Arnaque au blocage de Windows par Microsoft

[aldurpor]

Bonjour

Sur l'un de mes PC, j'ai dès le démarrage, durant la séquence de boot, un message indiquant que Microsot a bloqué le PC et qu'il faut appeler un Nr de tél pour le débloquer.

Il est évident que c'est une arnaque, mais comment s'en débarrasser?
Le PC est installé en double boot, Ubuntu et Windows 10 home 64 bits (dernière version 21h1)
organisation du disque : MBR
format : msdos
sda1 réservé système boot
sda2 w10
sda4 etendue
sda5 ubuntu
sda6 linux swap
sda7 data ubuntu
sda8 data windows

PC : Packard Bell EasyNote TV44 HC 1TC.120FR
Bios v 1.13
Processeur : Intel(R) Core(TM) i5-3210M à 2,50 Ghz
disque : SSD – Crucial 1To CT1000MXS  2,5" SATA
Mémoire : 2 x 8 Gb
Carte vidéo : Intel(R) HD Graphics 4000 / NVIDIA GeForce GT 620M

Antivirus Avast free

Le boot est donc gérer par Grub, mais le message apparait avant le chois du système à démarrer.

Que faire ??

Merci de votre aide

[calisto06]

Note de modération : topic déplacé en désinfection ou les deux intervenants te répondront dès que possible 

Modifié le 27 octobre 2021 par calisto06

[Toto61]

Salut à tous,

Euh, juste une remarque :

Il y a 7 heures, aldurpor a dit :

Le boot est donc gérer par Grub, mais le message apparait avant le chois du système à démarrer.

Vu la précocité du message, j'avoue ne jamais avoir rencontré une "arnaque" au moment du dual boot. Dès le lancement de Windows, OK, mais avant le choix de l'OS Win ou Linux ? Etrange.

Est-il possible @aldurpor d'avoir une vidéo depuis la mise sous tension ?

[Toto61]

Si vous voulez mon avis, le voici en 2 points ci dessous :

• Vu l'explication de @aldurpor à ce stade, cela ressemble plus à une infection qu'à une arnaque, et, relève donc pour moi plus d'un traitement par @Christian-S ou @Firebird, et non d'un simple Helper comme moi.
• Si je m'autorisais à me mettre à la place de l'auteur de ce message, je resterais assez circonspect sur la tournure qu'à pris ce sujet. Vous gagneriez tous à scinder le côté "explications de textes" dans un autre sujet, et de façon plus confidentielle, vu que tout cela relève de la modération et de la gestion du forum, et à ne garder que la partie résolution du sujet ici (donc le fond), et non la forme.

Modifié le 28 octobre 2021 par Toto61

[calisto06]

Bonjour @aldurpor En attendant le passage d'un helper sécurité si vous souhaitez accéder au PC faites en sorte de le déconnecter d'internet si c'est possible 

[aldurpor]

Bonjour

Merci pour vos suggestions

Je ne suis pas chez moi, je ne disposerai du PC que dans 10 jours, je ne peut donc pas aire de vidéo pour le moment.

Vu la précocité du message, je me pose également des questions sur la localisation du problème. Juste avant l'afichage du choix du système a lancer par Grub !!!

Par contre l'indication de devoir appeler un certain Nr de tel me fait immédiatement penser a une arnaque.

Merci pour vos suggestions.

 

 

[calisto06]

Bonjour @aldurpor

Je partirais plutôt sur une infection  ...

Nous attendons toujours la réponse des helpers en désinfection PC .

 

[aldurpor]

Re Bonjour

 

Suite du sujet :

J'ai demandé à ma fille d’effectuer la manip suivante.

Redémarer le PC câble réseau débranché, après apparition du message, effectuer un "Ctrl Alt Del", stopper si présent toutes application tel Firefox, Thunderbird et autre application semblables.

Après cette opération, le menu de choix Grub du boot est réapparu.

Windows a put être choisi et lancé, j'ai ait aire une recherche de virus avec l'anti virus (Avast) qui n'a rien trouvé.

Je reste dubitatif sur l'explication de ce Problème malgré mon jeune age (77ans) et craint sa réapparition tant que la cause n'a pas été identifié et éliminé.

Merci pour vos futures lumières.

[calisto06]

En attendant le passage des helpers désinfection tu peux commencer la procédure pour avancer un peu

N'hésite pas à les appeler en les citant à l'aide de @ et de leur nom

[Christian-S]

Hello

 

Perso j'avais pensé a une fenêtre de phishing, votre ordinateur a été verrouillé ou votre ordinateur a été bloqué, on vous invite à appeler un numéro de téléphone, pour résoudre un problème qui n'existe pas et demande payer et prendre la main sur le PC, la somme peut aller de 200€ à 1000€ pour les services.

