Arnaque - PC Privacity Shield

[elodieck1]

Bonjour,

Un membre de ma famille s'est fait arnaquer. L'ordinateur a semblé se bloquer et un message s'est affiché indiquant un numéro de téléphone a contacter de toute urgence ( un 0972 ........) Ce qu'elle a fait immédiatement. Le hacker a pris la main sur son PC, a installé PC Privacity Shield et a un moment l'ensemble de ses mots de passes s'est affiché. A la suite de ça, il lui a dit que son "ordinateur était gravement infecté" et il lui a proposé de lui vendre un super antivirus a 350€, ce qu'elle a refusé. Elle n'a pas fourni ses coordonnées bancaires heureusement....

Par précaution, je lui ai fait changer l'ensemble des mots de passe et sa banque a été prévenue.

Toutefois, suite aux différents post à ce sujet sur le forum, j'ai lancé une exécution de FRST. Et aujourd'hui je sollicite votre aide et votre expertise pour l'analyse des rapports.

D'avance merci.

Elodie

[Malekal_morte]

Salut


Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus

1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.

Signale les sur :

• Portail Pharos
• reporter l'arnaque à Microsoft

2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.

3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.

4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)

5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
J'imagine que tu lui as expliqué : d'arnaque de support téléphonique


~~

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[elodieck1]

Merci pour votre réponse très rapide.

Voici les liens demandés :
https://pjjoint.malekal.com/files.php?i ... 4o15n15912
https://pjjoint.malekal.com/files.php?i ... z11m5f7s14
https://pjjoint.malekal.com/files.php?i ... x7d12k8k13

Je reste à votre disposition si besoin.

Elodie

[angelique]

Bonjour/Bonsoir


Pas bien grave


Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[elodieck1]

Bonsoir,

Merci, voici le contenu du fichier :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 07-12-2019
Exécuté par Alain et Nathalie (07-12-2019 20:17:35) Run:1
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Alain et Nathalie (Profils disponibles: defaultuser0 & Alain et Nathalie)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1460544625-973876450-3497025926-1001\...\Run: [PCPrivacyShield2018] => "C:\Program Files (x86)\PC Privacy Shield 2018\PCPrivacyShield2018.exe" minimized
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2019-12-06 16:00 - 2019-12-06 16:59 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\D3DSCache
2019-12-06 15:46 - 2019-12-06 15:46 - 000000000 ____D C:\Users\Utilisateur\AppData\Roaming\PC Privacy Shield 2018
2019-12-06 15:42 - 2019-12-06 16:12 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_713c3c0ad36611ee
2019-12-06 15:42 - 2019-12-06 15:42 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\Deployment
C:\Program Files (x86)\PC Privacy Shield 2018
Emptytemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-1460544625-973876450-3497025926-1001\Software\Microsoft\Windows\CurrentVersion\Run\\PCPrivacyShield2018" => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
C:\Users\Utilisateur\AppData\Local\D3DSCache => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\PC Privacy Shield 2018 => déplacé(es) avec succès
C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_713c3c0ad36611ee => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\Deployment => déplacé(es) avec succès
"C:\Program Files (x86)\PC Privacy Shield 2018" => non trouvé(e)

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 225294290 B
Java, Flash, Steam htmlcache => 1335 B
Windows/system/drivers => 2828328 B
Edge => 1361755 B
Chrome => 103513839 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 48982 B
NetworkService => 58224 B
defaultuser0 => 65392 B
Utilisateur => 10043517 B

RecycleBin => 319100235 B
EmptyTemp: => 641.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 20:20:21 ====

[angelique]

c'est OK, tu peux supprimer frst, ses rapports et C:\FRST

[elodieck1]

Bonjour,

Merci beaucoup pour votre aide.

Bonne journée

[d6712]

Bonjour,

j'ai été confronté au même problème cette semaine...
J'ai suivit les instructions décrites dans une de votre précédente réponse décrivant exactement le même problème.
j'ai restauré les paramètres par défaut des pares-feux.

Voici les 3 fichiers que FRST a généré:
https://pjjoint.malekal.com/files.php?i ... 13f13j7d12
https://pjjoint.malekal.com/files.php?i ... 13m12e8c14
https://pjjoint.malekal.com/files.php?i ... w8v12d10m8

merci pour votre aide

[Malekal_morte]

Salut,

Rien d'anormal.
Tu peux désinstaller Avira.
Windows Defender est plus léger.

Si tu souhaites garder Avira, désinstalle les programmes additionnels.
Encombrants.

Avira Phantom VPN
Avira Privacy Pal
Avira Software Updater
Avira System Speedup

[d6712]

Bonjour,
merci beaucoup pour votre aide ainsi que pour vos nombreux documents relatifs à la sécurité sur internet.

Bonne journée à vous

[Malekal_morte]

De rien =)