Aller au contenu

Messages recommandés

Salut à tous,

 

Cette semaine c'est la troisième victime dans mon petit patelin d’arnaque au site web accrocheur qui dis qu'il faut appeler tout de suite le numéro par ce que le PC à un virus etc

Les gens appelle bien sur un numéro surtaxé

Puis un pseudo technicien prend la main sur le PC et installe des merdes

Avez vous eu le cas ?

3 en une semaine je trouve çà beaucoup.

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello,

j'ai eu le cas la semaine dernière d'un client.

Affichage d'une page web au démarrage du PC, indiquant que le PC est infecté et qu'il faut appeler un numéro en 09xx

Mon client a appelé, puis donné son numéro de CB, et un "technicien" a pris la main via Teamviewer, pour installer des merdes sur le PC.

Résultat, mon client a du faire opposition sur sa carte, dépôt de plainte au commissariat pour escroquerie. Et moi, j'ai nettoyé son PC et reset tous ces mots de passe.

Malheureusement, mon client m'a appelé une fois le mal fait, tandis que s'il m'avait contacté lorsque son PC affichait la page web,il se serait évité bien des soucis.

A mon sens, on a un gros travail de pédagogie à faire avec nos clients, surtout ceux qui ne sont pas à l'aise avec l'informatique, mais malheureusement, on ne peut pas être tout le temps avec eux pour vérifier ce qu'ils font

Partager ce message


Lien à poster
Partager sur d’autres sites

J'en ai eu  au moins une dizaine depuis un an qui ont payé. La plupart, les pages venaient de  Facebook où ils étaient  abonnés à des pages pourries.  Les autres c'etaient des malwares et cie.  Les tarifs que j'ai vu de 100 euros a  250 euros mais c'etait une promo :) 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

Idem de mon coté par contre à part faire changer les mots de passes, passer un coup des nettoyeurs (adwcleaner, roguekiller, malwarebytes..) que faire en plus ? cela suffit il ?

Qu'en pensez vous ?

Partager ce message


Lien à poster
Partager sur d’autres sites

4 eme client cette semaine pour moi, heureusement aucun n'a payé mais il ont tous laissé la main sur leurs PC et tout un tas de merde installé.

Du coup cette semaine j'arrive a faire des désinfections les yeux bandés :)

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

WOW

Si vous êtes la seule référence en informatique de vos clients.

Même si vous n'êtes pas des experts en cybercriminalité.  «« Quoi qu'avec internet ! »»

Vous connaissez l'actualité virale.  Communiquer.la !

 

Préparer et faite parvenir ««régulièrement»» une liste de mesures de sécurité à appliquer, par courriels à vos clients.

Et assurez le suivit quand vous les rencontrez.

 

Aussi.

Utiliser l''actualité comme prétexte pour relancer les clients, avec de nouveaux exemples sur le phishing & les ransomware. ««Régulièrement 3-4 fois / année.»»

Ex. Revirement de situation - Intel déconseille d'installer ses patchs contre Meltdown/Spectre.

 

 

 

Quelques mesures pour, se protéger des hackers et de soi même.


Un article avec description complète sur le phishing.  Réf. Wiki et internet pour un supplément avec des exemples.

- Lesquels viennent majoritairement, de courriels de sociétés connues-Fake et dont le but est que la victime se logue sur un site Fake ==>> le serveur du hacker.

- Ou un script sur un site qui affiche à pleine page dans le navigateur, ces pseudo services tech. de Microsoft, comme ChapSteph et Makarov62 mentionnaient.

- Ou encore de pseudo Tech. Qui traverse le navigateur via un exploit, pour s'installer dans un point de chargement "généralement au Démarrage". 

- De Facebook qui fait régulièrement l'objet de piratages, comme SkySky.

P.S.

Si ton institution financière envoi un courriel avec lien Web, qui demande se loguer = suspect. 

Vérifier l'adresse http://..  à la recherche d'un préfixe hors norme.     Aussi. Au lieu du lien Web du courriel, utiliser le favori de l'institution qui dans le navigateur.

 

Sur les ransomware qui transit en majorité, via des pièces-jointe(.Exe. .Zip. Pdf, Word, Excel, etc) de courriels inconnus.  ««Les fausses factures etc.»»

