conseils sur une potentielle infection

conseils sur une potentielle infection - Virus/Spywares - Windows & Software

Marsh Posté le 11-12-2020 à 09:18:46    

Bonjour,
 
 
J'ai une question à propos d'une machine qu'on m'a amené à dépanner ( ouais je sais :o ) à cause d'un souci qui leur est arrivé ( ce sont des amis, c'est pourquoi j'aide à titre exceptionnel, je ne fais plus ça depuis des années :jap: ). Je ne suis plus du tout au point sur les désinfections et autre outil à utiliser, c'est pourquoi je viens demander sur HFr, je sais qu'il y a toujours des gens qui connaissent sur le bout des doigts les choses à faire  :jap:  
 
Le gars m'a contacté en panique (il n'y connait absolument rien ) car il s'est fait "pirater" sa machine. Je précise tout de suite, c'est un agriculteur qui utilise son ordinateur exclusivement pour des tâches pros, ca se résume au webmail orange et des documents openoffice, aucune activité louche ou illégale, ou des sites à la con.
 
Apparemment, après avoir consulté un mail de sa comptable, il aurait eu une grosse "sirène" et un message avec "vous êtes infecté" + un numéro à appeler, bref comme il n'y connait rien et qu'il a grave merdé, il a appelé ( et a reconnu après qu'il a fait une erreur, il est bien temps :/ ) , je ne sais pas trop ce qu'il a fait ensuite, et après il a vu que son ordi était contrôlé ( ca bougeait tout seul ) et la bonne femme au téléphone lui a dit que le dépannage coutait 149 euros, c'est à ce moment là que ça a fait tilt, il a raccroché et éteint l'ordi , débranché internet et a tenté de me contacter ensuite.  
 
Ca c'est pour le contexte.
 
Bon ok, il s'est fait entourlouper, et a fait des erreurs, je ne lui jette pas la pierre, il n'y connait vraiment rien, c'est bien la preuve que les gens mal intentionnés arrivent encore à tromper des gens.
 
J'ai récupéré l'ordi ce matin pour regarder de quoi il s'agissait car l'histoire me semblait bizarre.
 
 
Bref, voici ce que je vois sur l'ordi :
 - dans l'historique d'installation, il y a le jour J  
      * un programme d'installé : PC privacy shield 2018 version eval. WTF ? il m'a pas dit qu'il avait installé un truc. Cela dit, c'est peut être la personne qui a pris le controle ( si c'est bien le cas ). Je suis tombé sur le net sur cette histoire : https://sospc.name/fausse-alerte-pc-infecte-cas-reel/ et ca parle d'installer justement cet outil pour nettoyer l'historique.
      * d autres programmes  chrome, microsoft 365 et les vc++ 2015 redistributable. Je ne sais pas pourquoi, peut être juste des maj, ca update la date ?  
 - dans l'historique de chrome:  c'est déjà plus intéressant. J'ai regardé tout l'historique pour voir le profil de la personne. Effectivement, ca semble pro. A part pole emploi, webmail orange, aucune activé "non professionnelle" ( en apparence ). Par contre après la lecture et l'envoi de message via la boite mail orange, de 16:36 à 16:54 ( 9 décembre) des liens vers official windows notification : southbeachbaptistchurch.online . C'est surement de là que vient la sirène dont il parlait. Rien d'autre
 -dans l'historique de edge : apparemment il n'utilise pas edge pour naviguer. Dans l'historique il n'y a que des pdf avec des liens locaux, apparemment, quand il ouvre un pdf ca ouvre avec edge. Sauf le 9 décembre, je vois :
      * logiciel de support à distance connectwise control a 16:43 ( sur une ip directe 51.210.5.160 , déjà c'est louche, en plus sur le port 8040
      * telechargement de pc privacy shield free à 16:47 ( 2 fois ) sur findmysoft.com
      * installation reussie a 16:51
 
Par ailleurs le numéro appelé est le 09 71 07 31 37. Quelques infos ici : https://www.signal-arnaques.com/scam/view/282080 , arnaque, évidemment, il n'a pas payé, il semblerait qu'il n'y ait pas trop de risque.
 
En dehors de ca, je ne vois plus rien, en apparence.
 
Du coup, je m'interroge quand même, quel est le point d'entrée de tout ça ? Un mail malveillant ? autre chose ? Je n'ai pas d'idée. Bien sûr il ne m'a peut être pas tout dit, mais ce que je sais : il recevait un mail de sa comptable ( mail bien sollicité ) avec une pj à imprimer ( une vraie pj ), c'est quand il a lancé l'impression ( qui s'est bien déroulé au passage ) que le message ( fenetre + sirene )  est arrivé. Ensuite, à part l'appel téléphonique, je ne sais pas ce qu'il a fait. Peut être que c'est lui qui a lancé le téléchargement du programme de controle a distance et qu'il a donné la main à quelqu'un. Bref, ca ne me dit pas comment cette fenetre est arrivé, je ne vois rien dans l'historique des navigateurs ( sauf si ca a été effacé ) , dans les paramètres de site, il y a que dalle à part orange et google, pas de plugin installé.
 
Donc pour moi, je n'ai que pc privacy shield a désinstaller.
 
Dans la liste des processus, rien d'inquiétant , rien au démarrage dans regedit, rien dans les services ( hormis des choses normales ) rien dans le planificateur de tâches.
 
Bref, voici mes questions :
 - connaissez vous ce type de procédé, quelles sont les choses à vérifier sur le système pour s'assurer que tout est bien nettoyé ?
 - que me suggérez vous comme outils fiables à lancer pour scanner diverses infections ?.
 - quel antivirus vous préconisez pour l'avenir ? Je pense plutôt à kaspersky , l abonnement premium est à 48 euros par an, mais peut être est ce trop pour lui.
 
Merci d'avance pour votre aide  :jap:  
 
 

Reply

Marsh Posté le 11-12-2020 à 09:18:46   

Reply

Marsh Posté le 11-12-2020 à 10:03:02    

A priori il n'a rien sur son PC, c'est juste une arnaque destinée à tirer de l'argent de personnes qui n'y connaissent rien.

Reply

Marsh Posté le 16-12-2020 à 11:08:42    

Merci pour le lien  :jap:  Effectivement, c'est probablement une arnaque. Je n'ai pas réussi à identifier l'origine , c'est un peu ce qui me dérange ( comment il a eu la première fenêtre lui disant qu'il a été "infecté" ) sachant que rien dans l'historique n'apparait , soit ca a été effacé, soit c'est venu autrement.
 
Bref, désinstallation des outils à la con installé, conseils sur ce qu'il ne faut pas faire et puis c'est tout :)

Reply

Marsh Posté le 16-12-2020 à 11:18:11    


 
ok merci, je vais lire un peu plus en détail le lien que tu m'as fourni. Je vais déjà m'exercer sur ma propre machine, car je n'ai pas souvent accès à la machine qui a été infectée ( je l'ai rendue pour qu'il puisse à nouveau travailler ).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed