Nettoyer PC suite arnaque à la fausse infectionRésolu/Fermé

Question

Bonjour,
Je viens de récupérer le PC de mon père pour le nettoyer après qu'il se soit fait avoir par une des ces sociétés qui font croire que l'ordinateur est infecté pour procéder à une désinfection moyennant paiement.
A titre personnel je plains peu ceux qui se font avoir de la sorte malgré toutes les incitations à la prudence, mais voilà mon père a 75 ans et en mauvaise santé alors franchement comment le critiquer, par contre si j'avais ces gens sous la main...
Pour l'heure j'ai donc récupéré son PC et ne l'ai carrément pas allumé avant de savoir quelle est la meilleure procédure à suivre.
Je donne ci-dessous les quelques informations, malheureusement partielles qui pourront peut être vous renseigner:
Ce samedi 14/01 A priori depuis Facebook, une fenêtre pop-up alerte sur l'infection du PC par un cheval de troie.
Tenter de la fermer en cliquant coin droit en ouvre d'autres. Appeler le 04 81 68 10 14. Il appelle malheureusement.
Une dame lui dit que son PC est hyper infecté et lui demande de saisir "www.ordi247.fr"
Elle lui envoie deux fichiers et demande de cliquer. Un d'eux est un .exe donc probablement le logiciel permettant la prise en main a distance. Elle dit devoir faire intervenir un technicien et que cela coutera 199€. Mon père paye via un formulaire en ligne, donc il donne son numéro de carte bancaire et son numéro à 3 chiffres qui se trouve au dos.
Là il entre en communication avec un homme, le technicien. Après un moment il lui dit de ne pas retoucher au PC avant que l'écran noir ait disparu et que tout soit rentré dans l'ordre.
Fin de l'appel.
Plus tard mon père constate qu'il a à nouveau un écran "normal" sauf une barre en haut.
Il arrête le PC et le rallume en courant d'après-midi pour l'utiliser.
Vers 18h30 le "technicien" le rappelle et lui demande d'allumer le PC.
Mon père répond que le samedi à 18h30 on appelle pas les gens. Malgré tout le même rappelle vers 20h00. Je ne sais pas trop ce qui s'est dit mis à part qu'ils ont convenu que le monsieur pouvait le rappeler lundi 16/01 à 9h30.
Entre temps, donc dimanche 15/01 , mon père quand même intrigué m'a confié cet épisode et j'ai vite compris qu'il s'était fait avoir.
Je lui ai donc conseillé de ne pas décrocher ou de décrocher et dès qu'il comprend que ce sont encore ces gens qui appellent de raccrocher sans un mot.  Bref aucun contact.
Voilà j'ai donc pris le PC avec moi, il reste éteint tant que je n'ai pas d'indication sur la marche à suivre pour le nettoyer.
Merci d'avance et bien entendu je donnerai suite aux demandes de rapports de scans etc..

Wotard · Answer

Bonjour je te conseillerais de le démarrer en mode sans échec et de faire un scan avec malwarbyte.

Malekal_morte- · Answer

Salut,
Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique.... 
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros. 
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux.
Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.
Facebook par ces publicités peut aussi en envoyer : virus zeus sur facebook.

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 
CreateRestorePoint:CloseProcesses:2016-12-25 15:08 - 2016-12-25 15:08 - 00000000 ____D C:\Users\Enderlé\AppData\Local\chromium   2016-12-25 15:07 - 2017-01-13 18:31 - 00000000 ____D C:\ProgramData\{DA791F1A-503B-95DC-D6FD-0B9E4CBF8050}  2016-12-25 15:07 - 2016-12-26 15:50 - 00000296 _____ C:\WINDOWS\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C}.job  2016-12-25 15:07 - 2016-12-25 15:07 - 00004468 _____ C:\WINDOWS\System32\Tasks\Yahoo! Powered secad  2016-12-25 15:07 - 2016-12-25 15:07 - 00002836 _____ C:\WINDOWS\System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C}  2016-12-25 15:06 - 2016-12-25 15:07 - 00000000 ____D C:\Users\Enderlé\AppData\Local\{4102775E-65AA-1BE6-0832-3E0E2C5AC296}  2017-01-14 12:18 - 2017-01-14 12:41 - 00000649 _____ C:\Users\Enderlé\Desktop\Assistance Technique.url  2017-01-14 12:17 - 2017-01-14 12:17 - 00009241 _____ C:\Users\Enderlé\Desktop\Transaction réussie.html  2017-01-14 12:17 - 2017-01-14 12:17 - 00000000 ____D C:\Users\Enderlé\Desktop\Transaction réussie_files  2017-01-14 12:07 - 2017-01-17 12:18 - 00000000 ____D C:\Program Files (x86)\supportdotcom  2017-01-14 12:07 - 2017-01-14 12:42 - 00000054 _____ C:\END  2017-01-14 12:07 - 2017-01-14 12:41 - 00000000 ____D C:\Users\Enderlé\AppData\Roaming\supportdotcom  2017-01-14 12:07 - 2017-01-14 12:07 - 00000000 ____D C:\Users\Enderlé\AppData\Local\SPRT  2017-01-14 12:05 - 2017-01-14 12:07 - 02949760 _____ C:\Users\Enderlé\Downloads\connect_477378 (1).exe  2017-01-14 12:04 - 2017-01-14 12:05 - 02949760 _____ C:\Users\Enderlé\Downloads\connect_477378.exe  Task: {E4FCA49D-E896-4C43-BE4C-8BA862A3E0E7} - System32\Tasks\Yahoo! Powered secad => Wscript.exe "C:\ProgramData\{DA791F1A-503B-95DC-D6FD-0B9E4CBF8050}
esi.txt" "687474703a2f2f74646670612e636f6d" "433a5c50726f6772616d446174615c7b44413739314631412d353033422d393544432d443646442d3042394534434246383035307d5c746164616461" "433a5c50726f6772616d446174615c7b44413739314631412d353033422d393544432d443646 (l'élément de données a 78 caractères en plus).Task: {B991DBD2-4BAF-4A6C-8241-08B4FAE964CA} - System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} => C:\Users\ENDERL~1\AppData\Local\FUBUDO~1\Sync.exe <==== ATTENTIONHosts:EmptyTemp:RemoveProxy:Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.