- Même avec les courriels d'origine connus avec pièce-jointe. Avant de lancer la pièce-jointe, vérifier avec l'expéditeur qui pourrait s'être fait piraté ses contacts.

«« Aucun antivirus(avec 3-4 jours de retard) n'est mieux placé que l'utilisateur, pour évaluer efficacement les courriels d'origines inconnus & connus-Fake. »»

P.S.

Utiliser n'importe quel autre lecteur pdf qu'Adobe, qui est ciblé par les pirates 

Et Désactiver Windows Script Host, pour le code VB illicite susceptible d'être contenu dans des fichiers Word, Excel ..

 

 

Pareil avec les supports USB d'origines inconnus, qu'on ne doit jamais ouvrir par un double-clic.  Mais plutôt par un clic-droit --> Ouvrir.

Et si un support USB contient un fichier autorun.inf accompagner d'un fichier .VBS ou .VBE <<-- supprimer ces fichiers qui sont le vecteur d'infection.

Si des fichiers & rép. ont "en apparence" été transformés en raccourcis.  Ils sont la réelle infection. Donc ne pas double-cliquer sur eux. Supprimer les plutôt.

Et ré-afficher les fichiers & rép. qui ont simplement été cachés. <<-- Dans les "Options des fichiers" ainsi que dans les Propriétés de chacun.

Si, à cause du double-clic, l'infection s'est déployée dans Windows.  C'est au Démarrage, avec comme ligne de commande; wscript.exe suivit d'un VBS ou .VBE.

P.S.

La Désactivation de Windows Script Host, est aussi valable avec les .VBS et .VBE.

Tout comme la désactivation de la fonction Autorun de Windows, qui peut s'appliquer qu'aux supports amovibles.  

Les Antivirus gratuits ont tous une option (pas toujours activée), qui bloque les fichiers Autorun.inf que sur les supports USB.

Et y a l'ajout d'un répertoire autorun.inf pour contrer la mise en place d'un fichier autorun.inf, pour les supports USB qui vont en promenade.

 

 

 

L'importance du rôle de l'utilisateur en prévention. 


Avec près de 95% des infections, qui viennent de décisions / actions des utilisateurs.
Les téléchargements y sont pour beaucoup ; 
• rien que les PUPs, adware & infections de navigateurs, de logiciels gratuits, représentent près de 80% de tous les sujets de désinfections. 
• les Faux plugins FlashPlayer, lecteur vidéo & codec vidéo .. sur les sites «« à fuir »», qui les obligent pour accéder à leur site. 
• les Fix bidon(SpyHunter, Re-Image etc) sur les Faux sites de conseils de sécurité.    «« Y en a tellement. »»
• les logiciels crackés ≈ botnet = ordi. zombie. 
• .. 
Et. 
• les pièces-jointe & liens Web de courriels d'origines ;  inconnus ≈ ransomware   &   connus-Fake ≈ phishing.
• les supports USB inconnus.  À lancer par un clic-droit → Ouvrir (au lieu du double-clic) etc.
                                                      
Bref.   Toutes des choses qu'un utilisateur avisé devrait éviter aisément. 
 
Alors.  Dans la majorité des cas.   
            Quand l'antivirus a à intervenir
(s'il le peut), c'est que l'usager a commis une erreur de sécurité. 


 
Et après. 


S'il y a un endroit où l'incertitude a sa place en sécurité, c'est avec la navigation.
Alors que des pub vérolées, Exploits .., peuvent même surgir sur des sites safe piratés .. 
L'utilisateur doit donc utiliser davantage de mesures de sécurité, avec les navigateurs. 
Aussi. 
Pour protéger la navigation des URL/sites à risques 
• le fichier Hosts, à mettre à jour aux 30 jours,   «« uBlock en a, sauf que plus on ajoute de liste plus ça ralentit le navigateur. Alors qu'une liste dans le Hosts, est valable pour tous. »»
• bouclier Web d'antivirus,  
• les navigateurs qui doivent être m-à-j régulièrement.  Leurs m-à-j servent souvent qu'à colmater des failles de sécurité.
• les extensions de sécurité ; uBlock Origin, NoScript etc
੦ facultatif - On peut même remplacer les IP du serveur DNS du FAI, par NortonDNS ou OpenDNS .., qui bloquent aussi des sites. 
Cela. 
• Sans négliger l'ajout d'un anti-Exploit, comme ; EMET ou mb-ae free.    «« Les antivirus payants en on un ! »»
Et. 
• Tenir à jours; les plugins d'Adobes & Java, à télécharger que sur le site de l'éditeur.  Si possible, désactiver Java(plein de failles) dans les navigateurs.
• Évidemment. On pourrait ajouter d'éviter les sites à risque. 
 
