> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico]tentative d'arnaqueSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
manudinovi
  Posté le 07/01/2021 @ 18:20 
Aller en bas de la page 
Petit astucien

Bonjour,

Avant tout, je vous souhaite une bonne année à vous toutes et à vous tous, pleine de joies et de santé !

Ma demande concerne le PC portable d'un ami qui a été victime d'une tentative d'arnaque : une page internet s'est ouverte "votre pc est infecté ... appelez le num XXXX ". N'y connaissant pas grand chose il a appelé le numéro mais à fait machine arrière quand la personne a commencé à lui parler d'argent.

Je voudrais donc savoir si quelqu'un serait prêt à analyser les 4 fichiers générés sur le PC avec ZHPsuite et FRST que je pourrais déposer sur Cjoint ?

Petite précision : les fichiers actuels ont été générés alors que dans le dossier Téléchargements il y avait un fichier suspect "ConnectWiseControl"que je n'ai pas encore supprimé (dois je supprimer ce fichier et relancer les analyses ?)

Je vous remercie d'avance pour votre aide

Cordialement

Emmanuel

Publicité
El Magnifico
 Posté le 07/01/2021 à 18:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Dans un premier temps

Postez les rapports dont vous parlez

manudinovi
 Posté le 07/01/2021 à 19:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
El Magnifico
 Posté le 07/01/2021 à 20:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité



Diagnostic:

Il y a bien infection.

Quelques fichiers indésirables. Beaucoup de superflus et programmes inutiles !

Trop de sécurité

*****

Programme:


Nous allons alléger la machine en désinstallant des programmes inutiles, nous allons utiliser des outils pour éliminer les superflus et indésirables.



*****

Questions:

En dehors de l' arnaque, quel problémes rencontre t-il ?

Utilisez vous Anydesk ?

Quel est votre antivirus ? j' en vois 2 dont avast ( a désinstaller , voir plus bas )

******

Début du nettoyage:

.


image Merci de bien vouloir respecter les consignes suivantes pour une bonne efficacité du nettoyage de la machine.

• Ne pas se faire aider ailleurs pendant tout le temps de ma prise en charge.
• Ne pas installer de nouveaux logiciels, autres que ceux que je demande.
• Exécuter exactement les actions demandées, jusqu'au terme de ma prise en charge.

image Désinstallez ConnectWiseControl


image Pour les utilisateurs de W10, pas besoin d' un antivirus tiers , Windows défender est l' équivalent des AV gratuit. Je vous invite à désinstallez votre antivirus tiers qui ralentit la machine

Info => ICI


Pour Avast ouvrir l interface d'avast, onglet dépannage , décocher l 'autodéfense puis quitter le programme
Puis désinstallez le avec cet outil : https://files.avast.com/iavs9x/avastclear.exe


image Si vous n' utilisez pas One Drive => ICI


Puis


image Bloquez les mises à jour windows , tout au moins pendant notre intervention, ceci afin d' éviter des interférences avec les outils

Pour ce faire :Téléchargez ce petit log : https://www.sordum.org/9470/windows-update-blocker-v1-5/

Cliquez sur le bouton gris " Download" environ en milieu de page.

Puis clic Droit / Extraire tout. Cliquez sur le nouveau dossier puis sur l' Application

Puis sur Desactiver Service / Appliquer Maintenant

Démo animée => ICI


************

A vous lire

manudinovi
 Posté le 07/01/2021 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour ces retours que je vais m'efforcer de suivre
quelques réponses , quelques questions et ce que je prévois de faire :

  1. Il ne rencontre pas de problème en dehors de l'arnaque
  2. Je vais bloquer les mises à jour
  3. Oui il utilise Anydesk (avec moi lorsque je veux l'aider sur une fonctionnalité : prise de main à distance)
  4. Comment désinstaller ConnectWiseControl autrement qu'en le supprimant du dossier Téléchargement ?(je ne le trouve pas comme étant installé ... avec CCleaner)
  5. je vais désinstaller Avast et activer Windows Defender.
  6. je vais désactiver Onedrive au démarrage

Je vous donnerai le résultat de mes actions.

