Privacy Shield [Résolu]

Signaler
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
-
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
-
Salut tout le monde,

Hier, mon frangin (79 ans) m'a appelé parce qu'il avait eu une alerte sur son PC comme quoi il serait infecté et d'appeler "Le service Microsoft", chose qu'il a fait malheureusement.

D'après ce que j'ai compris, ils ont pris la main à distance (comment ?) et se sont baladés sur son PC. Ils lui ont sorti le baratin habituel que j'ai lu sur différents posts ici même et il n'a pas donné suite.

Il m'a contacté dans la foulée, j'ai pris la main sur son PC (dwservice) et effectivement il y avait un icône sur la bureau de Privacy Shield. J'ai passé un coup de Malwarebyte et mis tout ce beau monde en quarantaine.

Ce matin j'ai désinstallé Privacy Shield toujours présent dans les programmes de Windows et j'ai fait un tour dans l'historique de sa navigation d'hier. Et là ce que j'y ai vu une chose qui m'a pas plu du tout. Notamment 2 adresses IP (213.32.16.37 et 62.227.38.169) et la preuve d'une prise en main à distance et une consultation de son compte Yahoo et Amazon.

D'après votre expérience , quels est le degré de dangerosité de ces actions et que puis-je faire concrètement ?

En vous remerciant par avance.

Bonne journée à vous.


Configuration: Linux / Firefox 75.0

3 réponses

Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460
Ci-dessous une capture de l'historique de navigation :


Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460
Le N° de téléphone appelé : 0184141767


PS. Désolé pour les messages ajoutés, la modification de message sur CCM est en rade ;-\
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096
Salut,

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour, au final, te faire acheter des logiciels à des prix élevés ou t'abonner à des supports d'aide à distance, le tout pour des prix supérieure à 150 euros.
Ces faux messages de virus cherchent à bloquer le navigateur WEB et indiquant que le PC est infecté, ces derniers proviennent :
- de publicités sur des sites de streaming/torrent illégaux

Par le passé, des campagnes téléphoniques, où tu recevais un appel par un technicien se faisant passer pour Microsoft ont aussi été utilisée.
Ton ordinateur n'est pas infecté.


En général, ça s'arrête à faire croire que le PC est infecté pour faire prendre un abonnement.
Mais ça peut parfois aller plus loin mais c'est rare.

~~

Si tu as désinstallé les programmes à la date de la prise en main, ça doit être bon.
Si tu veux que l'on vérifie le PC :

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460
Salut Malekal et merci déjà pour cette réponse.

Je t'envoie les rapports dès que je peux reprendre la main sur le PC (actuellement en conversation médicale via Skype).

Sinon, concernant les logiciels installés, j'ai viré Privacy Shield, mais dans la liste il y avait aussi Chrome d'installé en date d'hier, alors que ça fait un petit moment qu'il a été installé. Est-ce une mise à jour d'après toi ? Ou c'est préférable que je le désinstalle et le réinstalle dans la foulée ?

Merci pour tout.
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096 >
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020

Je ne sais pas pour Chrome.
Je vois pas bien en quoi ça les arrange de l'installer mais bon peut-être qu'ils l'ont mis.
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096
Que des restes.

Désinstalle Host App Service.

Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/

~~

Voici la correction FRST à réaliser.
Tu peux t'aider de cette note explicative avec des captures d'écran.

1- Ouvre FRST -
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3003929693-2921899740-893000250-1002\...\Run: [PCPrivacyShield2018] => "C:\Program Files (x86)\PC Privacy Shield 2018\PCPrivacyShield2018.exe" minimized
Task: {F1BFDA4F-E09B-4645-8683-4A7C4ED9C1E0} - System32\Tasks\Pokki => C:\Users\Etienne\AppData\Local\Pokki\Engine\HostAppServiceUpdater.exe <==== ATTENTION
Task: {45C98B56-958B-43F0-99B7-310C25733233} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
Task: {4674C946-F0EA-445C-972A-7DB53B95DD67} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
Task: {78BC8BA6-0965-423B-9EB5-517840233D1A} - \AutoKMS -> Pas de fichier <==== ATTENTION
EmptyTemp:
RemoveProxy:
Reboot:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.


Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096 >
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020

oui :)
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460 >
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020

Merci.

Tu ne m'as pas répondu concernant l'accès à distance ;-\
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096 >
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020

Par sécurité, faut changer les mots de passe des comptes internet et les sécuriser (double authentification).
Vu que le PC a été utilisé "à l'insu".
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020
5 460 >
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020

Ok. Merci pour tout. Bonne après-midi.
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 096 >
Messages postés
35614
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2020

De rien, bonne aprem à toi aussi =)