Bonjour
J'ai vraiment très honte !  
A la suite de l'écran ci-dessous (voir copie d'écran faite par photo parce que c'était bloqué), je me suis laissé avoir comme un débutant, j'ai téléphoné au numéro indiqué et j'ai laissé le "dépanneur" accéder à ma machine.
La partie visible de son intervention a été de passer deux logiciels de détection de vulnérabilités (il me les a fait désinstaller après)
 
J'ai par la suite retrouvé l'écran dans l'historique. On en sort facilement en redémarrant brutalement (appui prolongé)
 
Mes comptes principaux genre Google sont protégés par la double sécurité (code donné par sms sur mon téléphone). J'ai déconnecté les sessions google.
Connaissez-vous ce type de piratage et que me conseillez-vous ? Il a dû piquer tous mes mots de passe.
Faut-il réinstaller Windows et exécuter Linux en attendant ?
Merci de votre aide !
 
 

Bonjour et merci !
Je vais étudier ce que tu me dis.
J'ai retiré mon numéro de carte bleue de l'endroit où il était
Une précision : avant de nous "quitter" il m'a conseillé de mettre mes fichiers perso dans le cloud Google au lieur de les stocker en local
Il ne m'a rien fait payer

Tu as de la chance si tu n'as rien payé : une arnaque similaire pour laquelle ce n'était pas le cas :
https://www.youtube.com/watch?v=saB7fQY6rLU

m’étonnerai que le faut support se soit fait chier a se connecter "pour le fun"  
a mon avis, il a laissé des backdoor pour revenir plus tard

Je suis de ton avis.  
Si cela m'était arrivé -> formatage et réinstallation. Et changement de tous mes mots de passe dans la foulée...
Sans oublier la surveillance des comptes bancaires  

J'ai pas de boule de cristal.  
 
Ma.., si Paul771 n'a rien eu à payer, c'est que le pirate à chercher à se satisfaire différemment.  
                                                                                               Ce qui pourrait coûter plus encore.
 

S'il était sur l'ordinateur.  
Devriez avertir Visa ou ?? rapidement de ce qui vient de vous arrivez.  Il doive avoir une procédure pour ce genre de cas.
 
 

Avec autant de précisions que possible.
- Quels sont ces logiciels.
- D'où ont-ils été téléchargés, d'un/de site(s) connu(lequel) ou d'un hébergeur(lequel).

Bonjour et merci !
J'avais commencé à préparer l'intervention de Malekal en exécutant l'utilitaire et j'ai obtenu les 2 TXT
Je laisse donc tomber et je formate ?

Une réinstalle ne serait peut-être pas nécessaire.
 
L'analyse des points de chargement serait plus rapide.  Suivit d'une analyse de rootkit.
 
Auparavant essayer de répondre ; quels logiciels ont été insgtallés  et d'où viennent-ils ?
 
Poster les 2 fichiers FRST.txt & Addition.txt ici ⇒ via le site Cjoint.com ⇐ http://Explications Cjointe.jpg.

Les logiciels sont :  
pc-privacy-shield_3.6.exe
expertech24.Client.exe
Cela s'installe. Il les a désinstallés en partant avec le panneau de config

Voici les liens chez Malekal
Je les posterai également ailleurs si nécessaire
https://pjjoint.malekal.com/files.p [...] r6t12f6n12
https://pjjoint.malekal.com/files.p [...] x7x8v15v13

Ok j,analyse cela rapidement et vous reviens.

chaque semaine j'ai un client qui fait la meme bétise, en ce moment le but c'est de faire peur et de vendre  
 
- un depannage a distance
- un abonnement depannage a distance
- un antivirus si possible
 
si le client se rebiffe ca peut tourner au vinaigre.
 
Donc réinstallation a chaque fois, mot de passe changement, si la carte bleu avait ete enregistré dans chrome alors vaut mieux la faire changer je pense.
 
