Bonjour et bonne année 2020,
Hier un faux technicien de SFR a eu mon père (mon père attendait un appel d'un vrai technicien aussi il n'a pas été immédiatement soupçonneux).
Il lui a été demandé de se connecter sur une URL (http://51.91.127.119:8040), de télécharger et installer un soft : Screenconnect.
L'étape suivante était de saisir ses identifiants de carte bleue. Papa a dit STOP.
Puis des fenêtres de son écran se sont fermées toutes seules ce qui lui a mis la puce à l'oreille et m'a appelé.
Dans l'ordre des choses, voici ce que je lui ai conseillé et qu'il a fait :
- Déconnexion filaire et wifi de son PC.
- Changement de ses password de boites mails (avec la tablette)
- Dans le Gestionnaire de tâches : arrêt des processus ScreenConnect et Fondue (une fenêtre demandant une MAJ Microsfot Framework)
- Recherche et suppression des fichiers ScreenConnect (positionné dans c:/User/AppData/...)
- Vidage de la corbeille.
Je lui ai demandé de suivre le guide FRST et vous trouverez ci-dessous les liens vers les 2 fichiers générés.
Je lui ai dit de supprimer la clé de registre pourrite (HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client)
https://pjjoint.malekal.com/files.php?r ... 3u1312o6q5
https://pjjoint.malekal.com/files.php?r ... x14z7g14w5
Verriez-vous d'autre point sur lesquels portés attention ?
Merci pour votre précieuse aide.
A bientôt.
[ScreenConnect] PC infecté (en cours)
Modérateur : Mods Windows
- Messages : 15490
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: [ScreenConnect] PC infecté (en cours)
Bonjour
Déja tu as eu de bonnes réactions
Le but premier est de vendre un programme
https://www.malekal.com/arnaque-support ... c-support/
Il y a encore des traces comme
S2 ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395); "C:\Users\Benoit\AppData\Local\Apps\2.0\63EGB06H.CD6\R1N0YAB2.WDX\scre..tion_2c2536e5112611c9_0006.0003_a33db8b5313e2974\ScreenConnect.ClientService.exe" "?y=Guest&h=51.91.127.119 ................
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395) => ""="Service"
Ca ne serait pas TOTAL AV qu'ils ont essayé de lui fourguer le 22 janvier ?
R2 SecurityService; C:\Program Files (x86)\TotalAV\SecurityService.exe [5267184 2019-12-17] (Protected Antivirus Limited -> TotalAV)
viewtopic.php?t=61128
Malekal ou Angélique te feront un fixlist
L'IP de destination est chez OVH (France) : Hostname 129.ip-51-91-127.eu
Tu peux donner une suite en signalant
https://www.malekal.com/recours-victime ... -internet/
Déja tu as eu de bonnes réactions
Le but premier est de vendre un programme
https://www.malekal.com/arnaque-support ... c-support/
Il y a encore des traces comme
S2 ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395); "C:\Users\Benoit\AppData\Local\Apps\2.0\63EGB06H.CD6\R1N0YAB2.WDX\scre..tion_2c2536e5112611c9_0006.0003_a33db8b5313e2974\ScreenConnect.ClientService.exe" "?y=Guest&h=51.91.127.119 ................
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395) => ""="Service"
Ca ne serait pas TOTAL AV qu'ils ont essayé de lui fourguer le 22 janvier ?
R2 SecurityService; C:\Program Files (x86)\TotalAV\SecurityService.exe [5267184 2019-12-17] (Protected Antivirus Limited -> TotalAV)
viewtopic.php?t=61128
Malekal ou Angélique te feront un fixlist
L'IP de destination est chez OVH (France) : Hostname 129.ip-51-91-127.eu
Tu peux donner une suite en signalant
https://www.malekal.com/recours-victime ... -internet/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 114147
- Inscription : 10 sept. 2005 13:57
Re: [ScreenConnect] PC infecté (en cours)
Bonjour,
Désinstalle TotalAV.
C'est une arnaque.
Voir : TotalAV : avis et présentation
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Désinstalle TotalAV.
C'est une arnaque.
Voir : TotalAV : avis et présentation
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
S2 ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395); "C:\Users\Benoit\AppData\Local\Apps\2.0\63EGB06H.CD6\R1N0YAB2.WDX\scre..tion_2c2536e5112611c9_0006.0003_a33db8b5313e2974\ScreenConnect.ClientService.exe"
C:\Users\Benoit\AppData\Local\Apps
2020-01-22 22:35 - 2020-01-22 22:35 - 000000000 ____D C:\Users\Benoit\Documents\TotalAV
2020-01-22 22:35 - 2019-10-15 17:51 - 000079048 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\webshieldfilter.sys
2020-01-22 22:33 - 2020-01-22 22:43 - 000000000 ____D C:\Program Files (x86)\TotalAV
2020-01-22 22:33 - 2020-01-22 22:33 - 000001089 _____ C:\Users\Benoit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000001064 _____ C:\Users\Public\Desktop\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000001064 _____ C:\ProgramData\Desktop\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000000000 ____D C:\ProgramData\TotalAV
2020-01-22 22:33 - 2020-01-22 22:33 - 000000000 ____D C:\ProgramData\SecuritySuite
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 3
- Inscription : 06 sept. 2007 22:39
Re: [ScreenConnect] PC infecté (en cours)
Merci !
Nous allons faire cela.
A bientôt.
Nous allons faire cela.
A bientôt.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 4 Réponses
- 206 Vues
-
Dernier message par angelique
-
- 5 Réponses
- 77 Vues
-
Dernier message par Parisien_entraide
-
-
"Mise à jour en cours..." à la fermeture de W11 [Résolu]
par Toulouzing » » dans Windows : Résoudre les problèmes - 9 Réponses
- 135 Vues
-
Dernier message par Malekal_morte
-
-
- 11 Réponses
- 169 Vues
-
Dernier message par Parisien_entraide
-
- 3 Réponses
- 198 Vues
-
Dernier message par mohamed ali