 
À propos. 

 

Les navigateurs.

Chrome a redéfini les normes de ce que doit être un navigateur.

Par contre.  Avec leur penchant avoué pour la collecte de données.   Y a Chromium, Opera etc, qui partagent le même ADN que Chrome.

 

Pour Firefox.  Après avoir été mis de coté en 2016, dans une convention de hacker sur la sécurité.  L'éditeur s'est enfin décidé de remodeler son navigateur en 2017.


  
L'extension de sécurité NoScript.
NoScript est une authentique protection contre les menaces zero-day.

Aussi. Cette extension est la plus puissante et la plus difficile à maitriser.  

 

«« Si on Autorise tout sur ses sites favoris etc.  Aussi bien ne pas installer NoScript. »»

 

Au début on doit investiguer chaque Domaine/URL, c'est long.   

Après.  Comme plusieurs sites utilisent les mêmes Domaine/URL, ça devient plus rapide. «« On peut sauvegarder les autorisations enregistrées. »»

 

Si nécessaire.  On doit d'abord autoriser le Domaine du site visité.
Ensuite.
Au cas par cas, pour retracer les Domaines/URL utiles pour accéder aux fonctions/services du site visité. 
Ex. comme avec la fonction qui sert à s'inscrire ou se loguer sur un site etc.  
Parmi les URL "non autorisés par défaut", y en a qui servent à sniffer, à de la pub, afficher des vidéo etc, etc. 

Que ce soit les sites favoris visités à chaque jours ou les gros sites comme TF1 etc.   Y a aucun site exempt d'être piraté. 
Et rare sont les sites qui ne sont pas associés à des régie publicitaire, pour faire un peu de cash.  
En tout cas. Les sites de streaming vidéo, sont très dangereux.
  


 

Partager ce message


Lien à poster
Partager sur d’autres sites

très bien ton topo sur la prévention.

je n'ai pas du par le passé appliquer toutes tes consignes parce quelques adwares du type PUP , des publicités donc ont passé mes filtres (CCleaner antivirus windows,et MALWAREBYTES, )

Oh d'après ce dernier ils ne sont pas dangereux mais bon ils me mangent environ 20 % de la vitesse de mon processeur (mesuré sur le gestionnaire de tâches) et donc me ralentissent un peu.

J'ai bien essayé divers trucs (anti adware, le logiciel revo uninstall, le gestionnaire pour les désinscrire et baisser leur niveau de priorité) mais ils sont toujours la , ils s'appellent "campuses", et "stagnation"

Impossible de  les virer

J'ai lu des avis très techniques qui proposent de toucher au Registre windows mais je ne suis pas  très chaud pour m'y coller.

As tu une solution ?

merci de m'avoir lu

Partager ce message


Lien à poster
Partager sur d’autres sites

Effectivement, farfouiller dans le registre n'est jamais le 1ière option recommandée.   

Et lorsqu'on y est forcé, c'est avec beaucoup de vigilance, sauvegardes, etc.

 

Ce qui n'est pas nécessaire lorsqu'il s'agit d'infections,

 

Puisque la principale tâche de FRST, est d'afficher tous les points de chargement ; de Windows et des logiciels. 
Et que les infections, doivent forcément utiliser les mêmes points de chargement, pour s'activer. 
Alors.  Peu importe la date d'apparition des infections ou le type d'infection.  ⇐ Lacunes des antivirus et scanners. 
            S'il y a infection, c'est affichés.    «« généralement »»
De plus.  

            Sans en être un spécialiste, les rootkits font l'objet de recherches(couche TCP/IP, fichiers systèmes etc).
Et en prime.    

