malekal_morte]

C'est mieux, donc je pense que l'on a terminé.

Tu peux supprimer le dossier C:\FRST =)

A faire lire à ton père : Comment les virus informatiques sont distribués

[Mutt]

Merci beaucoup pour ton aide ( rapide et efficace) ! Merci encore