Cordialement
Emmanuel

manudinovi
 Posté le 08/01/2021 à 00:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
manudinovi a écrit :

Merci pour ces retours que je vais m'efforcer de suivre
quelques réponses , quelques questions et ce que je prévois de faire :

  1. Il ne rencontre pas de problème en dehors de l'arnaque
  2. Je vais bloquer les mises à jour
  3. Oui il utilise Anydesk (avec moi lorsque je veux l'aider sur une fonctionnalité : prise de main à distance)
  4. Comment désinstaller ConnectWiseControl autrement qu'en le supprimant du dossier Téléchargement ?(je ne le trouve pas comme étant installé ... avec CCleaner)
  5. je vais désinstaller Avast et activer Windows Defender.
  6. je vais désactiver Onedrive au démarrage

Je vous donnerai le résultat de mes actions.

Cordialement
Emmanuel

Tout est fait avec la restriction pour le point 4 ou je n'ai fait que supprimer le fichier ConnectWiseControl.exe présent dans le dossier Téléchargement

Cordialement
Emmanuel



Modifié par manudinovi le 08/01/2021 00:32
El Magnifico
 Posté le 08/01/2021 à 08:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

manudinovi

Parfait



image Je vous invite à désinstaller ces programmes inutiles cités sous "Citation"

Code
Pour obtenir directement l'accés à ces programmes :
Touches Windows image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK



Citation


=> Chromium
=> Mozilla Maintenance Service
=> Dropbox ( si pas utilisé )
=> Search Powered by Yahoo



***************************************************************************************************



image Commençons par un pré-nettoyage.

Désactivez l' antivirus si celui-ci couine, ces outils sont propres!

• Suivre cette procédure avec l' utilisation de ces 3 outils dans l'ordre => ICI

Attention, ne pas désinstaller ASUS Smart Gesture avec ADWcleaner, si celui ci est proposé dans la section désinstallation des programmes préinstallés. Car il gère le pavé tactile.

Pour les utilisateurs de W10, lire => ICI

Postez les rapports ici


manudinovi
 Posté le 08/01/2021 à 22:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

voici le premier fichier obtenu avant d'opérer le "nettoyer"

https://www.cjoint.com/c/KAivmxFPZv8

mais, après avoir cliqué sur "nettoyer", il a mouliné puis est reparti en analyse (avec plus de 300 erreurs)

je pense ne pas avoir fait ce qu'il faut, et je préfère votre avis avant que de poursuivre avec ADWCleaner.

Cordialement.

Emmanuel

What do you want to do ?
New mailCopBo
manudinovi
 Posté le 08/01/2021 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
What do you want to do ?
New mailCopy
petite précision :
j'avais préalablement aux analyses supprimé les applications demandées : => Chromium
=> Mozilla Maintenance Service
=> Search Powered by Yahoo
mais pas Dropbox car utilisé Cordialement Emmanuel
Publicité
El Magnifico
 Posté le 09/01/2021 à 09:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

manudinovi

Il suffit de suivre la procédure indiquée, aprés le scan avec ZHPCleaner il faut cliquer sur Nettoyer.

manudinovi
 Posté le 09/01/2021 à 10:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok,

voici les fichiers suite à ADWcleaner

What do you want to do ?
New mailCopy
https://www.cjoint.com/c/KAjjzteJfm8
https://www.cjoint.com/c/KAjjAfNGfa8
manudinovi
 Posté le 09/01/2021 à 10:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

et voilà le dernier fichier (MBAM)

ttps://www.cjoint.com/c/KAjjIAaH778

Par contre je m’aperçois que je n'ai pas veillé à votre remarque concernant les ASUS : comment puis je le réinstaller à la bonne place Y a t'il d'autres choses à faire ? Merci d'avance pour votre retour. Emmanuel
El Magnifico
 Posté le 09/01/2021 à 11:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Tout est OK

par contre je ne vois pas le rapport du nettoyage de ZHPCleaner !

