Arnaque appel Microsoft
klarsfeld
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour je vous explique mon sérieux problème:
Ce matin nous avons eu le droit a un appel on ne peut plus désagréable: un américain se réclamant de Microsoft nous a appelé sous prétexte d'un cheval de Troie qui a terme aurait détruit notre ordinateur. Il aurait soi disant reçu ces informations, les ordinateurs étant reliés au serveur Microsoft.
Mon frère étant sur l'ordinateur a ce moment là, c'est lui qui a répondu a cet homme. Après avoir installé TeamViewver qui lui permettait de partager le contrôle de l'ordinateur, mon frère a vu ce soi disant représentant de Microsoft lui indiquer l'observateur d'événements rempli d'avertissements et d'erreurs ponctuant ses découvertes par des "oh my god" "that's a serious problem" apocalyptiques présageant de la fin prématurée de notre ordinateur.
Ne sachant pas quoi faire, mon frère a fini par me passer le téléphone. L'individu en question a recommencé son petit manège avec moi, m'incitant également a souscrire a une de ses offres pour bénéficier d'une plus grande protection que m'offrait mes autres antivirus apparemment "obsolètes" et promettant que si je refusais mon ordi était cuit dans les 3 heures, ce qui a largement contribué à renforcer ma suspicion, me demandant finalement si le type en question n'était pas un pirate informatique jouant au pompier après avoir allumé le feu.
j'ai ensuite téléphoné a Microsoft France qui m'a certifié qu'il s'agissait probablement de quelque escroc, de part sa volonté de vouloir a tout prix mes coordonnées bancaires(pour souscrire a son offre) et également parce qu'il s'exprimait an anglais alors que lorsque Microsoft a un souci avec quelqu'un, on choisit la langue de la personne en question.
J'ai ensuite effectué plusieurs scans avec mes logiciels(avast antivirus et malwayres bytes) qui n'ont rien remarqué de sérieux.
mes questions sont les suivantes:
1- Le fichier que cet homme m'a indique était csrss.exe, ce fichier étant censé être un cheval de Troie, il est toujours présent.Représente t'il encore un danger et si oui que faire?(je n'ai pas réussi a le supprimer car un programme nommé trusted installer en bloque la possibilité)
2- Au niveau de l'observatoire des événements, comment empêcher cette vague d'avertissement et d'erreurs?
3- Comment être sur que cet individu n'ait plus accès a mon ordinateur?(je précise qu'après nos refus d'accepter son offre, il a tout bonnement réussi a bloquer notre ordinateur ce que nous avons déjoué en débranchant internet)
Ce matin nous avons eu le droit a un appel on ne peut plus désagréable: un américain se réclamant de Microsoft nous a appelé sous prétexte d'un cheval de Troie qui a terme aurait détruit notre ordinateur. Il aurait soi disant reçu ces informations, les ordinateurs étant reliés au serveur Microsoft.
Mon frère étant sur l'ordinateur a ce moment là, c'est lui qui a répondu a cet homme. Après avoir installé TeamViewver qui lui permettait de partager le contrôle de l'ordinateur, mon frère a vu ce soi disant représentant de Microsoft lui indiquer l'observateur d'événements rempli d'avertissements et d'erreurs ponctuant ses découvertes par des "oh my god" "that's a serious problem" apocalyptiques présageant de la fin prématurée de notre ordinateur.
Ne sachant pas quoi faire, mon frère a fini par me passer le téléphone. L'individu en question a recommencé son petit manège avec moi, m'incitant également a souscrire a une de ses offres pour bénéficier d'une plus grande protection que m'offrait mes autres antivirus apparemment "obsolètes" et promettant que si je refusais mon ordi était cuit dans les 3 heures, ce qui a largement contribué à renforcer ma suspicion, me demandant finalement si le type en question n'était pas un pirate informatique jouant au pompier après avoir allumé le feu.
j'ai ensuite téléphoné a Microsoft France qui m'a certifié qu'il s'agissait probablement de quelque escroc, de part sa volonté de vouloir a tout prix mes coordonnées bancaires(pour souscrire a son offre) et également parce qu'il s'exprimait an anglais alors que lorsque Microsoft a un souci avec quelqu'un, on choisit la langue de la personne en question.