            FRST affiche les erreurs ;  de l'Observateur d'événements   &   du Gestionnaire de périphérique.
                                                  Ce qui permet de ratisser plus large que le domaine viral, pour retracer des bugs. 

 

 

Spécial adware(les pub).        


Si le Démarrage(qui peut être accompagné d'une Tâche planifiée)   ou   une Extension de navigateur,   peuvent en être.
       Ex ; au Démarrage(dans msconfig) avec ;   Cmd.exe  ou  Explorer.exe    suivit d'une adresse http://..
              Une tâche planifiée peut même servir à remettre en place un point supprimé(désinfecté) au Démarrage.

 

Aussi.     «« Au tout début (avant les navigateurs) de la Section "Internet" dans rapport FRST.txt. »»
• Les adware viennent, soit ; des IP des serveurs DNS ou d'un Proxy
• Ou. Qui peuvent avoir été modifiés ; la couche TCP/IP "du registre" ou le fichier système DNSapi.dll == rootkit.
À propos.
À part un Proxy qui pourrait venir d'une application(..rare) "à vérifier".
Et les IP de DNS (souvent non affichés parce qu'en liste blanche) qui peuvent venir du Routeur/FAI/employeur ou l'université = safe.

               Plus fréquent, y a  que des IP de DNS ««tout de même à vérifier»» qui sont affichés et souvent safe.
                            Lorsque d'autres de ces objets sont affichés (rare), généralement ils sont à zapper.

 

Y a aussi les entrées de registre StartMenuInternet & les raccourcis, qui peuvent être affublés d'une adresse http.  Et le fichier Hosts.
Au début de la section Internet, le nb de lignes du fichier Hosts est affiché = un prétexte pour pointer sur sa section dans Addition.txt.
Les StartMenuInternet sont affichés dans la section Internet de FRST.txt, à la dernière ligne de chaque navigateur.
Et.  Cocher l'option Shortcut et vérifier les lignes InternetURL dans le rapport Shortcut.txt.
 

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour cette réponse immédiate

si j'ai bien compris tu préconises l'utilisation du scan FRST.

Et une fois le scan installé procéder à une analyse et suivre les recommandations pour le nettoyage.

J'ai vu un autre tuto pour la mise en oeuvre des  préconisations FRST sur malekal....envoi du résultat analyse à un soutien via pjjoint etc...

j'ai noté au passage que le concepteur de FRST précisait que l'utilisation de l'outil était à nos risques et périls, je comprends: ils ne peuvent pas être tenus pour responsables d'erreurs de notre part dans la mise en ouvre des corrections, qui plus est en utilisant un outil gratis.

Donc je pars en recherche d'un soutien

Partager ce message


Lien à poster
Partager sur d’autres sites

gilou65,

Comme les techniciens «« selon les sujets observés »», ne doivent pas aller sur les forums de désinfection pour leur client.

Alors.  Vous ne devez pas être un technicien «« qui discutent de l'utilisation de FRST »».

 

Effectivement.  Y a des sites d'experts pour newbie et autres forums de désinfections.

Sauf que tous sans exception, semblent tenir à ce que vous restiez newbie.

Puisqu'il ne vont jamais plus loin que de recommander le fameux scan antivirus, pour désinfecter un ordinateur.

Auquel s'ajoute les scanners  AdwCleaner etc.

 

Et pourtant.   L'utilité des points de chargement en désinfection, est tellement important.

La preuve.     Les désinfecteurs auxquels on fait appels, après qu'antivirus et scanners aient échoués à la tâche,

                       Qui utilisent des logiciels de diagnostique, dont la principale tâche est d'afficher tous les points de chargement.

 

 

Alors.

 

Au lieu d'un simple clic avec FRST etc.   On peut aussi utiliser les différentes fonctions de Windows, en plusieurs clic.

 

Aussi.

 

Sachant que près de 99% des infections utilisent des points de chargement, pour s'activer. 

                                                                                                  Et dans un moindre %, des rootkits.

 

Présentement, selon l'actualité virale.  

Les points de chargement suivants, sont utilisés par la grande majorité des infections. 
 
