Virus Cobaltpcservice [Résolu]

[Guichel]

Bonjour,

Tout d'abord ce n'est pas mon PC qui est infecté mais celui de ma fille mais comme son navigateur est bloqué par le virus je suis en relais pour le dépannage.

L'OS est windows 7 édition familiale prémium sp1
Le navigateur utilisé est IE.11 dernière version installée

Problème rencontré :
1) - fin décembre 2019 navigateur bloqué par "20191223_virus-cobalt" -> voir pdf joint
- un nettoyage a été opéré avec ZHPCleaner de Nicolas Coolman
- redémarrage du PC, navigation OK
2) - Ce jour, navigation perturbée (blocage onglet) par un virus -> voir 20200103_virus.pdf joint
- seul l'onglet qui affiche "20200103_virus" est bloqué mais il est possible d'ouvrir un autre onglet et de naviguer jusqu'à rencontrer de nouveau le pb!

Je suis à votre écoute pour trouver une solution et éradiquer le(e) "virus".
D'avance merci pour votre aide.

Cordialement.

[chantal11]

Bonjour,

Tu évoques des pdf joints mais il n'y a aucun fichier joint dans ton message.

Je vais attendre le captures, mais ce que tu expliques ressemble bien à une arnaque TechScam d'un faux-support technique qui demande d'appeler un certain numéro ou de télécharger une faux logiciel de sécurité.

Bien sûr, il ne faut pas en tenir compte.

C'est le site que tu étais en train de visiter qui est piégé (volontairement ou pas), ou une publicité intégrée sur une page de ce site. Il faut éviter ce site.
A ce sujet, Internet Explorer est déprécié, il faudrait utiliser un autre navigateur plus sécurisé, comme Firefox ou Chrome.



Si tu n'arrives pas à refermer cet onglet d'alerte par la croix, passe par le Gestionnaire de tâches pour stopper le processus de ton navigateur.

Si ton navigateur est paramétré pour ouvrir les derniers onglets ouverts, déconnecte toi d'internet avant d'ouvrir à nouveau ton navigateur, puis referme-le.

Rétablis ta connexion internet et en ouvrant ton navigateur, tu pourras ouvrir ta page de démarrage habituelle.



Pour éviter ce type de désagrément, installe une extension "bloqueur de publicités" ou mieux sous Firefox et Chrome, une extension Malwarebytes très performante.

L'extension protège les utilisateurs contre les nuisances Web, permet une navigation plus sûre et plus rapide,  bloque les escroqueries de faux support technique (TechScam), filtre les fausses annonces, les clickbait, les monnayeurs et autres contenus malveillants, intégre aussi les fonctionnalités de protection traditionnelles telles que le blocage des publicités, des trackers et des sites Web malveillants connus.



Extension Malwarebytes pour Firefox -> https://addons.mozilla.org/en-US/firefo ... warebytes/

Extension Malwarebytes pour Chrome -> https://chrome.google.com/webstore/deta ... ofjjedodee



Il faut aussi signaler cette escroquerie au support technique
https://www.microsoft.com/fr-fr/reportascam


Nous allons toutefois vérifier le système en établissant un rapport de diagnostic avec cet outil :

--------------------------------------------------------------------------------------------------------------

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  
• Ferme toutes les applications
• Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation


@+

[Guichel]

Bonjour,

Je vous remercie pour votre réponse que je transfert de suite à ma fille.

Pour les pièces jointes je ne comprend pas ce qui c'est passé!
Je vous les renvoie.

Cordialement

[chantal11]

Re,

Oui, c'est bien une arnaque Techscam.

Ta fille est sur quel site quand elle apparaît ?

@+

[Guichel]

Bonsoir,

Ci-après le lien pour rapport FRST.txt
https://up.security-x.fr/file.php?h=R7c ... c7520418d5

Ci-après le lien pour rapport Addition.txt
https://up.security-x.fr/file.php?h=R04 ... b9d0aaa6bf

Cordialement

[chantal11]

Re,

Un petit nettoyage à effectuer pour quelques éléments résiduels et pour les dossiers temporaires.

Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

--------------------------------------------------------------------------------------------------------------

Désinstalle via Paramètres > Applications > Applications et fonctionnalités :

Ces versions obsolètes et donc vulnérables :
Adobe Flash Player 29 ActiveX
Java 8 Update 171 (64-bit)
Java 8 Update 171
Malwarebytes Anti-Malware version 2.2.0.1024

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ferme toutes les applications
• Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copie la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> https://textup.fr/394189ZE (le correctif est copié dans le Presse-Papier)
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
  
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware (version gratuite) et enregistre le sur le Bureau
• Exécute MBSetup.exe par clic-droit -> Exécuter en tant qu'administrateur
• Sélectionner l'installation sur Ordinateur personnel, puis clique sur Installer
• Clique sur Utilisez la version gratuite de Malwarebytes
• Malwarebytes s'ouvre
  
• Clique sur Analyse pour lancer une analyse des menaces
• Patiente le temps de l'analyse
• En fin d'analyse, clique sur Afficher les résultats d'analyse
• Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine
• Pour récupérer le rapport d'analyse, clique sur Afficher le compte-rendu, puis sur Exporter > Export to TXT pour enregistrer le rapport d'analyse
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Si un redémarrage est demandé, valide par Oui et laisse le système redémarrer.
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
Malwarebytes

@+

[Guichel]

RE
Le travail a été effectué comme demandé, ci-joint les 2 rapports.

D'avance merci pour ton commentaire sur cette opération de désinfection.


Bien cordialement.

[chantal11]

Bonjour,

OK pour les rapports.

Comment se comporte le système maintenant ?

@+

[Guichel]

Bonjour,

La fenêtre est réapparue hier, copie ci-joint.

J'ai conseillé à ma fille de changer de navigateur et de passer sur Firefox.

Bien cordialement.

[chantal11]

Bonjour,

Comme expliqué dans mon 1er message, c'est le site visté qui est piégé et qui provoque cette alerte Techscam, relis ma réponse ici -> topic18723.html#p111538

Sur quel site est-elle quand cette fenêtre apparaît ?

Oui, choisir un autre navigateur et le sécuriser avec l'extension Malwarebytes indiquée.

J'attends de tes nouvelles,

@+