J'ai ensuite effectué plusieurs scans avec mes logiciels(avast antivirus et malwayres bytes) qui n'ont rien remarqué de sérieux.
mes questions sont les suivantes:
1- Le fichier que cet homme m'a indique était csrss.exe, ce fichier étant censé être un cheval de Troie, il est toujours présent.Représente t'il encore un danger et si oui que faire?(je n'ai pas réussi a le supprimer car un programme nommé trusted installer en bloque la possibilité)
2- Au niveau de l'observatoire des événements, comment empêcher cette vague d'avertissement et d'erreurs?
3- Comment être sur que cet individu n'ait plus accès a mon ordinateur?(je précise qu'après nos refus d'accepter son offre, il a tout bonnement réussi a bloquer notre ordinateur ce que nous avons déjoué en débranchant internet)
A voir également:
- Arnaque appel Microsoft
- Microsoft money - Télécharger - Comptabilité & Facturation
- Adieu Microsoft Money ! Ce logiciel gratuit est bien meilleur pour vos comptes personnels - Guide
- Telecharger microsoft store - Guide
- Installer windows 10 sans compte microsoft - Guide
- Microsoft word 2013 - Télécharger - Traitement de texte
11 réponses
Résumé de la discussion
Suite à un appel d'un interlocuteur se réclamant de Microsoft, une alerte de sécurité évoquant un cheval de Troie et TeamViewer a été présentée, accompagnée d'un observateur d'événements remplissant d'avertissements. Plusieurs éléments ont été avancés: le fichier csrss.exe est potentiellement dangereux, TrustedInstaller et Syskey ont été évoqués, et il est recommandé d'effectuer des scans et des vérifications. Des échanges divergent sur la manière de lever les avertissements de l'observateur d'événements, sur l'accès à distance et sur l'utilité des tutoriels FRST et des rapports Farbar Recovery Scan Tool. En parallèle, des conseils portent sur la suppression des raccourcis TeamViewer et sur la prudence quant à la communication des coordonnées bancaires lors d'appels non vérifiés.
Salut,
C'est une arnaque : https://forum.malekal.com/viewtopic.php?t=48978&start=
Malwarebytes ne détectant rien le PC ne doit pas être infecté.
Si tu veux vérifier :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
C'est une arnaque : https://forum.malekal.com/viewtopic.php?t=48978&start=
Malwarebytes ne détectant rien le PC ne doit pas être infecté.
Si tu veux vérifier :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
ok je fais ce que tu m'a dis
et concernant le gars en question possède t'il toujours une quelconque capacité de nuisance?
quand au fichier csrss.exe, représente t'il un danger?
je te remercie pour ton message, il m'a rassuré
et concernant le gars en question possède t'il toujours une quelconque capacité de nuisance?
quand au fichier csrss.exe, représente t'il un danger?
je te remercie pour ton message, il m'a rassuré
j'ai fait le scan, voici les resultats:
http://pjjoint.malekal.com/files.php?id=20150626_f6w13z10c10x6
http://pjjoint.malekal.com/files.php?id=20150626_y7t9b14l8d14
http://pjjoint.malekal.com/files.php?id=20150626_r11b6h7c8j6
pouvez vous repondre aux questions que j'ai posées précedemment et encore merci de l'aide apportée
http://pjjoint.malekal.com/files.php?id=20150626_f6w13z10c10x6
http://pjjoint.malekal.com/files.php?id=20150626_y7t9b14l8d14
http://pjjoint.malekal.com/files.php?id=20150626_r11b6h7c8j6
pouvez vous repondre aux questions que j'ai posées précedemment et encore merci de l'aide apportée
Pas infecté, deux antivirus, fais du ménage :
AV: Norton Internet Security (Disabled - Out of date) {63DF5164-9100-186D-2187-8DC619EFD8BF}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: Norton Internet Security (Disabled - Out of date) {63DF5164-9100-186D-2187-8DC619EFD8BF}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok merci j'ai viré norton
et sinon le type en question a t'il encore un quelconque pouvoir de nuisance sur moi?