Attention aux phishing orange c'est aussi une épidemie en ce moment

Voilà sur cjoint
https://www.cjoint.com/c/JBtgQjqdmjQ
https://www.cjoint.com/c/JBtgRnrSfKQ
 
La carte bleue n'a pas été enregistrée hormis sur le site ******** où je l'ai virée
 
J'ai fait une analyse adwcleaner, il a viré 2 "pup"
Et une malwarebytes, il n'a rien trouvé
Faut-il porter plainte à la police ?

2 logiciels totalement inconnus.
Certainement des belles merdes

En attendant mieux, je me suis déconnecté de Windows et je suis actuellement connecté sous Linux

Y a pas grand chose, si ce n'est 2-3 répertoires à supprimer à la fin du script.
 
 
• Copier le contenu de la Citation dans le Bloc-Note.
• Et sauvegarder le bloc-note "sur le bureau", sous : Fixlist.txt
.
• Lancer FRST64 et cliquer sur [Corriger].
..Après le traitement.
.. Le rapport Fixlog.txt sera sauvegardé au même endroit que FRST « sur le bureau » .
• • Poster le rapport ⇒ via le site Cjoint.com ⇦ http://Explications Cjointe.jpg.
 
 

 
 
Désinstaller -->> Version bêta de Google Chrome
 
 
À propos.
 
Parce que tout ce qu'il y a sur l'ordinateur est autorisé (par défaut) dans le trafic sortant.
Le parefeu de Windows représente un problème dans pareille situation.  
Si les navigateurs, courriels et autres logiciels ont libre accès à internet, sans qu'aucune intervention de l'utilisateur ne soit nécessaire.
Il en va de même pour les spyware, trojan etc ont eut aussi accès à internet sans restriction.

Merci et voici la log
https://www.cjoint.com/c/JBtjAZBqmAQ
J'ai viré les dossiers indiqués ainsi que Chrome Beta
Une question pour le pare-feu : faut-il passer à Bitdefender security ?
Merci !

tout a fait, come je l'ai dit, ce n'est que mon opinion, je n'ai étudié aucun de cas. je trouve juste étrange que le gars se face chier a se connecter chez la personne, lui demande de télécharger des softs,... tout ca pour quoi en fin de compte ? rien ?

apres, si ca fait chier que je donne mon avis, faut le dire, j'en tiendrai compte, ou pas

Peut-être a-t-il cherché quelque chose qu'il n'a pas trouvé ? Numéro de carte bleue, par exemple. Il figurait sur un site mais je l'ai retiré tout de suite et en plus c'était crypté. La seule chose qu'on pouvait en faire, c'était de faire des achats sur ledit site mais cela aurait été visible
Il a également eu tout le temps de recopier les mots de passe.
Les plus importants (Google notamment) sont protégés par la double sécurité
PS C'est moi qui ai configuré.
Je suis extrêmement vexé, outre l'ennui de la situation, de m'être laissé piéger comme un débutant
Le lien Manjaro, c'est parce que j'ai une partition Manjaro
Il n'y avait pas d'usage spécifique des versions bêta

 
regarde les vidéos de micode sur youtube.
le but de ces arnaqueurs est de vendre un servi bidon à un prix exhorbitant.

C'est curieux car on n'a pas essayé de me vendre quoi que ce soit.
A la fin il a insisté pour que j'utilise le cloud Google au lieu de stocker mes fichiers en local, plus pratique d'après lui, en me précisant de rester dans la version gratuite
 
Un détail : au début il m'a fait exécuter ceci
 
chrome 199.192.25.223:8040

 
ba oui, mais c'Est justement ca la question, il a rien demandé

Très bizarre tout ça.