A vous lire pour la suite

manudinovi
 Posté le 09/01/2021 à 13:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici celui que je viens de lancer https://www.cjoint.com/c/KAjmfmB2xB8

par contre j'ai toujours quand je démarre le PC une notification relative à Connectwisecontrol : suffit-il que je désactive les notifications pour Screenconnectclient ?

cordialement

Emmanuel

What do you want to do ?
New mailCopy
El Magnifico
 Posté le 09/01/2021 à 13:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

C' est encore un scan que vous m' avez posté .

manudinovi
 Posté le 09/01/2021 à 13:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

... serait celui là : https://www.cjoint.com/c/KAjmIyQasz8

Emmanuel

What do you want to do ?
New mailCopy
El Magnifico
 Posté le 09/01/2021 à 13:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C' est bon,

Refaire un scan avec ZHPSuite et FRST

4 rapports sont attendus

Publicité
manudinovi
 Posté le 09/01/2021 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

What do you want to do ?
New mailCopy
les voilà :
What do you want to do ?
New mailCopy
https://www.cjoint.com/c/KAjnStsfiw8 https://www.cjoint.com/c/KAjnTUyujn8 https://www.cjoint.com/c/KAjnUzb0kb8 https://www.cjoint.com/c/KAjnVbXqX78 Cordialement Emmanuel
El Magnifico
 Posté le 09/01/2021 à 15:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité



      Voici un correctif avec
FRST


ENREGISTREMENT du script FixList pour correction.

    Desactivez votre antivirus le temps de la correction, si celui ci couine



Ne passer qu'une fois le correctif !


Cliquez sur ce lien : https://www.cjoint.com/data3/KAjo2ByiGx8_Fixlist.txt

Sur la page qui s'ouvre clic droit et " Sélectionner tout ", refaire un clic droit et "Copier" ou utilisez les séquences de touches Ctrl A et Ctrl C

Pas besoin de faire un "Coller" il se fera automatiquement suivant la procédure.

Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Cliquez sur image puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

image

.........................

Comment se comporte la machine ?
Si c' est correct , on finalise au prochain passage

.

manudinovi
 Posté le 09/01/2021 à 17:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport : https://www.cjoint.com/c/KAjpwm7hkY8

par contre je n'ai pas vu de Fin de Fixlog ???

What do you want to do ?
New mailCopy
El Magnifico
 Posté le 09/01/2021 à 17:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

parfait

Ma mission se termine


C ' est la dernière ligne droite



Videz la Corbeille image


.......................

Ouvrez Ccleaner

Si vous ne l' avez pas , téléchargez le , prendre la version uniquement Portable ( Zip ) image

image

image Nettoyage personnalisée / Analyser / Nettoyer.

Puis toujours dans Ccleaner
Cliquez sur Outils/ Demarrage/ dans les onglets "Taches planifiées" et "Windows" ( premier onglet)surlignez toutes les lignes sauf l'antivirus s'il est présent ,
puis cliquez en haut à droite sur DESACTIVER. S'il reste des lignes Activées , c'est normal !

.......................

KpRm (de Kernel-panik)

· Téléchargez sur le bureau => KpRm
· Désactivez temporairement l’ antivirus si vous l' aviez réactivé.
· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :


      o Supprimer les outils

      o Créer un point de restauration

      o Supprimer dans 7 jours



image

· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.


Si des outils restent présents sur le bureau, désinstallez les manuellement.



Puis image

• Vous pouvez activer le service des mises à jour avec WUB

Cochez la case: Activer Service puis cliquez sur : Appliquer Maintenant.

Redémarrez la machine pour la prise en compte de ce service.

Ouvrez de nouveau WUB, cliquez sur menu puis sur Paramétres Windows Update, enfin cliquez sur Rechercher des mises à jour, installez les.

• Réactivez l' Antivirus

……………………………….

Fin de désinfection

image

Je vous suis reconnaissant de m'avoir accordé votre confiance.

Maintenant que la machine est propre et optimisée, il est judicieux de sauvegarder régulièrement les données personnelles que l'on ne souhaite pas perdre, et surtout de créer une image disque du Système Windows.

Il est très important d' utiliser un programme permettant de créer des images de son système et aussi de faire les sauvegardes de ses données personnelles que l'on ne souhaite pas perdre, images disque et sauvegardes dont on privilégiera de les sauvegarder régulièrement sur un support externe, et qui par prudence sera déconnecté aussitôt l’opération réussie.