et quid de csrss.exe?
désolé d'etre aussi insistant mais si tu as les réponses a ces questions, ca me plairait beaucoup
et sinon le type en question a t'il encore un quelconque pouvoir de nuisance sur moi?
et quid de csrss.exe?
désolé d'etre aussi insistant mais si tu as les réponses a ces questions, ca me plairait beaucoup
merci pour ton aide en tout cas et sinon dernière question pour mon frère(qui psychotes beaucoup d'ou toutes ces questions): le programme teamviewver a disparu sans qu'on le supprime nous même, je ne pense pas que ca pose problème mais lui a peur que ce soit du a quelque chose
encore merci d'avoir daigné me répondre
encore merci d'avoir daigné me répondre
Re j'ai encore besoin d'aide puisque syskey le truc qui a servi a bloquer mon ordi est toujours présent sur mon ordi et je ne peut pas le supprimer même avec les droit d'admin car j'ai besoin de l'autorisation d'un certain TrustedInstaller c'est quoi encore ce truc ? Un virus ? le gars a du installer ça lorsque il avait la main sur mon ordi et ca lui a servi pour le bloquer j'aimerais le supprimer.
Me demande comment tu as pu faire un scan FRST si ton ordinateur es bloqué par Syskey...
Pour syskey, voir là : https://forum.malekal.com/viewtopic.php?t=50127&start=
Ca va devenir un peu plus technique :/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Pour syskey, voir là : https://forum.malekal.com/viewtopic.php?t=50127&start=
Ca va devenir un peu plus technique :/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est pour le supprimer de mon ordi le programme en fait sinon je n'ai plus de mot de passe au démarrage puisque j'ai réussi a le déjouer en me débranchant d'internet. Justement je ne peut pas le supprimer car ce TrustedInstaller m'en empêche même avec les droit d'admin.
Je fait comment du coup pour m'en débarrasser définitivement ? Autre chose je fait comment pour voir quels sont les derniers fichiers installés sur l'ordi ?
Je fait comment du coup pour m'en débarrasser définitivement ? Autre chose je fait comment pour voir quels sont les derniers fichiers installés sur l'ordi ?
J'ai presque fini il reste juste un truc a voir,je m'excuse d'avance si je peux paraître chiant avec toutes ses question mais je doit être sur a 100 % que je suis tiré d'affaire pour ne pas avoir a faire d'autre topics,je vous remercie encore infiniment de m'aider a régler mon problème une bonne fois pour toutes. Du coup j'ai trouvé le moyen de contourné TrsutedInstaller en lui retirant tout ses autorisations et donc j'ai supprimé syskeys(qui a l'air aussi d'être un standalone puisque je ne l'ai pas trouvé dans le panneaux de configuration)
L'autre truc c'est que j'ai toujours le raccourci d'installation de Teamviwer sur mon PC en fait sachant que j'en veux le supprimer il me dit qu'il est introuvable et qu'il n'existe plus du coup j'aimerais enlever ce raccourci. J'ai réussi a supprimer le raccourci du dossier Teamviwer(pas le programme d'installation) en le recherchant dans ''ordinateur'' ( j'ai eu le même souci que pour le raccourci d'installation sauf que la il m'a suffit de faire clique droit et actualiser pour qu'il disparaisse alors que le raccourci d'installation j'ai beau faire ça ne change rien)
PS: Pour le mot de passe syskeys il m'a suffit de redémarrer l'ordi ensuite y'a avait eu truc de restauration qui s'est affiché,j'ai fait le truc et ensuite y'a l'écran comme quoi windows s'est éteint pas correctement durant sa dernière utilisation et donc il m'a suffit d'appuyer sur ''Démarrer windows normalement pour que tout rentre dans l'ordre''.