Dans un premier on tue le processus via la gestionnaire des tâches, puis on efface les données de navigation, etc..

En général la fenêtre apparaît quand le PC est allumé et ca se passe en local au niveau d'un navigateur Web utilisé.

 

Normalement @Firebird si disponible,  vous prendra en charge, sinon je prendrai le relais.

Pour gagner du temps faites ce qui est indiqué sur cette page:

Désinfection - Faire en Premier ZHPSuite + FRST --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Bonne Désinfection

 Christian-S
 

Modifié le 28 octobre 2021 par Christian-S

[Firebird]

Bonjour @aldurpor

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

@Christian-S Merci pour les premières consignes à @aldurpor

 @aldurpor Je vais te prendre en charge pour cette désinfection.

➡  Merci de respecter les consignes suivantes pour la bonne efficacité de cette désinfection.

• Ne te fais pas aider ailleurs pendant la procédure.
• Exécute exactement et complètement les actions que je te demande jusqu'au terme de la désinfection.
• N'installe pas de nouveau logiciel pendant cette désinfection.

J'attends les rapports pour commencer la désinfection.

[aldurpor]

Bonjour

 

Merci pour ces consignes très détaillés.

Je ne rentre chez moi que dans une dizaine de jour mais de toute manière le PC de ma fille ne seras pas a mon domicile.

Puis je effectuer ces opérations via TeamViewer ?

Merci

 

 

[Firebird]

Bonjour @aldurpor

En cas d'infection, il est vivement déconseillé d'utiliser TeamViewer.
De plus, l est compliqué d'effectuer une désinfection via TeamViewer, surtout pour un non expert.
Il y aurait alors trois intervenants : ta fille, toi et moi.
Selon moi, deux solutions ont possibles : soit tu récupères le PC de ta fille pour effectuer les opérations de désinfection, soit ta fille les effectue elle-même.

À te relire.

[aldurpor]

Merci de votre rapide retour. Je me doutais un peux que cela n’était probablement pas souhaitable du fait de l'ajout d'une couche réseau et des risques supplémentaires ainsi introduits.

Je reprendrais contact dès que j'aurais récupérer le PC, déléguer les opérations étant quasi inenvisageable !

A bientôt donc et merci

[Firebird]

Bonjour @aldurpor

De rien, c'est avec plaisir.
Merci de ta compréhension.

J'attends donc patiemment ton retour pour commencer la désinfection.

À bientôt.

[aldurpor]

Bonjour

Suite du sujet en objet.

Message a l'attention de Christian-S.

Ne pouvant récupérer le PC, j'ai rédigé un tuto pas a pas et récupérer les 3 fichiers issus des recommandations.

Ci dessous les liens pour ces 3 fichiers  que j'ai rapatrier sur mon PC personnel) ainsi que le pas a pas au format libre office que vous pouvez réutiliser et modifier si cela peut aider d'autres utilisateurs.

ZHPDiag.txt
https://www.cjoint.com/c/KKklqGV1Lpr

FRST.txt
https://www.cjoint.com/c/KKkltxaPKDr

Addition.txt
https://www.cjoint.com/c/KKklH5GOmJr

04-Sécurité-Desinfection-PC.odt
https://www.cjoint.com/c/KKklxz3sesr

Merci de votre patience

 

 

 

[Christian-S]

hello

 

il y a 41 minutes, aldurpor a dit :

Bonjour

Suite du sujet en objet.

Message a l'attention de Christian-S.

Ne pouvant récupérer le PC, j'ai rédigé un tuto pas a pas et récupérer les 3 fichiers issus des recommandations.

Ci dessous les liens pour ces 3 fichiers  que j'ai rapatrier sur mon PC personnel) ainsi que le pas a pas au format libre office que vous pouvez réutiliser et modifier si cela peut aider d'autres utilisateurs.

ZHPDiag.txt
https://www.cjoint.com/c/KKklqGV1Lpr

FRST.txt
https://www.cjoint.com/c/KKkltxaPKDr

Addition.txt
https://www.cjoint.com/c/KKklH5GOmJr

04-Sécurité-Desinfection-PC.odt
https://www.cjoint.com/c/KKklxz3sesr

Merci de votre patience

 

 

 

 

Hello 

 

Normalement si disponible,  je laisse @Firebird vous prendre en charge, même si nous avions démarré il y à 2 semaines, sinon je prendrai le relais.

@Firebird se manifestera sûrement !!

Bonne Désinfection

 Christian-S

[calisto06]

Note de modération : Topic de ce jour fusionné avec le Topic d'origine 

[Firebird]

Bonjour @aldurpor

Je vais te prendre en charge.

➡  Merci de respecter les consignes suivantes pour la bonne efficacité de cette désinfection.