Pourquoi? => https://www.nicolascoolman.com/forum/post94895.html#p94895

Comment créer une sauvegarde de son système:

En cas de gros plantage, de défaillance matérielle, d'infection incurable, il est possible ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet.
Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.
Vous pouvez aussi créer une image complète de votre système avec Windows sans opter pour un logiciel tiers.



En cas de besoin des intervenants compétents restent à disposition dans cette section : Forum Sauvegarde et prévention


N'utilisez pas le P2P => https://www.generation-nt.com/utorrent-torrent-bittorrent-securite-tavis-ormandy-actualite-1951180.html
et => https://www.generation-nt.com/client-bittorrent-vulnerabilite-ormandy-transmission-actualite-1949990.html


Merci de votre coopération.Toute l'équipe du forum vous remercie et vous souhaite une agréable journée.



image

.

manudinovi
 Posté le 09/01/2021 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le fichier KPRM : https://www.cjoint.com/c/KAjwucJe8I8

... c'est t'y bon ?

manudinovi
 Posté le 09/01/2021 à 23:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

vraiment un très grand merci,
fabuleuse expérience que cet accompagnement bénévole !

je vous espère et je vais faire de même ...

Emmanuel

PS : je vais également remercier l'ami qui m'a orienté vers vous !

El Magnifico
 Posté le 10/01/2021 à 09:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

manudinovi

Parfait

Je vous souhaite un bon dimanche

Je clos le sujet

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
24,99 €Tensiomètre électronique Omron X2 à 24,99 €
Valable jusqu'au 13 Juin

Amazon fait une promotion sur le tensiomètre électrique Omron X2 Basic qui passe à 24,99 €. On le trouve ailleurs autour de 40 €. ce tensiomètre brassard est équipé d’un indicateur d’installation correcte avec voyant à LED, d’un indicateur de détection de mouvement et possède un grand écran et des touches larges. Afin de répondre au besoin du plus grand nombre, le M2 est livré avec un brassard M/L, pour un tour de bras de 22 à 32 cm.


> Voir l'offre
649,99 €Ordinateur portable Lenovo 15.6 pouces (FHD, Ryzen 7, 16Go RAM, SSD 512Go, GTX 1650 Ti) à 799,99 €
Valable jusqu'au 13 Juin

Cdiscount fait une promotion sur l'ordinateur portable Lenovo Ideapad 3 15ARH05 qui passe à 799,99 € alors qu'on le trouve habituellement à 999 €. Cet ordinateur portable dispose d'un écran 15,6 pouces Full HD (1920x1080), d'un processeur AMD Ryzen 7 4800H, de 16 Go de RAM, d'un SSD de 512 Go, d'une carte graphique dédiée GeForce GTX 1650 Ti 4 Go, d'une webcam, d'un lecteur de cartes mémoire et de connexions Bluetooth, WiFi, Ethernet, HDMI, USB 2.0 et USB 3.0. 


> Voir l'offre
47,89 €Support Putorsen articulé pour 2 écrans PC 17 à 27 pouces à 47,89 € (via coupon)
Valable jusqu'au 13 Juin

Amazon fait une promotion sur le support Putorsen articulé pour 2 écrans PC de 17 à 27 pouces à 47,89 € livré gratuitement grâce à un coupon de réduction à activer sur la page du produit. On le trouve ailleurs à partir de 60 €. Compatible VESA 75 x 75 mm et 100 x 100 mm. 6.5 kg par écran max. Ce bras de moniteur unique est extrêmement polyvalent et l'installation est simple. Le support de montage à pince en C robuste s'adapte à des bureaux jusqu'à 3,15  pouces d'épaisseur. Bras articulé facile à régler. Il permet la rotation de l'écran à 360°, pivot à 180°, inclinaison de + 90° à – 45°. 


> Voir l'offre

Sujets relatifs
tentative d'arnaque ou infection ?
tentative d'arnaque
arnaque à distance
RESOLU tentative d'intrusion
[El Magnifico] Nettoyage après arnaque au faux support informatique
[El Magnifico] arnaque?
[Liza33] Tentative de Suppression de NVDISPLAY.CONTAINER.EXE.
 > Tous les forums > Forum Analyse de rapports et désinfection