Supprimer PC Privacy Shield [résolu]

[adrienvoile]

Bonjour,

Suite à un ramsomwares installé sur le PC d'un des bénévoles de mon association, le logiciel PC Privacy Shield a été installé.

J'ai fait tourné FRST sur le PC, voici les rapports :
- https://pjjoint.malekal.com/files.php?i ... m15o9k15p5
- https://pjjoint.malekal.com/files.php?i ... t9k14d11u9
- https://pjjoint.malekal.com/files.php?i ... 5c10v12l14

Merci de votre aide pour identifier les logiciels malveillants

Adrien

[Malekal_morte]

Bonjour,


Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus


Vas dans les paramètres de Windows 10
Applications.
Désinstalle :

GoTo Opener (sauf si c'est toi qui l'as installé)
GoToMeeting (sauf si c'est toi qui l'as installé)
PC Privacy Shield 2018

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2021-12-01 10:27 - 2021-12-01 10:27 - 000003482 _____ C:\WINDOWS\system32\Tasks\PCPrivacyShield2018-User_Account_Control
2021-12-01 10:26 - 2021-12-01 12:34 - 000000000 ____D C:\Users\adrie\AppData\Local\PCPrivacyShield2018
2021-12-01 10:26 - 2021-12-01 10:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Privacy Shield 2018
2021-12-01 10:26 - 2021-12-01 10:26 - 000000000 ____D C:\Program Files (x86)\PC Privacy Shield 2018
2021-12-01 10:16 - 2021-12-01 12:32 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_8026bb01f852ad37
2021-12-01 10:15 - 2021-12-01 10:15 - 000000000 ____D C:\Users\adrie\AppData\Local\Deployment
2021-12-01 10:15 - 2021-12-01 10:15 - 000000000 ____D C:\Users\adrie\AppData\Local\Apps\2.0
2021-12-01 10:14 - 2021-12-01 10:15 - 003111568 _____ C:\Users\adrie\Downloads\ConnectWiseControl.ClientSetup.exe
2021-12-01 10:13 - 2021-12-01 10:13 - 000000000 ____D C:\ProgramData\IperiusRemote
2021-12-01 10:11 - 2021-12-01 10:12 - 008267584 _____ (Enter Srl) C:\Users\adrie\Downloads\IperiusRemote.exe
2021-12-01 09:54 - 2021-12-01 09:58 - 000086672 _____ C:\Users\adrie\Downloads\ConnectWiseControl.Client.exe
2021-12-01 09:50 - 2021-12-01 11:15 - 000000000 ____D C:\Users\adrie\AppData\Roaming\AnyDesk
2021-12-01 09:49 - 2021-12-01 09:49 - 003803376 _____ (AnyDesk Software GmbH) C:\Users\adrie\Downloads\AnyDesk (2).exe
2021-12-01 09:49 - 2021-12-01 09:49 - 003803376 _____ (AnyDesk Software GmbH) C:\Users\adrie\Downloads\AnyDesk (1).exe
2021-12-01 09:48 - 2021-12-01 09:49 - 003803376 _____ (AnyDesk Software GmbH) C:\Users\adrie\Downloads\AnyDesk.exe
Task: {18EAD2ED-B266-4706-9AA1-72FBA13509DA} - System32\Tasks\PCPrivacyShield2018-User_Account_Control => C:\Program Files (x86)\PC Privacy Shield 2018\TaskTools.exe [63208 2018-06-25] (ShieldApps -> ShieldApps)
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[adrienvoile]

Bonjour

Merci beaucoup pour ton retour rapide.

J'ai essayé de désinstaller PC Privaty Shield (en mode sans échec) mais la popup suivante apparait "Impossible d'accéder au service Windows Installer. Ceci peut se produire si le programme d'installation de Windows n'est pas bien installé. Contactez votre support technique pour assistance".

Je vais essayer la correction dans FRST comme expliqué et je reviens sur le forum pour débriefer.

Merci encore

[adrienvoile]

Bonjour,

La réparation avec FRST et le script communiqué à parfaitement marcher.
J'ai pu désinstaller PC Privaty shield et rétablir le PC correctement.

Merci bcp du support et de la réactivité !
Bonne journée

[Malekal_morte]

Super =)

J'ai passé le sujet en résolu.
Tu peux supprimer C:\FRST et le reste.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?