Ils ont peut être évolué vers autre chose que la vente de services bidons, où c'est d'autres groupes.

la par contre, il y a une page avec plein de Javascript & Co derriere ....

ca date un peut mais j'ai donné cette URL a manger a Virustotal verra bien ce qui en sort
edit => qui n'y trouve rien d’alarmant

Les avis ont l'air partagés sur la réinstallation de Windows. Je sais le faire, en tout cas
 
je suis en train de changer le mot de passe Google tout en me demandant si c'est bien utilie étant donné qu'il y a la validation en deux étapes et surtout je me demande ce qui va se passer pour mon smartphone Android dont c'est le code et le mot de passe d'entrée. J'ai posé la question dans un autre topic

Et il y a quelque chose de spécifique à faire maintenant ?

comment te dire ... mon avis est ...  
 
non en fait, semblerai que des pro sont la pour t'aider comme il faut alors je vais les laisser répond.

Bonjour et merci de ta réponse
Je vais changer les principaux mots de passe (impossible de les changer tous, il y en a des milliers.) Il s'agit des identifiants-mots de passe d'accès à de nombreux sites à commencer par Google et ses services. Mais cela sert-il à quelque chose s'il y a la validation à deux étapes ?
Firefox Monitor n'a trouvé aucune fuite mais cela veut-il dire quelque chose ?
 
Pour le changement de mot de passe de Google, je voulais savoir comment cela se passait sur le smartphone Android dont c'est le code d'entrée

Ça t’enverra une notification sur tous tes appareils connectés à ce compte pour te demander de te reconnecter avec le nouveau sésame, pour relancer la synchronisation.

OK merci

Salut ,
 
Juste par curiosité , Firefox Developer Edition , c'est de ton fait ? le config.cfg , aussi ?
 

 
De plus , tu devrait tester ton/tes disques (peut être un disque dur externe) avec crystaldiskinfo par exemple  
 

Bonsoir
FF dev edition, oui, c'était de mon fait mais je viens de le virer ainsi que son profil particulier
Pour FF extra check, que faut-il faire ?
C'est un deuxième disque dur. je regarde

Crystaldiskinfo refuse de lire mon deuxième disque dur
Il ne prévoit que c: et e: (une partition étendue) mais pas le deuxième disque sur
La cause des messages que tu signales est peut-être la présence de partitions Linux qu'il contient en plus d'une partition de données  appelée d: par Windows

RE_
 
Pour FF extra check
 
Il faut corriger avec FRST , copie ce qui suit (sans le coller nulle part) et cliques sur corriger dans FRST  
 

 
Pour le disque dur , Touches Windows + R , tapes diskmgmt.msc et valides --> Regardes dans la fenêtre à quoi correspond le disque 2.
S'il n'y a rien , c'est que ça correspond à un support externe .
 
 

Oui, bien sûr, désolé, c'est une clef USB

Ça vient (ou venait) de BitDefender.  
 
Évidemment, tout fichier prefs.js (ou \pref\..) venant d'ailleurs que le rép. du Profile, est étiqueté par FRST / ZHPDiag ..
 
 
 
Pour le parefeu, 2 possibilités.    
 
Soit je vous indique comment paramétrer celui de Windows.  
       Si la manip de bloquer les Connexions sortantes est très simple.
       C'est après que ça se complique.  
       Si la 100aine de règles usine de Windows déjà en place, servent ««que»» pour ceux qui bloquent les Connexions sortante.
                 ««Comme par défaut tout est autorisé. → La fenêtre du trafic Sortant pourrait être vide, que ce serait pareil.»»
       Puisque plus aucun processus applicatif ne peut plus accéder à internet
       Et parce que le parefeu de Windows n'intercepte aucun processus pour validation et ne créé aucune règle.
       L'utilisateur est obligé de créer des règles aux navigateurs, courriel, etc.
       S'il est relativement simple de créer des règles aux navigateurs, etc, via leurs raccourcis ou répertoires d'installation.
       C'est plus compliqué avec les nombreux processus d'update de logiciels et drivers(NVidia, Intel ..).  
       Lesquels processus d'update doivent être retracés dans les Tâches planifiées, Services (et plus rare au Démarrage).  
Ou.
Si vous avez les finance !
Sinon, vous seriez aussi bien servit avec un petit parefeu logiciel Free, comme ; TinyWall, Windows Firewall Notifier, etc.
Si ces parefeu d'antivirus payant ou Free viennent avec des listes blanche de logiciels pré-autorisés.
             «« Les parefeu d'antivirus payants ajoutant l'analyse du trafic, pour les attaques DDos, etc. »»
L'important est de ne pas autoriser les processus inconnus / suspect, sans un min. de vérification.
Dans l'incertitude, on bloque et investigue.  Et si c'est bon, on débloque et autorise.  Sinon, on supprime le processus.

