MENU
  1. Accueil
  2. Windows
  3. Windows Defender
  4. Faux CAPTCHA : comment réagir après avoir lancé une commande Win+R copiée-collée ? Guide de désinfection Windows complet

Faux CAPTCHA : comment réagir après avoir lancé une commande Win+R copiée-collée ? Guide de désinfection Windows complet

Windows Defender

Un faux CAPTCHA vous a piégé ? Après avoir collé une mystérieuse commande dans Win + R et appuyé sur Entrée, vous redoutez la présence d’un stealer tel que Lumma sur votre PC. Cette feuille de route pas‑à‑pas vous aide à comprendre l’attaque, à vérifier que rien ne subsiste et à renforcer durablement votre sécurité.

Sommaire

Comprendre l’attaque « Win + R → Ctrl + V → Entrée »

Les cybercriminels savent qu’un CAPTCHA inspire confiance ; ils affichent donc un faux formulaire qui copie en arrière‑plan une commande PowerShell ou regsvr32 dans votre presse‑papiers. En l’exécutant via Exécuter, vous lancez un script qui :

  • télécharge une charge utile depuis un serveur Discord, GitHub ou un CDN obscur ;
  • exfiltre vos mots de passe, cookies de session, portefeuilles crypto ou fichiers ;
  • s’efface en quelques secondes pour échapper aux antivirus.

On parle d’attaque « flash stealer » : rapide, furtive et très rentable pour l’attaquant.

Premières actions d’urgence

  1. Déconnectez immédiatement le PC du réseau : Wi‑Fi, câble, VPN et Bluetooth. Vous coupez ainsi les canaux d’exfiltration.
  2. Redémarrez en mode sans échec avec prise en charge réseau : la plupart des malwares ne se lancent pas dans cet environnement réduit.
  3. Lancez Microsoft Defender Offline : ce scan se fait avant le chargement de Windows, ce qui empêche un code malveillant résident de se cacher.

Vue d’ensemble des mesures (tableau récapitulatif)

ObjectifMesures immédiatesMesures de vérification / assainissementMesures préventives
Isoler et nettoyer• Couper Internet.
• Sauvegarde hors ligne → réinitialisation d’usine si doute.		• Microsoft Defender Offline.
• Scans Malwarebytes & ESET.
• Vérifier programmes installés à la date de l’incident.
• Analyser les journaux (événements, pare‑feu, Sysmon).		• Mise à jour Windows et logiciels.
• Naviguer sous compte non‑admin.
Sécuriser l’identité• Changer tous les mots de passe.
• Révoquer sessions actives.		• Activer 2FA.
• Surveiller comptes & cartes plusieurs semaines.		• Gestionnaire de mots de passe.
Contrôler la persistance• Inspecter tâches planifiées & clés Run/RunOnce avec Autoruns.• Chercher exécutables inconnus dans %TEMP% et %APPDATA%.• Activer « Protection des dossiers » dans Windows Security.
Renforcer la vigilance web• Vérifier URL, cadenas, certificat avant un CAPTCHA.• uBlock Origin, NoScript, etc.
• Sauvegardes hors ligne régulières.

Phase d’analyse approfondie

1. Examiner les journaux système

Ouvrez Observateur d’événements → Journaux Windows → Système et Application. Filtrez sur la date et l’heure approximatives de l’incident ; repérez :

  • des erreurs d’application inhabituelles ;
  • des créations de service (Service Control Manager ID 7045) ;
  • des connexions sortantes inhabituelles (Windows Firewall With Advanced Security ID 5156).

2. Contrôler la persistance avec Autoruns

  1. Téléchargez Autoruns depuis le site Microsoft Sysinternals sur une clé USB saine.
  2. Démarrez le PC en mode sans échec → exécutez Autoruns en tant qu’administrateur.
  3. Désactivez l’option Hide Windows Entries pour n’afficher que les ajouts tiers.
  4. Filtrez par Timestamp et supprimez tout ce qui a été créé le jour de l’attaque et dont l’éditeur est « Unknown ».

3. Inspecter le réseau

  • PowerShell Get-NetTCPConnection : lister les connexions actives ; recherchez les ports 443, 8080 ou 65400 pointant vers des domaines non reconnus.
  • Wireshark → Statistics → Endpoints : sur une durée courte (5 min), identifiez un volume anormal de paquets vers une IP unique.
  • Si vous voyez une adresse chiffrée Cloudflare, notez l’ASN et vérifiez s’il s’agit d’un CDN légitime ou d’un serveur C2.

