Fausse assistance telephonique

Bonjour,

Attention le message est assez long bien lire jusqu'au bout et faire les choses dans l'ordre chronologique.

Rien de bien nouveau c'est une arnaque très connue, lire attentivement CETTE PAGE tout y est expliqué..

Ce que tu as eu c'est simplement une page web qui te donne un numéro de téléphone d'un support bidon, c'est donc plus une escroquerie qu'une réelle infection, si tu appelles le numéro indiqué et si tu fais ce qui est demandé par l'escroc que tu as au bout du fil, tu te fais arnaquer de quelques centaines d'euros, et en plus ils installent quelques logiciels bidons et inutiles qu'ils font payer à prix d'or, ce qui les intéresse c'est ton argent pas ce qu'il y a sur ton pc.

Dans le rapport FRST on voit très clairement que l'arnaque a eu lieu le 15 décembre entre 10 et 11h du matin, le logiciel portable (sans installation) qui a servi pour la prise de contrôle c'est ConnectWiseControl.Client il a été téléchargé trois fois, ce logiciel est dans:

C:\Users\joseph\Downloads\ConnectWiseControl.Client (3).exe

Désinstalle :

Wondershare Helper Compact 2.6.0

WinZip Malware Protector

Glary Utilities 5.198

Ces logiciels sont inutiles au moins deux ont du être installés durant l'arnaque.

Pour les désinstaller utilise Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

Désinfection :

Pas mal de processus orphelins et un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {6F1F5F98-FFF0-473E-AD9F-5F1BC0E87C5F} - System32\Tasks\wmp_notifier_executor => C:\Program Files (x86)\WinZip Malware Protector\notifier.exe [1888424 2021-12-01] (Corel Corporation -> Corel Corporation) 
Task: {FA56D2EE-D053-4FBB-9F5C-A1FC081F77E4} - System32\Tasks\WinZip Malware Protector_startup => C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe [7229096 2021-12-01] (Corel Corporation -> Corel Corporation) 
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [2068856 2011-10-12] (Flexera Software LLC -> Flexera Software LLC.)
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\\isuspm.exe [2068856 ] (Flexera Software LLC -> Flexera Software LLC.)
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [] => [X]
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4042153852-397985973-1171778520-1001\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => "C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe" (Pas de fichier)
Task: {1AD4890D-4874-4E3D-9FFA-FEA25BA9D446} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4042153852-397985973-1171778520-1001UA => C:\Users\joseph\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {4AD3B75C-8DB3-4AB3-8637-0772109A5CC2} - pas de chemin du fichier
Task: {5D1A4692-2277-4278-AFAB-58755DB08593} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4042153852-397985973-1171778520-1001Core => C:\Users\joseph\AppData\Local\Google\Update\GoogleUpdate.exe /c (Pas de fichier)
FF Plugin HKU\S-1-5-21-4042153852-397985973-1171778520-1001: @tools.google.com/Google Update;version=3 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\npGoogleUpdate3.dll [Pas de fichier]
FF Plugin HKU\S-1-5-21-4042153852-397985973-1171778520-1001: @tools.google.com/Google Update;version=9 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\npGoogleUpdate3.dll [Pas de fichier]
S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
U3 aswbdisk; pas de ImagePath
S3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [X]
C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{A804CF1A-91E5-4F0C-9E8C-DB39E74056DD}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.23\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.29.2\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4042153852-397985973-1171778520-1001_Classes\CLSID\{EA724FD3-844D-43A9-A8C9-A5BC35FC20E4}\InprocServer32 -> C:\Users\joseph\AppData\Local\Google\Update\1.3.33.17\psuser_64.dll => Pas de fichier
ContextMenuHandlers1: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers2: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers4: [WinZip System Utilities Suite] -> {D84EF599-9133-4C38-971F-4DAB54BA8DA4} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
AlternateDataStreams: C:\ProgramData\TEMP:0FF263E8 [472]
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Pas de fichier
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier
Toolbar: HKU\S-1-5-21-4042153852-397985973-1171778520-1001 -> Pas de nom - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Pas de fichier
FirewallRules: [{49231B29-B774-4300-86B5-4AFCBE1E1D84}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS1E09\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{149F371C-58BD-4B05-826F-EB9DC13865B0}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS3F4F\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{4BBD2F5A-64A7-4792-AC10-8B4150DFC2C1}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS3F4F\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{560FA9AF-4BB9-43AB-BA9F-55428B181BF4}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS4453\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{59E2ED44-E283-4687-85B0-616DE442EFB4}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS4827\HP.EasyStart.exe => Pas de fichier
FirewallRules: [{9C91F420-73C3-4548-8528-11787213B3A0}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5819\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{8A70730F-30B7-4B00-ABEC-A25F377DA696}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5819\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{50FDC8DB-9982-4C55-8140-B7939A3A73AC}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5CCE\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{8182928E-9A31-4F6F-9AED-42A9780B1E95}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS5CCE\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{12AD0763-23B1-4136-A27C-30DAEBD30120}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS7892\HPDiagnosticCoreUI.exe => Pas de fichier
FirewallRules: [{F9EA8AD4-7946-4DA1-9E79-750C6C52160B}] => (Allow) C:\Users\joseph\AppData\Local\Temp\7zS7892\HPDiagnosticCoreUI.exe => Pas de fichier
C:\Users\joseph\Downloads\ConnectWiseControl.Client (3).exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

Pour information :

Il serait préférable de passer à Windows 10 car le support par Microsoft de Windows 8.1 s'arrête bientôt (plus de mises à jour notamment de sécurité à partir du 10 janvier 2023) pour migrer vers Windows 10 voir cette page. 

bonjour bazfile et merci pour l'intérêt porté.

Je te transmet le lien concernant le fichier fixlog :

https://pjjoint.malekal.com/files.php?id=20230103_w9q5u13j13o6  

A bientôt et bonne nouvel année

cordialement

Je te remercie beaucoup pour ton aide et assistance. Je crois qui j'irai sur un autre forum car je compte bien passer l'ordi sous w10 mais je compte à l'avenir ajouter un DD ssd. La question sera : est-il possible ensuite de basculer windows sur une partition c et le reste . C'est juste pour finir notre discussion

Encore merci et bonne année.

Je comptais récupérer l'ancien crucial que j'avais installé sur le PC de ma défunte mère. En discutant là, je constate dans le gestionnaire de tache que la colonne disque reste en permanence à 99-100%. Même si je ne fais rien. Est-ce McAfee qui tourne en permanence. Dans l'onglet divers , j'ai 11 firefox.exe affiché alors que j'ai ouvert qu'une page, 7 msedge.exe alors qu'il n'est pas ouvert , 12 svchost.exe . C'est normal ça?