Sujet Précédent Sujet Suivant

Nettoyer son ordi après arnaque

Résolu/Fermé
Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021 - 9 juin 2021 à 22:03
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 - 10 juin 2021 à 14:08
Bonjour,
Il y a quelques jours, un ami m'a avoué qu'il est tombé dans une arnaque il y a un mois : son ordi a émis un fort son d'alarme, l'écran s'est bloqué et un message lui indiquait d'appeler un numéro de tph...
Et malheureusement, cet ami a téléphoné à ce numéro et on lui a "soi-disant" réparé son ordinateur - en prenant la main à distance - contre 200€!
Cela fait maintenant 1 mois, je récupère son ordi mais je crains que les arnaqueurs aient laissé une saloperie sur l'ordi : pouvez-vous m'aider SVP ?
(Windows10 32 bits, 4 Go de RAM, disque dur de 500 Go env (en 2 partition d'environ 250 chacune), application "Courrier"

4 réponses

Réponse 1 / 4
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 481
9 juin 2021 à 22:39
Bonsoir,
Rien de bien nouveau, ce que ton ami a eu c'est simplement une page web qui donne un numéro de téléphone d'un support bidon, c'est donc plus une escroquerie qu'une réelle infection, si tu appelles le numéro indiqué et si tu fais ce qui est demandé par l'escroc que tu as au bout du fil, tu te fais arnaquer de quelques centaines d'euros, ce qui les intéresse c'est ton argent pas ce qu'il y a sur ton pc.
Au pire ils installent des logiciels bidons de soi-disant sécurité du style Privacy Shield qu'ils font payer à prix d'or, 200€ pour ton ami.

Pour voir et te rassurer:
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
1
Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021 1
9 juin 2021 à 22:46
Merci, je fais ça et je reviens.
0
Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021 1
9 juin 2021 à 23:27
Voici :
Votre document "Addition.txt" est disponible ici:
https://www.cjoint.com/c/KFjvAaEXTaY

Votre document "FRST.txt" est disponible ici:
https://www.cjoint.com/c/KFjvymiBIDY
0
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 481 > Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021
Modifié le 10 juin 2021 à 00:14
Il faut dire qu'au bout d'un mois des choses ont été modifiées d'où l'intérêt de venir ici dés le début du problème, tu as passé Malwarebytes et ZHPcleaner, aucun restes résultant de l'arnaque..


Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {41DA248D-E41A-4CC6-91AC-90D485D237A5} - \Microsoft\Windows\Setup\EOSNotify2 -> Pas de fichier 
Task: {5050F966-E2AD-4FFB-AE38-1E55DBE12CFF} - \Microsoft\Windows\Setup\EOSNotify -> Pas de fichier 
Task: {5A02F7BF-50F8-40CC-8B31-59D61438A754} - \FCOoRiAOcWtofpx -> Pas de fichier 
Task: {91BE2416-ACA1-41DA-85EF-3E81DFA6E3AE} - \{3BFF7F02-EB1C-F398-9FC0-57E7C9679549} -> Pas de fichier 
S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x32.sys [X]
HKU\S-1-5-21-387923179-2538523171-1480022113-1000\...\Run: [Chromium] => "c:\users\utilisateur\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory=Default --restore-last-session
C:\users\utilisateur\appdata\local\chromium
U3 idsvc; pas de ImagePath
GroupPolicy\User: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction 
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


POUR INFORMATION:

La version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
0
Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021 1
10 juin 2021 à 01:14
Merci Bazfile, le problème a l'air réglé.
Il me reste un petit problème, que tu sauras peut-être résoudre :
A gauche de la barre des notifications, sur 6-7 cm, il y a le texte "supporttech0186613779" (capture d'écran : https://www.cjoint.com/c/KFjxlUsDpeY. Je n'arrive pas à l'enlever, saurais-tu me conseiller ?
Mais je t'assure : il n'y a pas de fichier "Fixlog" sur le bureau.
Merci pour la version de Windows 10, je m'occupe de ça.
0
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 481 > Ja241 Messages postés 7 Date d'inscription mercredi 9 juin 2021 Statut Membre Dernière intervention 10 juin 2021
Modifié le 10 juin 2021 à 11:49 
Mais je t'assure : il n'y a pas de fichier "Fixlog" sur le bureau.

si tu as fait la correction le fichier Fixlog devrait être présent.

Pour ton icône supporttech cela n'a rien de grave c'est simplement un rappel du numéro de téléphone du faux support qui a arnaqué ton ami le 10 mai dernier à 12h34.

Fait une correction comme tu as fait précédemment avec le script ci-dessous, une fois la correction effectuée si l'icône "supporttech0186613779" apparait encore, normalement elle devrait-être blanche tu cliques dessus on te proposera de la supprimer vu que le fichier cible n'est plus présent, tu la supprimes.
Script de correction à effectuer avec FRST (même procédure que précédemment): 
Start::
CreateRestorePoint:
CloseProcesses:
C:\Users\Utilisateur\Desktop\Documents\supporttech0186613779
End::

Si ça ne part pas fait une nouvelle analyse FRST en décochant Regitre et en cochant shortcut.txt et fichiers 90 jours comme ci-dessous.


Tu auras trois fichiers : FRST addition et shortcut donne les liens toujours via Cjoint.
0

Discussions similaires

Piratage informatique Depann247
Christelle -
bazfile -

1 réponse
Estimer le prix de mon PC
Echel0n -
philinfo -

2 réponses
Comment faire arobase sur mon hp
Arobase -
Ossi -

3 réponses
Quel est le rôle du condensateur dans l'ordinateur?
atho1901 -
alain -

19 réponses
Synchronisation agendas
Maudy -
Utilisateur anonyme -

3 réponses
TABLETTE 2021
JARYAS -
Panth33ra -

3 réponses