Que faire si aucun malware n’est détecté ?

Les stealers modernes comme Lumma ou RedLine fonctionnent en mode « smash and grab ». Ils :

  • se glissent dans la mémoire (processus PowerShell, rundll32 ou regsvr32) ;
  • exfiltrent les données en 30 secondes via HTTPS ou WebSocket ;
  • s’auto‑suppriment, laissant peu ou pas de fichiers sur le disque.

C’est pourquoi vos scans antivirus peuvent rester vierges. Dans ce cas, concentrez‑vous sur :

  • la rotation de tous les secrets (mots de passe, clés API, phrases seed) ;
  • la surveillance des comptes (alertes de connexion, authentification multifacteur, solde bancaire) ;
  • un durcissement de la configuration Windows.

Durcir Windows contre les futurs fake CAPTCHA

Activer la protection exploit & le contrôle d’applications

  1. Windows Security → Contrôle des applications et du navigateur.
  2. Activez Contrôle de l’exécution des scripts et le filtrage SmartScreen pour Microsoft Store et Edge.
  3. Dans Fonctions d’atténuation d’exploit, activez systématiquement ASLR et DEP pour tous les processus.

Bloquer les macros et scripts non signés

Utilisez l’Éditeur de stratégie de groupe (gpedit.msc) si vous disposez d’une édition Pro :

  • Configuration ordinateur → Modèles d’administration → Composants Windows → PowerShell : interdisez l’exécution de scripts non signés.
  • Microsoft Office → Sécurité des macros : bloquer toutes les macros sauf si signées numériquement.

Limiter l’usage du presse‑papiers cloud

Les attaques « clipboard hijacking » tirent parti de la synchronisation du presse‑papiers entre vos appareils : désactivez‑la dans Paramètres → Système → Presse‑papiers si vous ne l’utilisez pas.

FAQ – Questions courantes

Dois‑je réinstaller Windows si tout paraît sain ?

Une réinstallation propre élimine toute incertitude, mais elle est coûteuse en temps. Gardez‑la comme option si :

  • un antivirus détecte une charge utile active ;
  • des processus inconnus réapparaissent après redémarrage ;
  • votre CPU, SSD ou réseau reste anormalement sollicité.

Mon VPN ou mon pare‑feu suffisait‑il à me protéger ?

Non. Un stealer chiffrant ses communications sortantes passe souvent outre un VPN ou un pare‑feu configuré par défaut, car il utilise le port 443 comme n’importe quel trafic Web.

La quarantaine ESET contient un fond d’écran marqué PUA. Est‑ce grave ?

Non, ESET considère parfois un fond d’écran téléchargé automatiquement comme un Potentially Unwanted Application. Laissez‑le en quarantaine ; il sera purgé selon la durée configurée.

Checklist finale à imprimer

  • [ ] PC déconnecté d’Internet le temps de l’analyse
  • [ ] Scan Microsoft Defender Offline effectué
  • [ ] Scans complémentaires (Malwarebytes, ESET) effectués
  • [ ] Autoruns inspecté, entrées suspectes supprimées
  • [ ] Mots de passe et 2FA réinitialisés
  • [ ] Sessions actives révoquées (Gmail, réseaux sociaux, services bancaires)
  • [ ] Surveillance des comptes programmée (alertes SMS, emails)
  • [ ] Windows et logiciels mis à jour
  • [ ] Comptes administrateurs réduits au strict minimum
  • [ ] Sauvegarde hors ligne réalisée

Conclusion

Vous avez déjà réalisé l’essentiel : interrompre l’attaque, exécuter des scans hors ligne, changer vos secrets. Si aucune trace ne refait surface après plusieurs jours d’observation et que vos connexions restent sous contrôle, la probabilité d’une infection persistante est faible. Considérez toutefois l’incident comme un signal d’alarme : en renforçant vos habitudes, vous réduirez drastiquement l’efficacité de la prochaine tentative de faux CAPTCHA ou de clipboard hijacking.

Windows Defender
Windows Defender faux captcha lumma stealer win+r sécurité windows
Sommaire