PlentyCoups · Answer

Bonjour,
Ci-dessous le copié-collé du message:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-01-2017
Exécuté par Enderlé (18-01-2017 12:40:22) Run:1
Exécuté depuis C:\Users\Enderlé\Desktop
Profils chargés: Enderlé &  (Profils disponibles: Enderlé)
Mode d'amorçage: Normal
==============================================
fixlist contenu:

CreateRestorePoint:
CloseProcesses:
2016-12-25 15:08 - 2016-12-25 15:08 - 00000000 ____D C:\Users\Enderlé\AppData\Local\chromium  
 2016-12-25 15:07 - 2017-01-13 18:31 - 00000000 ____D C:\ProgramData\{DA791F1A-503B-95DC-D6FD-0B9E4CBF8050} 
 2016-12-25 15:07 - 2016-12-26 15:50 - 00000296 _____ C:\WINDOWS\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C}.job 
 2016-12-25 15:07 - 2016-12-25 15:07 - 00004468 _____ C:\WINDOWS\System32\Tasks\Yahoo! Powered secad 
 2016-12-25 15:07 - 2016-12-25 15:07 - 00002836 _____ C:\WINDOWS\System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} 
 2016-12-25 15:06 - 2016-12-25 15:07 - 00000000 ____D C:\Users\Enderlé\AppData\Local\{4102775E-65AA-1BE6-0832-3E0E2C5AC296} 
 2017-01-14 12:18 - 2017-01-14 12:41 - 00000649 _____ C:\Users\Enderlé\Desktop\Assistance Technique.url 
 2017-01-14 12:17 - 2017-01-14 12:17 - 00009241 _____ C:\Users\Enderlé\Desktop\Transaction réussie.html 
 2017-01-14 12:17 - 2017-01-14 12:17 - 00000000 ____D C:\Users\Enderlé\Desktop\Transaction réussie_files 
 2017-01-14 12:07 - 2017-01-17 12:18 - 00000000 ____D C:\Program Files (x86)\supportdotcom 
 2017-01-14 12:07 - 2017-01-14 12:42 - 00000054 _____ C:\END 
 2017-01-14 12:07 - 2017-01-14 12:41 - 00000000 ____D C:\Users\Enderlé\AppData\Roaming\supportdotcom 
 2017-01-14 12:07 - 2017-01-14 12:07 - 00000000 ____D C:\Users\Enderlé\AppData\Local\SPRT 
 2017-01-14 12:05 - 2017-01-14 12:07 - 02949760 _____ C:\Users\Enderlé\Downloads\connect_477378 (1).exe 
 2017-01-14 12:04 - 2017-01-14 12:05 - 02949760 _____ C:\Users\Enderlé\Downloads\connect_477378.exe  
Task: {E4FCA49D-E896-4C43-BE4C-8BA862A3E0E7} - System32\Tasks\Yahoo! Powered secad => Wscript.exe "C:\ProgramData\{DA791F1A-503B-95DC-D6FD-0B9E4CBF8050}
esi.txt" "687474703a2f2f74646670612e636f6d" "433a5c50726f6772616d446174615c7b44413739314631412d353033422d393544432d443646442d3042394534434246383035307d5c746164616461" "433a5c50726f6772616d446174615c7b44413739314631412d353033422d393544432d443646 (l'élément de données a 78 caractères en plus).
Task: {B991DBD2-4BAF-4A6C-8241-08B4FAE964CA} - System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} => C:\Users\ENDERL~1\AppData\Local\FUBUDO~1\Sync.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Enderlé\AppData\Local\chromium => déplacé(es) avec succès
C:\ProgramData\{DA791F1A-503B-95DC-D6FD-0B9E4CBF8050} => déplacé(es) avec succès
C:\WINDOWS\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C}.job => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Yahoo! Powered secad => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} => déplacé(es) avec succès
C:\Users\Enderlé\AppData\Local\{4102775E-65AA-1BE6-0832-3E0E2C5AC296} => déplacé(es) avec succès
C:\Users\Enderlé\Desktop\Assistance Technique.url => déplacé(es) avec succès
C:\Users\Enderlé\Desktop\Transaction réussie.html => déplacé(es) avec succès
C:\Users\Enderlé\Desktop\Transaction réussie_files => déplacé(es) avec succès
C:\Program Files (x86)\supportdotcom => déplacé(es) avec succès
C:\END => déplacé(es) avec succès
C:\Users\Enderlé\AppData\Roaming\supportdotcom => déplacé(es) avec succès
C:\Users\Enderlé\AppData\Local\SPRT => déplacé(es) avec succès
C:\Users\Enderlé\Downloads\connect_477378 (1).exe => déplacé(es) avec succès
C:\Users\Enderlé\Downloads\connect_477378.exe => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E4FCA49D-E896-4C43-BE4C-8BA862A3E0E7} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E4FCA49D-E896-4C43-BE4C-8BA862A3E0E7} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Yahoo! Powered secad => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yahoo! Powered secad => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B991DBD2-4BAF-4A6C-8241-08B4FAE964CA} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B991DBD2-4BAF-4A6C-8241-08B4FAE964CA} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{44811B53-CE81-4676-2AD9-4BAB0D99DC5C} => clé supprimé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017141336283\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017141336283\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017141340898\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017141340898\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017213806390\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2654685568-423182402-509720106-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01172017213806390\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 299093 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 65953388 B
Java, Flash, Steam htmlcache => 697 B
Windows/system/drivers => 26713014 B
Edge => 6749640 B
Chrome => 458525599 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 8605368 B
NetworkService => 2282 B
UpdatusUser => 0 B
Enderlé => 741145759 B
RecycleBin => 2581931804 B
EmptyTemp: => 3.6 GB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 18-01-2017 12:44:50)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
 Fin de Fixlog 12:44:50