• Ne te fais pas aider ailleurs pendant la procédure.
• Exécute exactement et complètement les actions que je te demande jusqu'au terme de la désinfection.
• N'installe pas de nouveau logiciel pendant cette désinfection.

➡️ Je reviendrai dans la soirée après analyse des rapports.

[Firebird]

@aldurpor

Je suis déjà de retour.

Le rapport FRST est incomplet, il manque le début.

Si tu as un rapport complet, merci de le transmettre.

Modifié le 10 novembre 2021 par Firebird

[Firebird]

Bonjour @aldurpor

➡ Antivirus
Windows Defender, antivirus intégré à Windows 10, est très efficace pour la protection de ton PC.
Je te conseille fortement de désinstaller Avast Antivirus Gratuit
via le menu Paramètres de W10 et de compléter par avastclear.
=> Infos ici : Efficacité de Windows Defender.

➡ Désinstallation de programmes

Obsolescence de programmes

• Excel 1.0 et PowerPoint 1.0 sont obsolètes.
  => Je te conseille de remplacer ces programmes par la suite bureautique gratuite LibreOffice.
• Outlook 1.0 est obsolète.
  => Je te recommande de le remplacer par Courrier intégré à W10 ou Thunderbird.
• QuickTime 7 => Logiciel obsolète => Infos ici : https://fr.wikipedia.org/wiki/QuickTime#Versions
• RealPlayer => Logiciel obsolète => Infos ici : https://fr.wikipedia.org/wiki/RealPlayer
  => Je te conseille de remplacer QuickTime et RealPlayer par VLC media player.

Je te conseille de désinstaller tous les programmes que tu n'utilises pas et les programmes suivants.

• Avast Antivirus Gratuit
• Nvidia GeForce Experience => Application gourmande en ressources, intrusive,
  source de bugs et de BSOD, inutile pour le fonctionnement de ta carte graphique Nvidia
  et la MAJ de ses pilotes, et dispensable
• Excel
• Outlook
• PowerPoint
• QuickTime 7
• RealPlayer.

=> Menu Paramètres > Applications > Applications et fonctionnalités > Clic sur le programme à supprimer > Désinstaller.
Si tu ne parviens pas à désinstaller un programme par les Paramètres de W10,
désinstalle-le via Revo Uninstaller Portable. => Tutoriel Revo Uninstaller.

=> Attention : Le correctif suivant comporte un contrôle et une réparation des fichiers système.
Il peut donc durer un certain temps, une heure au maximum.
Laisse-le s'exécuter jusqu'au bout, attends le redémarrage du PC.

➡ Correctif FRST
Avertissement
Ces instructions ne concernent que ce PC. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager.
Le temps de téléchargement du script a été volontairement limité à 4 jours. Passé ce délai il ne sera plus disponible.

• Clique sur ce lien fixlist.
• Sur la page qui s'ouvre, fais un clic droit et Tout sélectionner, refais un clic droit et Copier
  ou utilise la séquence de touches Ctrl A et Ctrl C.
• Relance FRST par clic droit sur FRST64.exe, puis choisis Exécuter en tant qu'administrateur pour le lancer.
• Clique une seule fois sur Corriger et patiente le temps de la correction.
• Ce n'est pas la peine de coller, car FRST se sert du Presse-papier pour utiliser le script.
• L'outil va créer un rapport de correction Fixlog.txt.
• Héberge ce rapport sur Cjoint et poste le lien dans ta prochaine réponse.

➡  Nettoyage avec ZHPCleaner => Tutoriel.

➡ Effectue une nouvelle analyse ZHPSuite et une nouvelle analyse FRST.

Attendus 5 rapports : Fixlog.txt, ZHPCleaner-R-.txt, ZHPDiag.txt, FRST.txt, Addition.txt.

Comment se comporte désormais le PC ?

À te relire.

Modifié le 11 novembre 2021 par Firebird

[aldurpor]

Merci de ce retour rapide, je transmet à ma fille en espérant qu'elle ne se trompe pas dans les manipulations, en particulier le fait de placer le script dans le presse papier et de lancer FRST64 en pensant qu'il utilisera le dit presse papier.

J'ai jusqu’à ce jour privilégié Avast gratuit car Windows Defender me semble difficile a administrer, il supprime les applications portables sans que je sache lui dire de les restituer et de ne pas s'en occuper . Pour toute ma famille et mes amis je fait utiliser les applications portables issus de "portableapps.com" en particulier Firefox, thunderbird, chrome, libre Office etc

Mais ils ont beaucoup de peine a ne pas utiliser la vielle suite office 2003.

Quicktime n'est en effet plus necessiare.

Realplayer est indispensable pour pouvoir télécharger certaines vidéo de Youtube.

Merci a bientôt dès que je serais parvenu a télécommander les interventions de ton tuto

[Firebird]

Bonsoir

De rien, c'est avec plaisir.

