[ScreenConnect] PC infecté (en cours)

Questions générales (installation, utilisation etc) sur les antivirus.

Modérateur : Mods Windows

xoubidur
Messages : 3
Inscription : 06 sept. 2007 22:39

[ScreenConnect] PC infecté (en cours)

par xoubidur »

Bonjour et bonne année 2020,

Hier un faux technicien de SFR a eu mon père (mon père attendait un appel d'un vrai technicien aussi il n'a pas été immédiatement soupçonneux).
Il lui a été demandé de se connecter sur une URL (http://51.91.127.119:8040), de télécharger et installer un soft : Screenconnect.
L'étape suivante était de saisir ses identifiants de carte bleue. Papa a dit STOP.
Puis des fenêtres de son écran se sont fermées toutes seules ce qui lui a mis la puce à l'oreille et m'a appelé.

Dans l'ordre des choses, voici ce que je lui ai conseillé et qu'il a fait :
- Déconnexion filaire et wifi de son PC.
- Changement de ses password de boites mails (avec la tablette)
- Dans le Gestionnaire de tâches : arrêt des processus ScreenConnect et Fondue (une fenêtre demandant une MAJ Microsfot Framework)
- Recherche et suppression des fichiers ScreenConnect (positionné dans c:/User/AppData/...)
- Vidage de la corbeille.

Je lui ai demandé de suivre le guide FRST et vous trouverez ci-dessous les liens vers les 2 fichiers générés.
Je lui ai dit de supprimer la clé de registre pourrite (HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client)

https://pjjoint.malekal.com/files.php?r ... 3u1312o6q5
https://pjjoint.malekal.com/files.php?r ... x14z7g14w5


Verriez-vous d'autre point sur lesquels portés attention ?
Merci pour votre précieuse aide.

A bientôt.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10836
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: [ScreenConnect] PC infecté (en cours)

par Parisien_entraide »

Bonjour

Déja tu as eu de bonnes réactions
Le but premier est de vendre un programme

https://www.malekal.com/arnaque-support ... c-support/

Il y a encore des traces comme

S2 ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395); "C:\Users\Benoit\AppData\Local\Apps\2.0\63EGB06H.CD6\R1N0YAB2.WDX\scre..tion_2c2536e5112611c9_0006.0003_a33db8b5313e2974\ScreenConnect.ClientService.exe" "?y=Guest&h=51.91.127.119 ................

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395) => ""="Service"

Ca ne serait pas TOTAL AV qu'ils ont essayé de lui fourguer le 22 janvier ?
R2 SecurityService; C:\Program Files (x86)\TotalAV\SecurityService.exe [5267184 2019-12-17] (Protected Antivirus Limited -> TotalAV)


viewtopic.php?t=61128

Malekal ou Angélique te feront un fixlist


L'IP de destination est chez OVH (France) : Hostname 129.ip-51-91-127.eu

Tu peux donner une suite en signalant

https://www.malekal.com/recours-victime ... -internet/
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: [ScreenConnect] PC infecté (en cours)

par Malekal_morte »

Bonjour,

Désinstalle TotalAV.
C'est une arnaque.
Voir : TotalAV : avis et présentation

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
S2 ScreenConnect Client (299d08e8-e1b1-4f6f-b356-dfc546008395); "C:\Users\Benoit\AppData\Local\Apps\2.0\63EGB06H.CD6\R1N0YAB2.WDX\scre..tion_2c2536e5112611c9_0006.0003_a33db8b5313e2974\ScreenConnect.ClientService.exe"
C:\Users\Benoit\AppData\Local\Apps
2020-01-22 22:35 - 2020-01-22 22:35 - 000000000 ____D C:\Users\Benoit\Documents\TotalAV
2020-01-22 22:35 - 2019-10-15 17:51 - 000079048 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\webshieldfilter.sys
2020-01-22 22:33 - 2020-01-22 22:43 - 000000000 ____D C:\Program Files (x86)\TotalAV
2020-01-22 22:33 - 2020-01-22 22:33 - 000001089 _____ C:\Users\Benoit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000001064 _____ C:\Users\Public\Desktop\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000001064 _____ C:\ProgramData\Desktop\TotalAV.lnk
2020-01-22 22:33 - 2020-01-22 22:33 - 000000000 ____D C:\ProgramData\TotalAV
2020-01-22 22:33 - 2020-01-22 22:33 - 000000000 ____D C:\ProgramData\SecuritySuite
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xoubidur
Messages : 3
Inscription : 06 sept. 2007 22:39

Re: [ScreenConnect] PC infecté (en cours)

par xoubidur »

Merci !
Nous allons faire cela.
A bientôt.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Discussions/Aides Antivirus »