[Résolu] PC potentiellement piraté : est-il clean maintenant ?

[PèreGisou]

Bonjour le forum, 

Une amie a fait appel à moi après que sa maman ait été victime d'une arnaque (du type eureka24) 

Sa maman regardait des vidéos sur internet quand tout à coup plusieurs fenêtres sont apparues, à priori impossibles à fermer, et une fenêtre indiquant un problème avec son pc, et un numéro de téléphone à appeler. 

Malheureusement elle a composé ce numéro, payé qques centaines d'euros, sans d'abord appeler sa fille dans la pièce d'à côté. C'est quand elle (sa fille) à comprit que sa mère parlait avec visiblement un technicien qu'elle est arrivée et, comprenant le problème, elle a déconnecté le pc d'internet. 

Visiblement le "technicien" aurait installé "whatchdog malware", que mon amie a de suite supprimé. Mon amie a installé avast (bien que le pc soit sœur W10 avec Windows défendeur actif). Avast n'a rien trouvé. 

Elle m'a amené le pc pour que j'y jette un œil, mais un peu d'aide sera la bienvenue 

De mon côté j'ai (re)fait une analyse (complète) avec avast. Tout va bien (outre les quelques points que soit disant la version payante réglera). 

J'ai lancé un chkdsk 😄 /f /r : pas de pb

J' ai lancé un sfc scannow : pas de pb. 

Nettoyage fait avec

ccleaner : un peu de nettoyage dans le registre. 

adwcleaner : rien d'anormal (en dehors de 2-3 logiciels préinstallées par HP)

MBAM : scan (toujours) en cours

Windows (d'un point de vue mises à jour) : en attente de reboot (il est actuellement sous la version 1909)

Je me retrouve, avec ce pc, un peu dans la même situation que ce topic :

 

J'ai le PC depuis hier soir. Je pensais, ce matin , être en mesure de finir les mises à jour de Windows, passer un coup de ZHPdiag et lancer FRST.
Le "souci" c'est que MBAM tourne encore (depuis plus de 11h, et plus de 460 500 fichier...et ca monte encore. Certes le HDD fait 1To mais y a que 60Go d'utilisés. Même sur es machines j'ai pas souvenir d'avoir eu des scan aussi long))
Donc ca va attendre encore...mais avant que ce message ne disparaisse, je lance déja le topic...espérant pouvoir le finir aujourd'hui.

[tomtom95]

Bonjour,

Pour ton information comme indiquer dans ma signature je ne prends pas de prise en charge en message privé.
Pour commencer supprime Avast du PC ensuite on va faire un diagnostic de l'ordinateur avec l'outil FRST.

Selon le système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits

Télécharger FRST sur ton Bureau << IMPORTANT pas ailleurs
Lien de téléchargement de l'outil >> Farbar Recovery Scan Tool pour systèmes x32 (x86) ou Pour systèmes x64

Le filtre SmartScreen de windows peut afficher une alerte.
Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.

Ferme toutes les applications en cours (notamment le navigateur)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité.
Quand l'outil démarre, clique sur Oui (Acceptez les termes de la fenêtre Disclaimer clause de non-responsabilité).

Clique sur le bouton ANALYSER.
L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
Il crée aussi un autre rapport nommé Addition.txt - situé également sur le bureau
Héberge les rapports  sur le site  Service de rapport en ligne
Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
Sur la page Clique sur Ouvrir
Puis sur le site Clique sur  ENVOI, >>  copie/colle les liens des rapports  fourni ICI sur le forum dans ta prochaine réponse.

[PèreGisou]

Bonjour Tomtom,

oui pour ce qui est du dépannage en privé, j'ai vu :mon MP a été envoyé un peu trop tot, avant que je comprenne que tu étais plutot actif sur cette partie du forum (c'est pour ca que je te disais que je te contactais par mp "pour te préveir de mon besoin"  mais que j'allais poser mon pb sur le forum.)

Avant de faire FRST, 2 questions :

- dois je finir les MàJ de W10?

-MBAM mouline toujours (plus de14h, 0 détections à l'heure actuelle) : dois je le laisser finir? ou je le stopp pour faire FRST?

Modifié le 29 janvier 2021 par PèreGisou

[tomtom95]

Re,

D'accord pas de soucis.
Stop le scan de Malwarebytes Anti-Malware.
Vu la multitude d'outils déjà exécuter sur cet ordinateur, si les mises à jour de W10 peuvent s'installer fait le.
Pense a virer Avast du pc,et fait l'analyse avec FRST.

[PèreGisou]

je n'ai pas attendu ta réponse (ouf j'ai eu le bon feeling ^^) : plus de16h de MBAM pour moi c'est du jamais vu, pour un disque pareil et si peu utilisé...
Avast a été désinstallé, et W10 est en cours de MaJ vers 20H2

Une fois W10 à jour, je ferai le ZHPdiag et FRST et posterai les rapports ici.

[tomtom95]

Nul besoin de ZHPdiag (non demander) juste les deux rapports de l'outil FRST.

[PèreGisou]

OK pour ZHPdiag. C'est la lecture de ce topic qui me faisait penser qu'il le fallait "par défaut" :

 

 

[tomtom95]

Dans ça pris en charge, c'est le Helper en sécurité qui demande ce dont il a besoin comme outil de diagnostic.
Pour éviter des croisements de démarche, je vais te demander de suivre seulement les procédures dans ton sujet.(Merci)

Modifié le 29 janvier 2021 par tomtom95

[PèreGisou]

Allez, ca avance...

Après les + de 16h de scan de MBAM (avant de le couper, voila les +/- 4h d'installation (hors "préparation" et "téléchargement") de Window 10 20H2 (et hors les reboots et installations de drivers et KB suivantes annexes), le pc est à jour

 

Voila donc les rapports de FRST :

FRST : https://up.security-x.fr/file.php?h=R0602e4c4dcd4a7ac53375db2924044c2

addition : https://up.security-x.fr/file.php?h=R476f2198c4edf96e2f8003bb96dbf71a

En espérant qu'il n'y a pas trop de dégâts...

 

 

Modifié le 29 janvier 2021 par PèreGisou

[PèreGisou]

Il y a 8 heures, tomtom95 a dit :

Dans ça pris en charge, c'est le Helper en sécurité qui demande ce dont il a besoin comme outil de diagnostic.
Pour éviter des croisements de démarche, je vais te demander de suivre seulement les procédures dans ton sujet.(Merci)

 

ok pour l'explication.

Vu le titre du topic, je pensais que c'était une demande d'ordre général.