Mon ordinateur vient d'être piraté

[Kapdek]

Bonjour,

Mon ordinateur a été piraté hier après-midi suite à l'apparition (sous Windows 11) d'un écran bleu et d'un numéro de téléphone "Microsoft" à appeler en urgence.

Je me suis fait avoir comme un bleu... et maintenant je ne sais pas quoi faire : mon ordi est-il devenu un zombie ? Comment le savoir et/ou rétablir la situation si cela est possible ?

Merci par avance de votre aide,

Kapdek

[Dariox743]

Il y a 3 heures, Kapdek a dit :

Bonjour,

Mon ordinateur a été piraté hier après-midi suite à l'apparition (sous Windows 11) d'un écran bleu et d'un numéro de téléphone "Microsoft" à appeler en urgence.

Je me suis fait avoir comme un bleu... et maintenant je ne sais pas quoi faire : mon ordi est-il devenu un zombie ? Comment le savoir et/ou rétablir la situation si cela est possible ?

Merci par avance de votre aide,

Kapdek

Bonjour,

En attendant les équipes de désinfection, les écrans bleu avec un numéro son pas des vrais personnes de chez Microsoft donc n’appelle pas le numéro et cette page bleu est fausse, c'est pour te faire croire que ton PC est infecté. En attendant fait les procédures de désinfection ci-dessous :

➡ Analyse ZHPSuite et analyse FRST

=> Procédure ici : https://community.lecrabeinfo.net/blogs/entry/183-consignes-analyse-zhpsuite-analyse-frst/ 

=> Attendus quatre rapports : ZHPDiag.txt, FRST.txt, Addition.txt et Shortcut.txt.

Modifié le 22 avril 2022 par Dariox743

[Kapdek]

Bonjour,

ZHPSuite.exe refuse de se lancer... Que faire ?

À bientôt :-)

[Firebird]

Bonjour @Kapdek

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

Selon leurs disponibilités, @Christian-S ou @Longaripa te prendra en charge, sinon je le ferai.

➡ Désactive ton antivirus avant d'exécuter les outils ZHPSuite et FRST.
Si le blocage persiste, indique précisément le problème que tu rencontres avec ZHPSuite.

➡ Analyse ZHPSuite et analyse FRST
=> Procédure ici : https://community.lecrabeinfo.net/blogs/entry/183-consignes-analyse-zhpsuite-analyse-frst/

=> Attendus quatre rapports : ZHPDiag.txt, FRST.txt, Addition.txt et Shortcut.txt.

À te relire.

Modifié le 22 avril 2022 par Firebird

[Kapdek]

Bonjour,

Les 4 rapports demandés sont au bout de ce lien :

https://www.cjoint.com/c/LDwtJuh2UAY

N.B. : J'ai été obligé de créer une nouvelle session Windows pour pouvoir utiliser les deux outils.

À bientôt :-)

[Firebird]

Bonjour

Pour la suite, merci de respecter précisément les consignes données.
En particulier, chaque rapport doit être hébergé séparément sur Cjoint et non transmis dans une archive commune.

Selon leurs disponibilités, @Christian-S ou @Longaripa te prendra en charge demain dans la journée, sinon je le ferai demain soir.

À te relire.

[Christian-S]

Hello

Il y a 7 heures, Firebird a dit :

Bonjour

Selon leurs disponibilités, @Christian-S ou @Longaripa te prendra en charge demain dans la journée, sinon je le ferai demain soir.

 

 

@Longaripa ou toi, moi j'en ai encore un en cours.

Bone désinfection

 

Christian-S

[Kapdek]

Bonjour,

Je reste à votre disposition. Merci !

[Longaripa]

Bonjour, Kapdek

Je vais regarder les rapports.

En attendant, une question ( 2 en fait ) : 

- Est-ce que vous avez appelé le numéro en question ? 

- Est-ce que quelqu'un a pris la main sur le PC, si oui, qu'a t-il fait ? 

[Kapdek]

Bonjour, Longaripa.

Merci de prendre le relais.

- J'ai malheureusement appelé le numéro en question.

- Quelqu'un avait la main totale sur le PC et a pu faire tout ce qu'il voulait, car de mon côté rien ne répondait.

À très bientôt je l'espère...

[Longaripa]

Est-ce vous qui avez installé TeamViewer, et Anydesk ? 

Je voudrais vous rassurer, en général, ce genre d'arnaque vise à vous soutirer de l'argent, pas à pirater des données.
 

 - Désinstallez : 

Teamviewer  
Anydesk
Spybot - Search & Destroy 
Sophos Virus Removal Tool
Kaspersky Anti-Ransomware Tool for Home
Malwarebytes version 4.5.8.191 
Glary Utilities
 

Quite à en réinstaller plus tard, mais cela fait beaucoup de logiciels en meme temps. 

 

Puis, redémarrez le PC
Refaites les analyses comme plus haut, et postez les 4 rapports. 

[Kapdek]

C'est bien moi qui ai installé TeamViewer et Anydesk, dont je me sers pour me faire aider. Je vais désinstaller ce que tu me dis, mais il faudrait que je garde Anydesk car j'en ai besoin.

Merci !

