Fausse assistance telephonique

Résolu/Fermé
RICONET Messages postés 116 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 6 mars 2024 - Modifié le 3 janv. 2023 à 09:26
bazfile Messages postés 56644 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 - 3 janv. 2023 à 17:38

Bonjour,

mon père (86) m'a informé qu'il a été démarché par une assistance téléphonique et qu'il a payé 252 euros pour cela. Il m'a dit que le technicien avait eu la main sur son pc. Malgré quelques recherches, je n'ai pas trouvé grand chose. J'ai donc utilisé FRST pour avoir un peu d'aide car j'ai lu que cela pouvait aider. Son PC est un peu "bordélique". Je compte y mettre un peu d'ordre. Pouvez-vous m'aider?

Je joint les liens différents rapports:

https://up.security-x.fr/file.php?h=R494bcd2a31bf1ff9678a3dac3b89c4d5 

https://up.security-x.fr/file.php?h=R4af3383e97184a4f39d3325bc074c5ce 

https://up.security-x.fr/file.php?h=R7ef62fdd81414f988681cce500282ac1 

A voir également:

4 réponses

bazfile Messages postés 56644 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 330
Modifié le 3 janv. 2023 à 09:26

Bonjour,

Attention le message est assez long bien lire jusqu'au bout et faire les choses dans l'ordre chronologique.


Rien de bien nouveau c'est une arnaque très connue, lire attentivement CETTE PAGE tout y est expliqué..

Ce que tu as eu c'est simplement une page web qui te donne un numéro de téléphone d'un support bidon, c'est donc plus une escroquerie qu'une réelle infection, si tu appelles le numéro indiqué et si tu fais ce qui est demandé par l'escroc que tu as au bout du fil, tu te fais arnaquer de quelques centaines d'euros, et en plus ils installent quelques logiciels bidons et inutiles qu'ils font payer à prix d'or, ce qui les intéresse c'est ton argent pas ce qu'il y a sur ton pc.

Dans le rapport FRST on voit très clairement que l'arnaque a eu lieu le 15 décembre entre 10 et 11h du matin, le logiciel portable (sans installation) qui a servi pour la prise de contrôle c'est ConnectWiseControl.Client il a été téléchargé trois fois, ce logiciel est dans:

C:\Users\joseph\Downloads\ConnectWiseControl.Client (3).exe

Désinstalle :

Wondershare Helper Compact 2.6.0

WinZip Malware Protector

Glary Utilities 5.198

Ces logiciels sont inutiles au moins deux ont du être installés durant l'arnaque.

Pour les désinstaller utilise Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

Désinfection :

Pas mal de processus orphelins et un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {6F1F5F98-FFF0-473E-AD9F-5F1BC0E87C5F} - System32\Tasks\wmp_notifier_executor => C:\Program Files (x86)\WinZip Malware Protector\notifier.exe [1888424 2021-12-01] (Corel Corporation -> Corel Corporation) 
Task: {FA56D2EE-D053-4FBB-9F5C-A1FC081F77E4} - System32\Tasks\WinZip Malware Protector_startup => C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe [7229096 2021-12-01] (Corel Corporation -> Corel Corporation) 
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [2068856 2011-10-12] (Flexera Software LLC -> Flexera Software LLC.)
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\\isuspm.exe [2068856 ] (Flexera Software LLC -> Flexera Software LLC.)
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [] => [X]
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => "C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe" (Pas de fichier)
Task: {1AD4890D-4874-4E3D-9FFA-FEA25BA9D446} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4042153852-397985973-1171778520-1001UA => C:\Users\joseph\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {4AD3B75C-8DB3-4AB3-8637-0772109A5CC2} - pas de chemin du fichier
Task: {5D1A4692-2277-4278-AFAB-58755DB08593} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4042153852-397985973-1171778520-1001Core => C:\Users\joseph\AppData\Local\Google\Update\GoogleUpdate.exe /c (Pas de fichier)
FF Plugin HKU\S-1-5-21-4042153852-397985973-1171778520-1001: @tools.google.com/Google Update;version=3 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\npGoogleUpdate3.dll [Pas de fichier]
FF Plugin HKU\S-1-5-21-4042153852-397985973-1171778520-1001: @tools.google.com/Google Update;version=9 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\npGoogleUpdate3.dll [Pas de fichier]
S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
U3 aswbdisk; pas de ImagePath
S3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [X]
C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{A804CF1A-91E5-4F0C-9E8C-DB39E74056DD}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.23\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.29.2\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{EA724FD3-844D-43A9-A8C9-A5BC35FC20E4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.17\psuser_64.dll => Pas de fichier
ContextMenuHandlers1: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers2: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers4: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
AlternateDataStreams: C:\ProgramData\TEMP:0FF263E8 [472]
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Pas de fichier
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Pas de fichier
FirewallRules: [{49231B29-B774-4300-86B5-4AFCBE1E1D84}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS1E09\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{149F371C-58BD-4B05-826F-EB9DC13865B0}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS3F4F\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{4BBD2F5A-64A7-4792-AC10-8B4150DFC2C1}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS3F4F\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{560FA9AF-4BB9-43AB-BA9F-55428B181BF4}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS4453\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{59E2ED44-E283-4687-85B0-616DE442EFB4}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS4827\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{9C91F420-73C3-4548-8528-11787213B3A0}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5819\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{8A70730F-30B7-4B00-ABEC-A25F377DA696}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5819\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{50FDC8DB-9982-4C55-8140-B7939A3A73AC}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5CCE\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{8182928E-9A31-4F6F-9AED-42A9780B1E95}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5CCE\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{12AD0763-23B1-4136-A27C-30DAEBD30120}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS7892\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{F9EA8AD4-7946-4DA1-9E79-750C6C52160B}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS7892\HPDiagnosticCoreUI.exe => Pas de fichier
C:\Users\joseph\Downloads\ConnectWiseControl.Client (3).exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