L'autre truc c'est que j'ai toujours le raccourci d'installation de Teamviwer sur mon PC en fait sachant que j'en veux le supprimer il me dit qu'il est introuvable et qu'il n'existe plus du coup j'aimerais enlever ce raccourci. J'ai réussi a supprimer le raccourci du dossier Teamviwer(pas le programme d'installation) en le recherchant dans ''ordinateur'' ( j'ai eu le même souci que pour le raccourci d'installation sauf que la il m'a suffit de faire clique droit et actualiser pour qu'il disparaisse alors que le raccourci d'installation j'ai beau faire ça ne change rien)
PS: Pour le mot de passe syskeys il m'a suffit de redémarrer l'ordi ensuite y'a avait eu truc de restauration qui s'est affiché,j'ai fait le truc et ensuite y'a l'écran comme quoi windows s'est éteint pas correctement durant sa dernière utilisation et donc il m'a suffit d'appuyer sur ''Démarrer windows normalement pour que tout rentre dans l'ordre''.
Voici les trois lien du scan FRST
Addition :http://pjjoint.malekal.com/files.php?id=20150628_q13q610v8b11
Shortcut:http://pjjoint.malekal.com/files.php?id=20150628_l11h5n7b13b8
FRST: http://pjjoint.malekal.com/files.php?id=FRST_20150628_h5n9s14m15p15
Aussi du coup j'en profite pour avoir plus de précision sur certaines choses;
Le mot de passe syskey est il vraiment supprimé de mon PC ? (vu que du coup syskey a été supprimé de mon PC)
Lorsque le gars m'a demandé d'utiliser Teamviewer et que du coup je me suis fait avoir comme un bleu, il y avait divers codes affichés a l'écran qu'il m'a demandé de lui communiquer et un mot de passe pour qu'il puisse faire le partage. C'est quoi ces fameux codes ?
Est ce que dans mon cas présent formater/restaurer l'ordinateur est une solution pour être sur a 100 % d'être sorti d'affaire ou c'est pas nécessaire ? ( je demande ça puisque en me renseignant un peu sur la chose et regardant divers topics des gens l'ont fait en fait car je rappelle que le gars a quand même pris le contrôle de mon PC). les seuls truc que j'ai vu qu'il a fait c'est de faire un truc dans la commande system32 peut etre en rapport avec le syskeys et de démarrer un scan d'un antivirus microsoft après je sais pas si il a fait autre chose et justement ça m'inquiète un peu ( en résumé j'ai peur qu'il puisse reprendre le contrôle du PC ou me hacker)
Addition :http://pjjoint.malekal.com/files.php?id=20150628_q13q610v8b11
Shortcut:http://pjjoint.malekal.com/files.php?id=20150628_l11h5n7b13b8
FRST: http://pjjoint.malekal.com/files.php?id=FRST_20150628_h5n9s14m15p15
Aussi du coup j'en profite pour avoir plus de précision sur certaines choses;
Le mot de passe syskey est il vraiment supprimé de mon PC ? (vu que du coup syskey a été supprimé de mon PC)
Lorsque le gars m'a demandé d'utiliser Teamviewer et que du coup je me suis fait avoir comme un bleu, il y avait divers codes affichés a l'écran qu'il m'a demandé de lui communiquer et un mot de passe pour qu'il puisse faire le partage. C'est quoi ces fameux codes ?
Est ce que dans mon cas présent formater/restaurer l'ordinateur est une solution pour être sur a 100 % d'être sorti d'affaire ou c'est pas nécessaire ? ( je demande ça puisque en me renseignant un peu sur la chose et regardant divers topics des gens l'ont fait en fait car je rappelle que le gars a quand même pris le contrôle de mon PC). les seuls truc que j'ai vu qu'il a fait c'est de faire un truc dans la commande system32 peut etre en rapport avec le syskeys et de démarrer un scan d'un antivirus microsoft après je sais pas si il a fait autre chose et justement ça m'inquiète un peu ( en résumé j'ai peur qu'il puisse reprendre le contrôle du PC ou me hacker)
Le mot de passe syskey est il vraiment supprimé de mon PC ? (vu que du coup syskey a été supprimé de mon PC)
Bha non sinon il s'ouvirait au démarrage;
D'autre part dans le lien que je t'ai donné pour la résolution des prob syskey, tu as la commande pour vérifier s'il est actif ou non.
Pour teamviewer, il n'est plus dans la liste des programmes.
Je suis certains qu'ils t'ont fait utiliser la version standalone (s'il y avait _QS dans le nom c'est le cas), c'est à dire simplement l'executable qui n'installe rien, juste le client.