[Kapdek]

J'ai tout désinstallé sauf Anydesk pour la raison exposée plus haut.

Merci de me tenir au courant dès que possible.

Bon travail et encore merci !

[Kapdek]

Rebonjour,

Je ne parviens pas à lancer ZHPSuite ni FRST à partir de mon compte local. Hier, je l'ai fait grâce à un deuxième compte avec l'aide (en ligne, avec Anydesk) d'un ami à moi... Tu n'a pas quant à toi la possibilité d'intervenir à distance ou une autre solution à me proposer ?

Merci encore et à bientôt...

[Kapdek]

Voici tout de même une partie de ce que j'ai réussi à obtenir (ZHPDiag.txt)

https://www.cjoint.com/c/LDxmSi6LVVY

J'espère que le reste va suivre...

[Kapdek]

Voici (j'espère) les résultats FRST :

https://www.cjoint.com/c/LDxm6LlPriY

https://www.cjoint.com/c/LDxm7QEjRJY

https://www.cjoint.com/c/LDxnauA4sWY

Merci de bien vouloir confirmer...

[Longaripa]

Re

Je n'interviens pas à distance sur les machines.

Ok pour Anydesk.
Je ne vois pas de nuisible sur ce PC.
Je pense que le probleme de lancer ZhpSuite vient de la protection de Kaspersky contre les ransomwares(c'est un effet secondaire collatéral)

Je continue à éplucher les rapports.
Quel est le navigateur utilisé ?  cela semble etre Firefox.
Lancer ResetBrowser.

Il faudrait sauvegarder les favoris, les mots de passe.

Il va vider les caches, l'historique.
Aussi il va supprimer les extensions, remettre ensuite celles que vous voulez. 

[Kapdek]

Re

Le navigateur utilisé par défaut est bien Firefox.

Je sais sauvegarder les marque-pages, mais qu'en est-il des mots de passe et des... extensions ? Il y en a que je ne saurai pas remettre (comme FireShot que j'ai payée à vie). Est-ce vraiment indispensable de les supprimer ? Je n'en vois aucune de "bizarre".

À plus. Merci encore !

[Longaripa]

Pour Firefox, le but est de le nettoyer.
La page qui affichait l'alerte Microsoft doit se trouver quelque part dans le cache.
Un bon moyen de nettoyer est d'utiliser ResetBrowser, avec les inconvénients cités.

Sinon, il faut au moins vider le cache à la main : https://support.mozilla.org/fr/kb/comment-vider-le-cache-de-firefox

Il va aussi virer les cookies, et vous déconnecter des sites auxquels vous étiez connectés.
Il faudra se reconnecter, avec login et password

[Kapdek]

Re

Ce que je ne comprends toujours pas, c'est la façon dont le pirate a pu prendre le contrôle de mon PC et comment l'empêcher (lui ou un autre) de recommencer. Windows Defender est-il suffisant... ?

Merci beaucoup pour ton aide.

[Longaripa]

Le principe : 

La page d'alerte s'affiche.
Vous téléphonez. Il a du vous demander d'installer quelque chose.

une info : 
https://answers.microsoft.com/fr-fr/protect/forum/all/message-dalerte-sur-mon-écran/afa46625-beae-4c7d-b038-7432883cccf2

https://www.ufc78rdv.fr/node/310

https://support.microsoft.com/fr-fr/windows/protégez-vous-contre-les-escroqueries-au-support-technique-2ebf91bd-f94c-2a8a-e541-f5c800d18435

 

Je reviendrai demain pour confirmer si il y a des choses à supprimer, ou si c'est inutile.

[Kapdek]

Bonjour,

J'ai finalement utilisé ResetBrowser. Merci par ailleurs pour les liens utiles.

Je vais m'absenter jusqu'à vers 17h.

Au plaisir de te lire...

[Longaripa]

Bonjour 

J'ai revu les rapports, rien de nuisible en vue.
Parmi les logiciels qui ont été désinstallés, ceux-ci peuvent etre remis : 

Teamviewer  
Anydesk
Kaspersky Anti-Ransomware Tool for Home
Malwarebytes version 4.5.8.191 
Les autres sont inutiles, à mon avis. 

Au cas ou ça recommence, la page d'alerte, il suffit de fermer la page du navigateur, ou le navigateur lui-même, en passant par le gestionnaire de taches si besoin.

On va nettoyer les outils utilisés : 

Télécharger KPRM (de Kernel-panik) sur le bureau : https://toolslib.net/downloads/viewdownload/951-kprm/
* Lancer l'exécution par clic-droit -> Exécuter en tant qu'administrateur
* Cocher les cases : comme sur l'image ci dessous 

 

Cliquer sur [Exécuter]...laisser travailler jusqu'au message indiquant la fin des opérations

Poster le  rapport kprm-aaaammjj.txt , qui se trouve sur le bureau

 

Modifié le 24 avril 2022 par Longaripa

[Kapdek]

Bonjour,

Voici (ci-joint) le rapport KRPM.

Merci beaucoup !!!

kprm-20220424173022.txt

[Longaripa]

Très bien.

Pour moi, c'est terminé, sauf si vous avez encore des questions.