Pour information :

Il serait préférable de passer à Windows 10 car le support par Microsoft de Windows 8.1 s'arrête bientôt (plus de mises à jour notamment de sécurité à partir du 10 janvier 2023) pour migrer vers Windows 10 voir cette page


1
RICONET Messages postés 116 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 6 mars 2024
Modifié le 3 janv. 2023 à 12:11

bonjour bazfile et merci pour l'intérêt porté.

Je te transmet le lien concernant le fichier fixlog :

https://pjjoint.malekal.com/files.php?id=20230103_w9q5u13j13o6  

A bientôt et bonne nouvel année

cordialement

0
bazfile Messages postés 56644 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 330
Modifié le 3 janv. 2023 à 12:12

Belle et heureuse année 2023 à toi aussi.

Le fixlog est OK, le pc est propre.


Si de ton côté tout est également OK, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
RICONET Messages postés 116 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 6 mars 2024
3 janv. 2023 à 16:37

Je te remercie beaucoup pour ton aide et assistance. Je crois qui j'irai sur un autre forum car je compte bien passer l'ordi sous w10 mais je compte à l'avenir ajouter un DD ssd. La question sera : est-il possible ensuite de basculer windows sur une partition c et le reste . C'est juste pour finir notre discussion

Encore merci et bonne année.

0
bazfile Messages postés 56644 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 330
Modifié le 3 janv. 2023 à 16:53

Pour les SSD il est possible de cloner l'ancien disque dur sur le SSD ce qui évite de tout réinstaller, les bons fabricants de SSD fournissent un logiciel dédié exemple :
 

Pour Crucial https://www.amazon.fr/Crucial-CT500MX500SSD1-interne-MX500-pouces/dp/B078211KBB

Logiciel Acronis For Crucial https://www.acronis.com/en-gb/promotion/crucialhd-download/
 

Pour Samsung tu as Data Migration https://semiconductor.samsung.com/consumer-storage/support/tools/
 

Pour les autres marques tu as des logiciels génériques:

https://www.astuces-aide-informatique.info/3245/clonage-disque-dur

https://www.malekal.com/clone-disque-hdd-ssd-macrium-reflect/
 

Pour l'ancien disque dur il est possible de s'en servir comme disque dur externe via un boitier adapté à sa taille.

https://www.ldlc.com/informatique/pieces-informatique/boitier-disque-dur/c4676/?sort=1

0
RICONET Messages postés 116 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 6 mars 2024
3 janv. 2023 à 17:05

Je comptais récupérer l'ancien crucial que j'avais installé sur le PC de ma défunte mère. En discutant là, je constate dans le gestionnaire de tache que la colonne disque reste en permanence à 99-100%. Même si je ne fais rien. Est-ce McAfee qui tourne en permanence. Dans l'onglet divers , j'ai 11 firefox.exe affiché alors que j'ai ouvert qu'une page, 7 msedge.exe alors qu'il n'est pas ouvert , 12 svchost.exe . C'est normal ça?

0
bazfile Messages postés 56644 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 330
Modifié le 17 janv. 2023 à 18:07

@RICONET StatutMembre

Oui c'est normal quand j'ouvre Chrome j'ai 24 processus c'est comme ça.
 

Pour ton disque dur classique Seagate de 1TO c'est certain qu'un SSD serait le bienvenu.
 

Pour McAfee, franchement quand tu passeras sous Windows 10  je ne vois pas l'intérêt d'un antivirus, l'antivirus intégré à Windows 10 est efficace et suffisant c'est pareil pour Windows 11 et il ralenti moins le pc, McAfee ralenti fortement ton pc, quand tu passeras à Windows 10 désinstalle-le avec l'outil de désinstallation de McAfee afin qu'il soit totalement supprimé.
 

1