[Résolu] PC piraté

[Rupp]

Bonjour les Helpers,

 

suite à une arnaque type : "votre PC a été infecté, contactez-nous pour le déverouillé", je souhaite analyser la machine.

J'ai généré un rapport Hijack This qui n'a pas pu analyser le fichier Hosts.

Merci par avance de votre aide.

bonne journée

[ab-web]

Bonjour

j'espère que tu n'a pas répondu a cette demande .

Télécharge FRST  (Farbar-Recovery-Scan-Tool)

Farbar-recovery-scan-tool

Choisis la version en fonction de ton système ( 32 ou 64 bit )
si tu ne sais pas quel est le système

Met  FRST  sur le Bureau et pas ailleurs

• Ferme toutes les applications , y compris le navigateur.
• Lance le fichier par clic-droit -> Exécuter en tant qu'administrateur !

Laisse les options par défaut > clique sur le bouton Analyser

Laisse travailler jusqu'a l'apparition du message indiquant que l'analyse est terminée !

• Il y aura 2 rapports à poster : Addition.txt et FRST.txt , les rapports sont sur le bureau .
  
• Comment poster les rapports : rend toi sur le site Cjoint.com >> cjoint
  
• Clique sur Parcourir et cherche le rapport sur le bureau.
  
• Clique sur Ouvrir >> Clique sur Créer le lien CJoint
  
• Dans la page suivante --> une adresse http//.. sera crée , copier /coller cette adresse dans ton prochain message.

Ou utiliser 1 fichier.com > https://1fichier.com/?lg=fr

[Rupp]

Merci Ab-web

 

moi non, malheureusement mon père oui 🤬!

tu trouveras ci-joint les liens vers les 2 rapports

https://cjoint.com/c/KBfkW4MWg3b

https://cjoint.com/c/KBfkZ0rjkib

Merci de ta réactivité

 

[ab-web]

Hello

1 - Nous allons faire une correction avec FRST

Pour la correction

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

2 - Analyse Adwcleaner

Télécharge AdwCleaner    Sur le bureau obligatoirement !

Fait exécute le fichier  en tant qu'administrateur.
Afin de ne pas fausser les rapports, Analyser et Nettoyer ne doivent être lancés qu'une seule fois
 

• Clique sur j'accepte dans la première fenêtre
• Clique sur Analyser Maintenant

En cas de présence d'un proxy, un message apparaît avec cette question suivie de l'adresse IP du proxy.:
Avez-vous installé ce proxy ?
Si tu n'a pas installé de Proxy, clique sur Non pour en accepter la réparation.

Ensuite si des éléments sont trouvés  Clique surquarantaine !

Applications préinstallées
Le résultat inclut désormais ces applications au même titre que les adwares. on peut les supprimer en sélectionnant certains ou en choisissant de tous les supprimer ou de ne pas en supprimer . a toi de voir !

Après redémarrage de la machine
Post le rapport de nettoyage qui se trouve sous C/Adwcleaner/Logs
Héberge le rapport et met le lien , dans ta réponse !

J'attends donc les rapports Fixlog.txt et Adwcleaner .

[Rupp]

ci-joint le lien du rapport FRST:

https://cjoint.com/c/KBfnP3u5Gfm

et les 2 rapports Adcleaner:

https://cjoint.com/c/KBfn137tAxV

https://cjoint.com/c/KBfn2QGOhdV

[ab-web]

Hello

Merci du retour

regarde si SpywareBlaster 5.5 est dans les programmes et désinstalle le ( inutile )

Ensuite on fait une autre vérification avec Malwarebytes que tu pourras conserver sur le PC .

• Télécharge Malwarebytes Anti-Malware
  lien de téléchargement direct  Mbam
  ou MbamAntiMlawares

  Lance l'installation par clic droit >exécuter en tant qu'administrateur .

  Une application tierce est proposée a l'installation , ne l'accèpte pas , malwarebytes va sinstaller en version premium d'essai !

  Une fois installé Lance Malwarebytes en tant qu'administrateur
  Ouvre les paramètres de malwarebytes( petite roue crantée en haut ) onglet compte >> désactive la licence d'essai .

  Reviens  a l'accueil   Clique sur Analyse

  

  laisse tourner l'analyse jusqu'à la fin

  

  Si des éléments sont trouvés clique sur quarantaine
  Clique ensuite sur afficher le compte rendu

  

• Une autre fenêtre s'ouvre... tu cliques sur Exporter puis sur Exporter au format .

  
  

• Nomme le rapport MBAM.txt

• Enregistre le rapport sur le bureau.

• Héberge ce rapport sur cjoint > https://cjoint.com
  Copie/Colle le lien généré dans ta réponse.

Modifié le 5 février 2021 par ab-web

[Rupp]

Merci de tes explications limpides

ci-dessous le lien vers le rapport MalwerBytes

https://cjoint.com/c/KBfq3OUj3m1

[ab-web]

Bonsoir

Pour moi c'est bon on peu terminer ce sujet .

Attention ce genre d'arnaque est de plus en plus courant , le but étant la plupart du temps de soutirer de l'argent . en faisant peur et en proposant une fausse aide .

Cela arrive en général suite a un clic sur un lien dans un mail imitant un site légitime  ou dans une page web ( publicité alléchante ou faux lien de téléchargement )
si on se laisse avoir il faut forcer l'arrêt du PC , sinon très souvent la fenêtre d'avertissement est impossible a fermer .

On termine avec ce qui suis .

KpRm (de Kernel-panik)

Si l'antivirus râle : il faut le désactiver ! le temps du téléchargement et de l'exécution

Télécharge KPRM (de Kernel-panik) sur le bureau (obligatoire) Téléchargement direct sur Tools lib>>
 
OU informations + Téléchargement > KPRM.INFOS

Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
Accepte les conditions (Disclaimer of warranty!) en cochant Yes .

Coche les cases : comme sur l'image ci dessous.

Clique sur [Exécuter] ...laisse travailler jusqu'au bout : il est possible qu'un redémarrage soi demandé
    

Un rapport kprm sera placé sur le bureau , héberge le sur >> 
Donne le lien créé dans ta réponse.

 

Modifié le 5 février 2021 par ab-web

[Rupp]

Bonjour Ab-web

merci de tes conseils

ci-dessous le lien vers le rapport kprm

https://cjoint.com/c/KBgljGNXhyl

 

[ab-web]

Bonjour

Merci du retour c'est tout bon

Tu peu marquer ce sujet comme [Resolu]
comment-marquer-un-sujet-resolu