Bonjour à tous,
ma mère a été victime mardi 22/02 d'une arnaque au support informatique.
Apres être tombée dans le piège des faux message d'erreur elle a appelé le numéro et donné le contrôle à distance a son PC.
En suivant les consignes du site j'ai généré les 2 rapport FRST suivants
Additional.txt
https://pjjoint.malekal.com/files.php?i ... b8y13k6u11
FRST.txt
https://pjjoint.malekal.com/files.php?i ... 8s9i13w8v5
Je me suis un peu renseigné de mon coté et je constate les "classiques" connect Wise Client, AnyDesk, ScreenConnect etc...
A noter aussi la création d'un dossier Assistance avec un numéro de téléphone qui s'affiche a la fois dans le dossier User mais aussi dans la barre des taches
Pouvez vous m'aider avec un fichier de script pour nettoyer tout ça?
Merci bcp
Victime arnaque au support informatique (Wise Client, AnyDesk, ScreenConnect) [résolu]
Modérateurs : Mods Windows, Helper
- Messages : 2
- Inscription : 25 févr. 2023 14:38
- Messages : 19216
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Victime arnaque au support informatique
Bonjour
Malekal ou Angélique fourniront un script pour les éventuelles traces (comme pour Anydesk etc)
En attendant un peu de lecture (même si tu as déjà effectué une partie du travail et effectué quelques recherches)
Il s'agit de consignes "globales" donc
____
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.
Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.
Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus
1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.
Signale les sur :
2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.
3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.
4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)
5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
Malekal ou Angélique fourniront un script pour les éventuelles traces (comme pour Anydesk etc)
En attendant un peu de lecture (même si tu as déjà effectué une partie du travail et effectué quelques recherches)
Il s'agit de consignes "globales" donc
____
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.
Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.
Ces fausses alertes de virus sont monnaie et pas que dans ce contexte, par exemple, ces fausses alertes peuvent aussi servir pour refiler des logiciels de nettoyage peu fiables (Reimage, PCKepeer, MacKeeper, etc). Lire ces dossiers pour bien comprendre et avoir des exemples.
- les arnaques de support téléphonique
- Arnaque : les fausses alertes de virus
1/ Signalez le : Si tu as appelé le numéro de téléphone... Je t'invite à aller signaler ces pratiques, donne le nom de la société ainsi que le numéro de téléphone de contact qui s'est affiché sur le faux message de virus.
Signale les sur :
2/ Rappel les et menace les de porter plainte, demande à être rembourser, vous avez 14 jours de rétractation.
N'hésite pas à les harceler parfois cela fonctionne.
Plus d'informations : Recours pour les victimes de virus ou arnaque sur internet.
3/ vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Trie la liste par date en cliquant sur la colonne.
Désinstalle tous les logiciels qui ont été installés le jour de la prise en main.
4/ Faire opposition à la banque pour éviter les prélèvements (abonnement à leurs support ou logiciel)
5/ Faire lire le dossier suivant à la victime pour comprendre ce qui s'est passé.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 32353
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Victime arnaque au support informatique
Bonjour/Bonsoir
Désinstalle AnyDesk
Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Désinstalle AnyDesk
Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
- Messages : 2
- Inscription : 25 févr. 2023 14:38
Re: Victime arnaque au support informatique (Wise Client, AnyDesk, ScreenConnect)
Re bonjour et merci énormément pour votre réactivité, c'est top !
voici le contenu du fichier fixlog : (a noter que j'vaias manuellement supprimer Anydesk avant)
Le clavier aussi fonctionne très bizarrement certaines touches etant aleatoirement 'buguées', d'apres ma mère cela date de la prise de controle a distance... (ex si je tape "s", il s'affiche parfois (pas toujours) sé, idem pour f et f', k et k_ ) etc.. C'est un pc portable j'ai essayé de changer les paramètres du clavier, la langue, desinstaller mais rien n'y fait.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25-02-2023
Exécuté par marbe (25-02-2023 16:11:17) Run:1
Exécuté depuis C:\Users\marbe\OneDrive\Bureau
Profils chargés: marbe
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2023-02-22]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH)
R2 ScreenConnect Client (44bb106d-d55d-4db6-a1bb-8d0dabaee2cb); C:\Users\marbe\AppData\Local\Apps\2.0\51EBWE2E.6JV\HMDV9TQB.PVJ\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0\ScreenConnect.ClientService.exe [90768 2023-02-22] (ScreenConnect Software -> )
2023-02-22 12:48 - 2023-02-22 12:48 - 000000000 ____D C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04
2023-02-22 11:01 - 2023-02-24 17:25 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0
2023-02-22 11:00 - 2023-02-22 11:00 - 000086672 _____ C:\Users\marbe\Downloads\ConnectWiseControl.Client.exe
2023-02-22 11:00 - 2023-02-22 11:00 - 000000000 ____D C:\Users\marbe\AppData\Local\Deployment
2023-02-22 11:00 - 2023-02-22 11:00 - 000000000 ____D C:\Users\marbe\AppData\Local\Apps\2.0
2023-02-22 10:56 - 2023-02-22 10:58 - 000000000 ____D C:\Users\marbe\AppData\Roaming\AnyDesk
2023-02-22 10:54 - 2023-02-22 10:54 - 004033096 _____ (AnyDesk Software GmbH) C:\Users\marbe\Downloads\AnyDesk (1).exe
2023-02-22 10:53 - 2023-02-22 10:53 - 004033096 _____ (AnyDesk Software GmbH) C:\Users\marbe\Downloads\AnyDesk.exe
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk" => non trouvé(e)
"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" => non trouvé(e)
ScreenConnect Client (44bb106d-d55d-4db6-a1bb-8d0dabaee2cb) => service non trouvé(e).
