Connectwisecontrol ou Screenconnect : Désinfecter mon ordinateur suite à une arnaque en ligne

[Patricab]

Bonjour à tous,
ma tante, comme beaucoup de personnes a été victime ( 2 fois ) d'une arnaque internet suite à l'apparition d'une page virus demandant d'appeler un numéro. Elle l'a fait, prise de contrôle de l'ordinateur et installation de soit disant logiciels miracles... bref tout le monde connait l'histoire. Depuis ce matin et après que j'ai appelé cette entreprise pour lui dire de bien aller se faire voir, qu'on avait bloqué le paiement et que son travail était lamentable : il a tout supprimé, fichiers, documents, photos... gros nettoyage...DEGOUTE... quand j'essaye de naviguer sur l'ordinateur ça me mettait "connectwisecontrol" ou "Screenconnect" et je n'avais plus du tout la main, écran noir avec ce message affiché. Là j'ai pu me connecter en ayant la main et j'ai fais une rapide désinstallation de deux fichiers "screenconnect" mais aucune trace de l'autre. Bon, je ne m'y connais pas mais je me doute bien que l'ordinateur doit encore être infecté voir encore possiblement sous le contrôle de ces malfaiteurs. Je vois qu'on peut passer par FRST pour analyser des virus et déposer des liens, quelqu'un pourrait il m'aider à les analyser ? Aussi, j'essaye de récupérer des dossiers avec recuva, qu'en pensez vous ? Merci à tout ceux qui pourront/ essayeront de m'aider. Bonne journée.

https://pjjoint.malekal.com/files.php?i ... 6u15c13w14
https://pjjoint.malekal.com/files.php?i ... p7q714m7u8
https://pjjoint.malekal.com/files.php?i ... 14g13z13g8

[Malekal_morte]

Bonsoir,


Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.


Si tu as des données tes coordonnées bancaires, vois avec ta banque pour faire opposition car ils t'ont abonné à des services en ligne.

Désinstalle tout ça :

CCleaner
CyberLink
WebStorage
WildTangent Games App

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2021-12-20 10:45 - 2021-12-20 10:56 - 000000000 ____D C:\Users\Cabanettes\AppData\Roaming\GlarySoft
2021-12-21 11:15 - 2020-11-17 13:33 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2021-12-21 11:15 - 2020-11-17 13:33 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2021-12-20 11:00 - 2015-11-24 06:08 - 000000000 ____D C:\Program Files (x86)\TeamViewer
2021-12-20 10:59 - 2020-11-17 13:18 - 000000000 ____D C:\ProgramData\AnyDesk
2021-12-20 10:59 - 2020-11-17 13:18 - 000000000 ____D C:\Program Files (x86)\AnyDesk
2021-12-21 11:15 - 2020-11-17 13:33 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2021-12-20 10:57 - 2020-11-17 13:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2021-12-20 10:56 - 2020-11-17 14:04 - 000000000 ____D C:\ProgramData\GlarySoft
Task: {00CE81DE-B3A1-4A45-99D9-7FBBD74C079A} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {02DDE74D-4BBA-48A9-B79F-524E715D163A} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c (Pas de fichier)
Task: {14F078B9-1777-427C-964D-16220CD56E96} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (Pas de fichier)

Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)