• msconfig [Démarrage]  & [Services]..en cochant ; Masquer les services Microsoft. 
• Les Tâches planifiées à ne jamais négliger.   Ceux Logiciels, donc sans les sous-rép. Microsoft et WPD.
• Les Extensions de navigateurs.  

• D'un peu moins fréquent, mais toujours important, les Drivers Logiciels (= non-Microsoft).
• Auxquels on doit ajouter, les Désinstallateurs de Logiciels pour les PUPs(p'tits logiciels inutiles).

 

 

Et le spécial adware.

 

Si des pages de pubs s'affichent régulièrement durant la navigation.
Alors cela vient d'une extension du navigateur   
Ou de Windows, avec ;   un proxy   ou   des IP de DNS   ou   la couche TCP/IP   ou   le HOSTS   ou   DNSapi.dll.
 
Si la page de pub se présente qu'une fois, lorsque l'utilisateur ouvre le navigateur.
Cela vient soit de raccourcis de navigateurs,  contenant l'adresse http;// dirigeant sur la page de pub. 
Ou de l'entrée de registre StartMenuInternet, qui contient une adresse http;//.. 
 
Et. 
Si le navigateur s'ouvre dès l'ouverture de Windows, sans intervention de l'utilisateur, en affichant qu'une "1ière" page de pub.
Cela vient d'un point de chargement au [Démarrage]. 
• Soit    CMD.exe   ou   Explorer.exe   ..suivit d'une adresse http;// "de pub".  ⇐ Supprimer le point de chargement
Aussi.
Une Tâche planifiée peut être utilisée, pour remettre en place un adware supprimé au Démarrage.
La tâche planifiée contiendrait ; REG ADD HKLM\Software\ .. \Run  /v  LaValeur  /t  Reg_SZ  /d  "CMD.exe http:\\..pub"
 
Pour le reste.
Sans diagnostique à l'appui qui pointerait directement sur le point de chargement d'un adware.
On est un peu obligé de fixer tous les endroits susceptibles d'être porteur de cette infection.

 

• Commencer en Réinitialisant le navigateur à ses valeurs par défaut. «« inutile de le désinstaller / réinstaller. »»
http://www.commentcamarche.com/faq/26679-reinitialiser-son-navigateur


Et si cela ne donne pas de résultat, continuer avec la suite jusqu'à ce qu'il y ait plus de pub.


Pour les IP des serveurs DNS.
• Dans les Propriétés des connexions; Local et wifi.
• Sélectionner  → Protocole TCP/IPv4.
..Et si nécessaire.
• Cocher ◉ Obtenir les adresses des serveurs DNS automatiquement.


Pour le fichier de Windows DNSapi.dll, qui peut avoir été modifié par un adware.
• Lancer ; sfc /scannow


Réinitialiser le fichier Hosts avec une nouvelle liste à tous les 30 jours.
• Télécharger et décompresser ce fichier.
• Lancer mvps.bat par un clic-droit - En tant qu'admi.


Pour la couche TPC/IP,
• Ouvrer l'invité de commande en tant qu'Admi.
• Entrer ; Netsh int ip reset et valider.
• Suivit de; Netsh Winsock reset et valider.
Après.
• Redémarrer l'ordinateur


Pour le 1ier Proxy.
• Panneau de config → Options Internet → Connexion → [Paramètres réseau].
• Décocher ; Utiliser un serveur Proxy pour votre réseau ..

 

Pour le 2ième proxy "accessible que du registre".
• Dans HKLM\System\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies → à la Valeur ; (par défaut)
• Réinitialiser à vide le contenu de la Valeur (par défaut).
Et,
• Dans  HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings → à la Valeur ; AutoConfigURL
• Supprimer la Valeur AutoConfigURL.

 

 

Pour les raccourcis.
Sur le bureau et dans le Menu Démarrer etc.
• Dans les Propriétés → Cible, des raccourcis de navigateurs.
• Supprimer que l'adresse http//.. qui suit après l'.Exe du navigateur.


Les entrées de registre StartMenuInternet, sont dans ;
HKCU\SOFTWARE\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command
HKLM\SOFTWARE\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command.
HKLM\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command.
• Dans la valeur (par défaut), supprimer que l'adresse http:// qui suit après l'.Exe.du navigateur.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×