Bonsoir et merci !
Ca devient un peu compliqué pour moi.
je propose de passer à Bitdefender Security (qui a un pare-feu "personnel" ), le cran au-dessus. A titre onéreux, comme disait Achille Talon

Ça n'a pas marché
Au fait, c'est grave ? Parce que Firefox a l'air de très marcher comme ça. J'ai dû rouvrir des sessions, c'est tout.
 

Oeung.., mettons quel les rapports de rendus de FRST sont pas très ..
 
Probable que FRST ne peut identifier ce répertoire ;-->  \C\Program Files\mozilla firefox\defaults\pref\bd_js_config.js
 
Aller vérifier vous-même si les fichiers ont été restaurés.
dans C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js
   et  C:\Program Files\mozilla firefox\bd_config.cfg
 
__________________________________________
 
 
Un parefeu logiciel gratuit comme TinyWall ferait l'affaire.  
Si les processus de logiciels grand public connus, seront pré-autorisé.
Après.  Suffit de ne pas autoriser les processus inconnus (à la limite, suspects) sans d'abord investiguer.
 
Souvent simplement lancer une recherche avec un fichier(processus) suspect, donne rapidement des résultats sur sa légitimité.
Y a qu'une chose à tenir compte avec de pareilles recherches -->  Les sites de sécurité FAke.  «« Y en a tellement. »»
                                                                                (ceux qui proposent Spyhunter ou Reimage ..)
 
 
À propos.
 
Même les parefeu d'antivirus payant peuvent manquer des processus d'infections.
 
Aussi.
 
Virus Total.
S'il y a 4-5 antivirus parmi les plus réputés qui détectent quelque chose, cela indique qu'il y a infection.  
Par contre.   Si aucun antivirus ne détectent quelque chose, cela ne signifie pas qu'il y a aucune infection.  
                   Alors.  Ne jamais négliger la recherche sur internet.    
 
   
 
À propos des recherches.
Difficile de lancer une recherche sur un fichier suspect ou avec la définition d'une infection.  
Sans se ramasser avec près de 50% de sites de conseils en sécurité Fake.
 
Aussi.  Si une recherche avec un fichier suspect (qui s'avère être une infection), affiche plein de sites Fake & Safe == infection.
 
Par contre.  Gaffe lors de recherches avec un fichier "que" suspect (qui n'est pas une infection).
                  Y a des blogs de conseils Fake qui vont être affichés.
 
Comment différencier les blogs Fake, des Safe.
 
Les blogs de conseils en sécurité Fake, ne sont qu'un prétexte pour placer qu'UN Fix en téléchargement.
L'unique fix souvent indiqué que par [Fix] ou [Téléchargement], pour SpyHunter OU Reimage ..  
 
Alors que les blogs de conseils en sécurité Safe, eux, proposent plusieurs logiciels, ex ; AdwCleaner ET ZHPCleaner etc.  
Évidemment y a des sites comme BleepingComputer, .., qui ne font qu'informer sans proposer de téléchargement.
 
 
Tout de même.   Y a des sites de conseil qui offre qu'un logiciel qui sont Safe ; Emsisoft, ..  
 
                                                         «« Toujours valider une recherche avec 2-3 sites !»»
                                «« Après quelques recherches on en vient à rapidement identifier les sites FAKE. »»
 

 
Euhhh  !!! il sort d'où le fixlist ? , ce n'est pas ce que j'avais mis ???