[Résolu] PC infecté lors d'une tentative de phishing

[Youngwipe]

Bonjour,

Problème un peu particulier vu qu'il concerne ma belle-famille, à l'autre bout de la France. Ils se sont fait avoir par une tentative de phishing dissimulé en une équipe de Microsoft chargée de protéger leurs comptes en banque. Le petit jeu a duré plusieurs jours avant que l'information me parvienne et que je stop tout. Ce ne sont pas des gens très au fait de l'informatique et ils ont laissé les escrocs prendre le contrôle de leurs appareils et installer "pleins de trucs", sans plus de détails. Ils ont depuis fait opposition à tout moyen de paiement mais il faut nettoyer leurs pc avant d'opérer un grand changement des mdp.

Je suis dans l'incapacité de me rendre sur place et d'évaluer l'ampleur des dégâts, ainsi je fais appel à vous. Je pense faire l'intermédiaire entre vos recommandations et ma belle-famille, vous transmettant les rapports effectués de leur côté.

 

Merci d'avance.

[ab-web]

Bonjour

Cela risque d'être un peu compliqué , mais nous allons faire un diagnostique

Ta famille doit faire ce qui suis , et te donner les liens vers les rapports que tu me transmettra .

Télécharge FRST  (Farbar-Recovery-Scan-Tool)

Farbar-recovery-scan-tool

Choisis la version en fonction de ton système ( 32 ou 64 bit )
si tu ne sais pas quel est le système

Met  FRST  sur le Bureau et pas ailleurs

• Ferme toutes les applications , y compris le navigateur.
• Lance le fichier par clic-droit -> Exécuter en tant qu'administrateur !

Laisse les options par défaut > clique sur le bouton Analyser

Laisse travailler jusqu'a l'apparition du message indiquant que l'analyse est terminée !

• Il y aura 2 rapports à poster : Addition.txt et FRST.txt , les rapports sont sur le bureau .
  
• Comment poster les rapports : rend toi sur le site Cjoint.com >> cjoint
  
• Clique sur Parcourir et cherche le rapport sur le bureau.
  
• Clique sur Ouvrir >> Clique sur Créer le lien CJoint
  
• Dans la page suivante --> une adresse http//.. sera crée , copier /coller cette adresse dans ton prochain message.

Ou utiliser 1 fichier.com > https://1fichier.com/?lg=fr

[Youngwipe]

Merci ab-web pour ton aide, je vais faire un point journalier avec mon beau-père où je lui expliquerai pas à pas tes recommandations et transmettrai ensuite les rapports. 

J'espère que ce rythme n'est pas trop problématique.

 

Bonne soirée.

[Youngwipe]

Voici les deux rapports de l'analyse Farbar :

https://cjoint.com/c/JJEvM6ECWVF

https://cjoint.com/c/JJEvOD8zEBF

Merci beaucoup.

[ab-web]

"Bonjour

Nous allons faire une correction avec FRST

Important avant de commencer : ton beau père doit obligatoirement mettre FRST sur le bureau ( il l'a lancé depuis le dossier téléchargement)
il lui suffit d'ouvrir le dossier , cliquer droit sur FRST >> copié >> puis le coller sur le bureau !

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Séletionne a la souris le texte de Systemrestore: on a Emptytemp: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

copie le texte dans un fichier Bloc note , que tu enregistre sous le nom de FixList.txt

• envoie ce fichier a ton beau père , en pièce jointe dans un mail !
• Ton beau père devra le télécharger a l'endroit ou est placé FRST c'est a dire sur le bureau
• quand le fichier est sur le bureau , il lance FRST en tant qu'administrateur , clique une seule fois sur Corriger , il doit bien attendre la fin , l'ordinateur devra être redémarré
• après redémarrage FRST termine son travail , et place un rapport sur le bureau nommé "FixLog.txt"

Ensuite désinstaller

• Le ou les programmes "Pulse Secure"
• "McAffe " en utilisant le programme MPCR , a télécharger  ici >> https://telecharger.malekal.com/download/mcafee-software-removal-mpcr/
• "Glary soft " si présent dans les programmes

Refaire une analyse avec FRST

J'attends donc les rapports fixlog.txt et les deux rapports d'analyse  FRST.txt et Addition .txt

 

Modifié le 3 novembre 2020 par ab-web

[Youngwipe]

Merci pour la réponse rapide. Je vais communiquer l'information mais j'ai une question au préalable : pourquoi dégager McAfee alors que c'est l'antivirus qu'il a choisi (et qu'il paie) ? 

[ab-web]

hello

Tout simplement parce que sous windows10 , windows defender est une suite de sécurité performante et suffisante , McAfee désinstallé , c'est windows defender qui fera le boulot très convenablement .
mais s'il  paie alors on garde , mais sous windows 10 ce n'est pas nécessaire .

Modifié le 31 octobre 2020 par ab-web

[Youngwipe]

Bonjour,

Je viens d'apprendre que les escrocs ont également manipulé le pc de ma belle-mère. Je lui ai donc fait faire la même manip, dois-je recréer un sujet différent ou poster ici-même les rapports de son ordinateur ?

Dans le doute, voici les rapports du PC 2 :

https://cjoint.com/c/JJFr0pRslFF

https://cjoint.com/c/JJFr3oAInyF

Je remarque qu'elle a également laissé l'appli dans ses téléchargements...

 

Je passe à l'étape 2 avec mon beau-père et je reviens vers toi rapidement, merci encore !

[ab-web]

Hello

On pourras s'occuper  ici du PC 2 , mais il faut d'abord terminer le PC du beau père , pas les deux a la fois même si c'est sur un autre sujet .
en attendant je commence a regarder les rapports .

[Youngwipe]

Voici les 3 rapports du PC1 :

https://cjoint.com/c/JKbucUJKQIF

https://cjoint.com/c/JKbudIZEOJF

https://cjoint.com/c/JKbud4ZzTOF

Merci encore.