"C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04" dossier déplacer:
Impossible de déplacer "C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04" => Planifié pour déplacement au redémarrage.
C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0 => déplacé(es) avec succès
C:\Users\marbe\Downloads\ConnectWiseControl.Client.exe => déplacé(es) avec succès
C:\Users\marbe\AppData\Local\Deployment => déplacé(es) avec succès
C:\Users\marbe\AppData\Local\Apps\2.0 => déplacé(es) avec succès
C:\Users\marbe\AppData\Roaming\AnyDesk => déplacé(es) avec succès
C:\Users\marbe\Downloads\AnyDesk (1).exe => déplacé(es) avec succès
C:\Users\marbe\Downloads\AnyDesk.exe => déplacé(es) avec succès
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "C:\Windows\SysWOW64\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9584029 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 17699507 B
Edge => 0 B
Chrome => 176128 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 73701 B
systemprofile32 => 73701 B
LocalService => 84219 B
NetworkService => 84219 B
marbe => 14722497 B
RecycleBin => 0 B
EmptyTemp: => 40.5 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-02-2023 16:16:38)
C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04 => a été déplacé(e) avec succès
==== Fin de Fixlog 16:16:38 ====
voici le contenu du fichier fixlog : (a noter que j'vaias manuellement supprimer Anydesk avant)
Le clavier aussi fonctionne très bizarrement certaines touches etant aleatoirement 'buguées', d'apres ma mère cela date de la prise de controle a distance... (ex si je tape "s", il s'affiche parfois (pas toujours) sé, idem pour f et f', k et k_ ) etc.. C'est un pc portable j'ai essayé de changer les paramètres du clavier, la langue, desinstaller mais rien n'y fait.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25-02-2023
Exécuté par marbe (25-02-2023 16:11:17) Run:1
Exécuté depuis C:\Users\marbe\OneDrive\Bureau
Profils chargés: marbe
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2023-02-22]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH)
R2 ScreenConnect Client (44bb106d-d55d-4db6-a1bb-8d0dabaee2cb); C:\Users\marbe\AppData\Local\Apps\2.0\51EBWE2E.6JV\HMDV9TQB.PVJ\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0\ScreenConnect.ClientService.exe [90768 2023-02-22] (ScreenConnect Software -> )
2023-02-22 12:48 - 2023-02-22 12:48 - 000000000 ____D C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04
2023-02-22 11:01 - 2023-02-24 17:25 - 000000000 ____D C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0
2023-02-22 11:00 - 2023-02-22 11:00 - 000086672 _____ C:\Users\marbe\Downloads\ConnectWiseControl.Client.exe
2023-02-22 11:00 - 2023-02-22 11:00 - 000000000 ____D C:\Users\marbe\AppData\Local\Deployment
2023-02-22 11:00 - 2023-02-22 11:00 - 000000000 ____D C:\Users\marbe\AppData\Local\Apps\2.0
2023-02-22 10:56 - 2023-02-22 10:58 - 000000000 ____D C:\Users\marbe\AppData\Roaming\AnyDesk
2023-02-22 10:54 - 2023-02-22 10:54 - 004033096 _____ (AnyDesk Software GmbH) C:\Users\marbe\Downloads\AnyDesk (1).exe
2023-02-22 10:53 - 2023-02-22 10:53 - 004033096 _____ (AnyDesk Software GmbH) C:\Users\marbe\Downloads\AnyDesk.exe
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk" => non trouvé(e)
"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" => non trouvé(e)
ScreenConnect Client (44bb106d-d55d-4db6-a1bb-8d0dabaee2cb) => service non trouvé(e).
"C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04" dossier déplacer:
Impossible de déplacer "C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04" => Planifié pour déplacement au redémarrage.
C:\ProgramData\scre..tion_2c2536e5112611c9_0006.0003_a0b66bac863f7fd0 => déplacé(es) avec succès
C:\Users\marbe\Downloads\ConnectWiseControl.Client.exe => déplacé(es) avec succès
C:\Users\marbe\AppData\Local\Deployment => déplacé(es) avec succès
C:\Users\marbe\AppData\Local\Apps\2.0 => déplacé(es) avec succès
C:\Users\marbe\AppData\Roaming\AnyDesk => déplacé(es) avec succès
C:\Users\marbe\Downloads\AnyDesk (1).exe => déplacé(es) avec succès
C:\Users\marbe\Downloads\AnyDesk.exe => déplacé(es) avec succès
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "C:\Windows\SysWOW64\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========
Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 5
========= Fin de CMD: =========
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9584029 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 17699507 B
Edge => 0 B
Chrome => 176128 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 73701 B
systemprofile32 => 73701 B
LocalService => 84219 B
NetworkService => 84219 B
marbe => 14722497 B
RecycleBin => 0 B
EmptyTemp: => 40.5 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-02-2023 16:16:38)
C:\Users\marbe\OneDrive\Documents\Assistance 04 28 01 06 04 => a été déplacé(e) avec succès
==== Fin de Fixlog 16:16:38 ====
- Messages : 32353
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Victime arnaque au support informatique (Wise Client, AnyDesk, ScreenConnect)
Suppression de FRST
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Pour le clavier , voir la page de Malekal ➮ https://www.malekal.com/comment-reiniti ... ows-10-11/
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Pour le clavier , voir la page de Malekal ➮ https://www.malekal.com/comment-reiniti ... ows-10-11/
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 4 Réponses
- 169 Vues
-
Dernier message par angelique
-
- 2 Réponses
- 76 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 89 Vues
-
Dernier message par Malekal_morte
-
- 4 Réponses
- 91 Vues
-
Dernier message par ouTide
-
- 4 Réponses
- 217 Vues
-
Dernier message par laurent