PlentyCoups · Answer

Re,
J'ai repassé Malwarebytes et il trouve encore des traces. Ci-dessous le copié collé du rapport.
Malwarebytes
www.malwarebytes.com
-Détails du journal-
Date de l'analyse: 18/01/2017
Heure de l'analyse: 13:03
Fichier journal: résultat_scan_malwarebytes.txt
Administrateur: Oui
-Informations du logiciel-
Version: 3.0.5.1299
Version de composants: 1.0.43
Version de pack de mise à jour: 1.0.1045
Licence: Gratuit
-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC-PORTABLE\Enderl\u00c3\u00a9
-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 446339
Temps écoulé: 4 min, 4 s
-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé
-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)
Module: 0
(Aucun élément malveillant détecté)
Clé du registre: 3
PUP.Optional.InstallCore, HKU\S-1-5-21-2654685568-423182402-509720106-1002\SOFTWARE\csastats, Aucune action de l'utilisateur, [8], [260986],1.0.1045
PUP.Optional.APNToolBar.Gen, HKLM\SOFTWARE\WOW6432NODE\AskPartnerNetwork, Aucune action de l'utilisateur, [10967], [186877],1.0.1045
PUP.Optional.APNToolBar.Gen, HKU\S-1-5-18\SOFTWARE\AskPartnerNetwork, Aucune action de l'utilisateur, [10967], [186876],1.0.1045
Valeur du registre: 0
(Aucun élément malveillant détecté)
Flux de données: 0
(Aucun élément malveillant détecté)
Dossier: 1
PUP.Optional.APNToolBar.Gen, C:\PROGRAMDATA\APN\APN-Stub, Aucune action de l'utilisateur, [10967], [175062],1.0.1045
Fichier: 1
PUP.Optional.ASK, C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\AskToolbarInstaller-AVIRA-V7C[1].7z, Aucune action de l'utilisateur, [647], [358503],1.0.1045
Secteur physique: 0
(Aucun élément malveillant détecté)
(end)

Malekal_morte- · Answer

il reste quel problème ?

PlentyCoups · Answer

Ce n'était plus en rapport avec le problème initial mais les quelques lignes du rapport de Malwarebytes tournaient autour de la barre de recherche ASK.
Autant en débarrasser le PC. J'ai fait un scan puis un nettoyage avec ZHPCleaner.
Je pense que tout est rentré dans l'ordre.
Il me reste à te remercier vivement pour ton aide précieuse.
Je peux rendre le PC à mon père.

Malekal_morte- · Answer

Ask est facile à supprimer, ce sont des extensions que tu installes sur les navigateurs WEB.
La réinitialisation suffit.
Ok si tout est revenue à la normale.
Quelques conseils : 
Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

sassou · Answer

j ai travaille avec eux c une arnaque

Nettoyer PC suite arnaque à la fausse infection

9 réponses

Fin de Fixlog 12:44:50

Discussions similaires

Newsletters