Trojan - Win32:RemoteAdmin Fermé

Question

Bonjour, 

J'ai un souci d'infection avec un trojan. Il est bloqué grâce à Malwarebytes mais il a fait des dégâts que je ne sais pas enlever.De plus je ne sais plus rien imprimer, tout mes documents sont envoyés vers onedrive systématiquement. Quelqu'un peut-il m'aider? J'ai déjà le rapport de scan de zhpdiag mais je ne sais pas comment faire pour le poster. D'avance merci à la personne qui m'aidera. Nat.  



Configuration: Windows / Chrome 47.0.2526.106

Malekal_morte- · Answer

Salut,

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--

nathroy5 · Answer

Bonjour,
Voici les liens demandés:

https://pjjoint.malekal.com/files.php?id=20151221_c13m8q12f12u13
https://pjjoint.malekal.com/files.php?id=FRST_20151221_b11z13h14r9b9
https://pjjoint.malekal.com/files.php?id=20151221_x6w12h12s10i9

Malekal_morte- · Answer

Si tu trouves ce fichier C:\Users\Public\System.exe
Envoie le sur http://upload.malekal.com


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


  S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC)  
  Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c  -ptid=amt
  C:\Users\Public\System.exe
  
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

nathroy5 · Answer

Voici le résultat:
S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC) 
Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=amt 
C:\Users\Public\System.exe



svchost => service supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B}" => clé supprimé(es) avec succès
C:\Users\Public\System.exe => déplacé(es) avec succès

Malekal_morte- · Answer

fais ceci :

Ouvre Mon Ordinateur 
puis le disque C 
Ouvre le dossier FRST. 
Dedans se trouve, le dossier Quarantine 
Fais un clic droit dessus puis envoyer vers le dossier compressé. 
Envoie le zip sur http://upload.malekal.com

nathroy5 · Answer

C'est fait.

Malekal_morte- · Answer

Merci,

Fais un scan en ligne NOD32
Enregistre le rapport 
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

nathroy5 · Answer

Je n'ai pas de rapport à envoyé car le scan n'a rien donné.

Nat.

nathroy5 · Answer

Bonsoir,

Vous ne m'avez pas oublié? Mon Trojan est toujours là.

Nat.

Malekal_morte- · Answer

Ca veut dire quoi "le scan n'a rien donné" ?
il est où le rapport de scan ?

nathroy5 · Answer

je n'ai pas eu de rapport à la fin du scan.

Malekal_morte- · Answer

Qu'est ce qui te fait dire que le PC est encore infecté ?

nathroy5 · Answer

je l'ai scanné avec malwarebytes et il m'indique toujours la présence du trojan.

Malekal_morte- · Answer

ok c'est le même :

Backdoor.Agent, C:\Users\Nathalie\AppData\Local\Temp\Install\Svchost.exe, , [ee30a9ffb6d52d0918e1d0866f948e72],  


Si c'est vraiment le même chemin, ça veut dire quelque chose le réinstalle.
Tu n'aurais pas cherché à cracker une application ?

McAfee tu l'as acheté ?

Malekal_morte- · Answer

Dommage,
Désinstalle ConvertX


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


2015-12-19 20:14 - 2015-12-19 20:14 - 00001565 _____ C:\Users\Public\Desktop\Free MP4 Video Converter.lnk
2015-12-19 16:37 - 2015-12-20 22:13 - 00000000 ____D C:\Users\Nathalie\Documents\ConvertXToDVD
2015-12-19 16:29 - 2015-12-19 16:30 - 00000000 ____D C:\Users\Nathalie\Documents\PcSetup
2015-12-19 16:29 - 2015-12-19 16:29 - 00001320 _____ C:\Users\Nathalie\Desktop\ConvertXtoDVD 4.lnk
2015-12-19 16:26 - 2015-12-19 16:27 - 00000000 ____D C:\Users\Nathalie\Downloads\ConvertXtoDVD  V4.0.3.313 + Serial.  [blaze69]
2015-12-18 14:39 - 2015-12-18 14:39 - 00001596 _____ C:\Users\Public\Desktop\Free Video to DVD Converter.lnk
2015-12-18 14:39 - 2015-12-18 14:39 - 00001395 _____ C:\Users\Public\Desktop\Free DVD Video Burner.lnk
2015-12-18 12:44 - 2015-12-20 18:00 - 00000498 _____ C:\WINDOWS\Tasks\ParetoLogic Registration3.job
2015-12-18 12:44 - 2015-12-18 12:44 - 00003310 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Registration3
2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\ParetoLogic
2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\DriverCure
2015-12-18 12:43 - 2015-12-19 21:16 - 00000524 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job
2015-12-18 12:43 - 2015-12-18 12:52 - 00000472 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3.job
2015-12-18 12:43 - 2015-12-18 12:46 - 00000000 ____D C:\ProgramData\ParetoLogic
2015-12-18 12:43 - 2015-12-18 12:43 - 00003438 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3
2015-12-18 12:43 - 2015-12-18 12:43 - 00003128 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3 Startup Task


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur 
 
Vois s'il continue de revenir.
En faisant plusieurs scans.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

Désinstalle Malwarebytes et installe la version Prenium.
Vois si c'est en lançant une application que le system.exe revient.

nathroy5 · Answer

C'est fait. Je n'ai pas besoin de lancer une application pour que le système soit actif, il y a non stop une fenêtre de blocage de Malwarebytes qui apparaît. Onedrive revient aussi non stop dès que je veux enregistrer un doc ou autre. J'ai même eu un souci avec l'impression que je ne savais plus faire car tous mes docs étaient systématiquement envoyés vers OneDrive.

nathroy5 · Answer

Windows me dit qu'il ne trouve pas gpedit.msc.

Malekal_morte- · Answer

Tu es tjrs dans le coin ?

nathroy5 · Answer

Oui accompagnée par mon trojan

nathroy5 · Answer

NOD32 n'a détecté aucunes menaces.

Trojan - Win32:RemoteAdmin

21 réponses

Discussions similaires