Bref, comme dit plus haut, la recherche donne le raccourci surement car l'indexation n'est pas à jour.
Essaye de reconstruire l'indexation ==> https://forum.malekal.com/viewtopic.php?t=51880&start=
Voir si la recherche arrete de mentionner le raccourci.
Sinon peut-être tenter un checkdisk :
Menu Démarrer, dans la barre blanche "Rechercher"
Tape cmd, clic droit sur cmd.exe, Exécuter en tant qu'administrateur
Dans l'invite qui s'ouvre, copie et colle cette ligne
chkdsk c: /F/R
Tape sur entrée , dans une fenàªtre noir il va te demander si tu veut le faire au redémarrage, tape o (oui), tape sur entrée et redémarre, au redémarrage un écran bleu va s'afficher avec étape 1 sur 5... , c'est normal, il va rester pendant 1h ou 2h.
Au final :
- Il n'y a pas de malware qui ont été installés.
- Syskey a été viré
- Teamviewer n'est pas installé et il n'a jamais dû l'être vu que c'était la version Quick Support
- Pour les mots de passe, au pire, change les.
Bha non sinon il s'ouvirait au démarrage;
D'autre part dans le lien que je t'ai donné pour la résolution des prob syskey, tu as la commande pour vérifier s'il est actif ou non.
Pour teamviewer, il n'est plus dans la liste des programmes.
Je suis certains qu'ils t'ont fait utiliser la version standalone (s'il y avait _QS dans le nom c'est le cas), c'est à dire simplement l'executable qui n'installe rien, juste le client.
Bref, comme dit plus haut, la recherche donne le raccourci surement car l'indexation n'est pas à jour.
Essaye de reconstruire l'indexation ==> https://forum.malekal.com/viewtopic.php?t=51880&start=
Voir si la recherche arrete de mentionner le raccourci.
Sinon peut-être tenter un checkdisk :
Menu Démarrer, dans la barre blanche "Rechercher"
Tape cmd, clic droit sur cmd.exe, Exécuter en tant qu'administrateur
Dans l'invite qui s'ouvre, copie et colle cette ligne
chkdsk c: /F/R
Tape sur entrée , dans une fenàªtre noir il va te demander si tu veut le faire au redémarrage, tape o (oui), tape sur entrée et redémarre, au redémarrage un écran bleu va s'afficher avec étape 1 sur 5... , c'est normal, il va rester pendant 1h ou 2h.
Au final :
- Il n'y a pas de malware qui ont été installés.
- Syskey a été viré
- Teamviewer n'est pas installé et il n'a jamais dû l'être vu que c'était la version Quick Support
- Pour les mots de passe, au pire, change les.
Du coup j'ai regardé et sur ma session(pas la session admin) quand j'utilise la fonction rechercher je trouve un raccourci teamviewerQS donc quick support comme tu m'as dit et sur la session admin j'ai le raccourci setup qui se trouvait aux même emplacement seul le nom de la session diffère.
Pour l'indexation du fichier quand je l'aurais désactivé,vous me conseiller de la laisser désactivée ou de la réactiver ?
PS: pour le mot de passe syskey oui j'ai tout lu sauf que je vois pas de quel commande vous vous voulez parlez pour voir si il est actif ou non sachant que dans le lien il est question de suppression ? Désolé de mon noobisme
Pour l'indexation du fichier quand je l'aurais désactivé,vous me conseiller de la laisser désactivée ou de la réactiver ?
PS: pour le mot de passe syskey oui j'ai tout lu sauf que je vois pas de quel commande vous vous voulez parlez pour voir si il est actif ou non sachant que dans le lien il est question de suppression ? Désolé de mon noobisme
Je viens de faire un scan malwarebytes la tout de suite et il m'a trouvé un objet infecté,je pense l'avoir attrapé ce matin en naviguant sur internet mais je sais pas si sa un quelconque rapport avec cet affaire la voila le nom HKU/S-1-5-18/SOFTWAREATALOW/11146AC44-4431-B4FD-889BC837521F} ? C'était une clé de registre