Citation

je transmet à ma fille en espérant qu'elle ne se trompe pas dans les manipulations, en particulier le fait de placer le script dans le presse papier et de lancer FRST64 en pensant qu'il utilisera le dit presse papier.

C'est expliqué en détail dans ma procédure.
Mais si ta fille ne parvient pas à exécuter le correctif,
n'hésite pas à me demander des précisions supplémentaires.

Citation

J'ai jusqu’à ce jour privilégié Avast gratuit car Windows Defender me semble difficile a administrer, il supprime les applications portables sans que je sache lui dire de les restituer et de ne pas s'en occuper .

Avast est lourd et pose des problèmes (performances et bugs) sous W10.
Il est facile de gérer des exclusions dans Windows Defender.
https://support.microsoft.com/fr-fr/windows/ajouter-une-exclusion-à-sécurité-windows-811816c0-4dfd-af4a-47e4-c301afe13b26

Pour ma part, je n'utilise pratiquement que des programmes portables, non supprimés par Windows Defender, car légitimes.

Citation

Realplayer est indispensable pour pouvoir télécharger certaines vidéo de Youtube.

Non, de nombreux autres outils et sites web offrent cette fonctionnalité.
Exemple : Freemake Video Downloader — Wikipédia (wikipedia.org)

➡️  Mes indications de désinstallation de programmes ne sont que des conseils, dans le but d'optimiser ton système.
Mais ces programmes sont légitimes, et tu peux bien entendu choisir de les conserver.
Tu es le seul décideur pour ton PC.

Modifié le 10 novembre 2021 par Firebird

[aldurpor]

Bonjour Firebird

J'ai récupérer les 5 fichiers, après avoir réaliser 3 doc "pas a pas" pour réaliser les 3 opérations

- suppression d'applis inutiles

- phase 2 déverminage

- phase 3 contrôle

voici les liens :

https://www.cjoint.com/c/KKpoLnYHHcr

https://www.cjoint.com/c/KKpoM67hoQr

https://www.cjoint.com/c/KKpoOiJFjGr

https://www.cjoint.com/c/KKpoO4xuK1r

https://www.cjoint.com/c/KKpoQcZm3tr

Merci de vos efforts

(En espérant que les instructions ais été suivie a la lettre, a plusieurs reprise, oubli de désactivation de Avast provoquant une mise en quarantaine de applis !)

[Firebird]

Bonjour

Merci pour les rapports.
Tu as parfaitement exécuté la procédure. 

Le correctif FRST a fait un bon nettoyage complété par ZHPCleaner et réparé des fichiers système.

Tu n'as pas répondu à ma question "Comment se comporte désormais le PC ?"

➡ Nouveau correctif FRST
Avertissement
Ces instructions ne concernent que ce PC. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager.
Le temps de téléchargement du script a été volontairement limité à 4 jours. Passé ce délai il ne sera plus disponible.

• Clique sur ce lien fixlist.
• Sur la page qui s'ouvre, fais un clic droit et Tout sélectionner, refais un clic droit et Copier ou utilise la séquence de touches Ctrl A et Ctrl C.
• Relance FRST par clic droit sur FRST64.exe, puis choisis Exécuter en tant qu'administrateur pour le lancer.
• Clique une seule fois sur Corriger et patiente le temps de la correction.
• Ce n'est pas la peine de coller, car FRST se sert du Presse-papier pour utiliser le script.
• L'outil va créer un rapport de correction Fixlog.txt.
• Héberge ce rapport sur Cjoint et poste le lien dans ta prochaine réponse.

=> Attention : Héberge le rapport Fixlog.txt sur Cjoint et copie le lien du rapport avant d'exécuter KpRm,
car cet outil supprimera le rapport Fixlog.txt de ton Bureau.

Finalisation de la désinfection

➡ Suppression des outils de désinfection via KpRm - Nettoyage du Bureau. => Tutoriel.

Attendus 2 rapports : Fixlog.txt et kprm.txt.

➡ Quelques consignes de sécurité pour terminer

• Maintiens à jour le système et les "logiciels sensibles".
• Fais des sauvegardes régulières des documents sur des supports externes, non connectés en permanence.
• Sois vigilant au moment de l'installation d'une application.
• N'installe pas des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, porno, etc.). Privilégie toujours le site de l'éditeur.
• N'ouvre jamais une pièce jointe dans un mail d'un expéditeur inconnu.
• Lis bien les clauses avant d'installer un programme et décoche tout éventuel logiciel ou toolbar qui pourrait infecter ton PC.

➡ Si le problème est réglé, tu peux Marquer le sujet comme résolu.
=> Clique en haut de la page sur le bouton vert
À te relire.

Modifié le 15 novembre 2021 par Firebird