Trojan - Win32:RemoteAdmin
nathroy5 Messages postés 23 Statut Membre -
J'ai un souci d'infection avec un trojan. Il est bloqué grâce à Malwarebytes mais il a fait des dégâts que je ne sais pas enlever.De plus je ne sais plus rien imprimer, tout mes documents sont envoyés vers onedrive systématiquement. Quelqu'un peut-il m'aider? J'ai déjà le rapport de scan de zhpdiag mais je ne sais pas comment faire pour le poster. D'avance merci à la personne qui m'aidera. Nat.
21 réponses
- 1
- 2
Une infection par un trojan est signalée: bien que Malwarebytes le bloque, des dégâts subsistent et des dysfonctionnements d’impression et d’enregistrement vers OneDrive apparaissent fréquemment.
Plusieurs réponses incitent à partager les rapports de scan, notamment le fichier zhpdiag et une éventuelle fixlist FRST, puis à lancer une procédure de correction avec FRST et à redémarrer l’ordinateur.
Entre-temps, des ressources externes et des notes sur FRST ont été proposées pour guider la réparation, mais le problème persiste, notamment la fenêtre bloquante et la remise en service de OneDrive.
D'autres échanges proposent de vérifier le démarrage et d'effectuer un second scan, y compris NOD32, et d'analyser si l'infection réapparaît à l'ouverture d'un programme particulier.
-
Salut,
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
-- -
-
Si tu trouves ce fichier C:\Users\Public\System.exe
Envoie le sur http://upload.malekal.com
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC)
Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=amt
C:\Users\Public\System.exe
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
-
Voici le résultat:
S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC)
Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=amt
C:\Users\Public\System.exe
svchost => service supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B}" => clé supprimé(es) avec succès
C:\Users\Public\System.exe => déplacé(es) avec succès -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
fais ceci :
Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
-
-
Merci,
Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
-
Je n'ai pas de rapport à envoyé car le scan n'a rien donné.
Nat. -
Bonsoir,
Vous ne m'avez pas oublié? Mon Trojan est toujours là.
Nat. -
Ca veut dire quoi "le scan n'a rien donné" ?
il est où le rapport de scan ?
-
-
Qu'est ce qui te fait dire que le PC est encore infecté ?
-
je l'ai scanné avec malwarebytes et il m'indique toujours la présence du trojan.
-
- Voici le lien du scan:https://pjjoint.malekal.com/files.php?id=20151222_s6e10r14w14g12
-
-
ok c'est le même :
Backdoor.Agent, C:\Users\Nathalie\AppData\Local\Temp\Install\Svchost.exe, , [ee30a9ffb6d52d0918e1d0866f948e72],
Si c'est vraiment le même chemin, ça veut dire quelque chose le réinstalle.
Tu n'aurais pas cherché à cracker une application ?
McAfee tu l'as acheté ?
-
Dommage,
Désinstalle ConvertX
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2015-12-19 20:14 - 2015-12-19 20:14 - 00001565 _____ C:\Users\Public\Desktop\Free MP4 Video Converter.lnk
2015-12-19 16:37 - 2015-12-20 22:13 - 00000000 ____D C:\Users\Nathalie\Documents\ConvertXToDVD
2015-12-19 16:29 - 2015-12-19 16:30 - 00000000 ____D C:\Users\Nathalie\Documents\PcSetup
2015-12-19 16:29 - 2015-12-19 16:29 - 00001320 _____ C:\Users\Nathalie\Desktop\ConvertXtoDVD 4.lnk
2015-12-19 16:26 - 2015-12-19 16:27 - 00000000 ____D C:\Users\Nathalie\Downloads\ConvertXtoDVD V4.0.3.313 + Serial. [blaze69]
2015-12-18 14:39 - 2015-12-18 14:39 - 00001596 _____ C:\Users\Public\Desktop\Free Video to DVD Converter.lnk
2015-12-18 14:39 - 2015-12-18 14:39 - 00001395 _____ C:\Users\Public\Desktop\Free DVD Video Burner.lnk
2015-12-18 12:44 - 2015-12-20 18:00 - 00000498 _____ C:\WINDOWS\Tasks\ParetoLogic Registration3.job
2015-12-18 12:44 - 2015-12-18 12:44 - 00003310 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Registration3
2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\ParetoLogic
2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\DriverCure
2015-12-18 12:43 - 2015-12-19 21:16 - 00000524 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job
2015-12-18 12:43 - 2015-12-18 12:52 - 00000472 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3.job
2015-12-18 12:43 - 2015-12-18 12:46 - 00000000 ____D C:\ProgramData\ParetoLogic
2015-12-18 12:43 - 2015-12-18 12:43 - 00003438 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3
2015-12-18 12:43 - 2015-12-18 12:43 - 00003128 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3 Startup Task
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Vois s'il continue de revenir.
En faisant plusieurs scans.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left-
voici le rapport avec le lien:https://pjjoint.malekal.com/files.php?id=20151222_r13z7g10q11v13
- Bonsoir,
J'ai scanné à de multiples reprises mon Pc et le résultat est toujours le même, il est malheureusement toujours infecté.
Voici donc deux rapports de scan qui seront je l'espère utiles. https://pjjoint.malekal.com/files.php?id=FRST_20151223_z7p7r13z9l15
https://pjjoint.malekal.com/files.php?id=20151223_r15i7q8f13z10
-
-
Désinstalle Malwarebytes et installe la version Prenium.
Vois si c'est en lançant une application que le system.exe revient.
-
C'est fait. Je n'ai pas besoin de lancer une application pour que le système soit actif, il y a non stop une fenêtre de blocage de Malwarebytes qui apparaît. Onedrive revient aussi non stop dès que je veux enregistrer un doc ou autre. J'ai même eu un souci avec l'impression que je ne savais plus faire car tous mes docs étaient systématiquement envoyés vers OneDrive.
-
Regarde là pour désactiver OneDrive : https://support.microsoft.com/fr-fr/office/d%c3%a9sactiver-ou-d%c3%a9sinstaller-onedrive-f32a17ce-3336-40fe-9c38-6efb09f944b0?ui=fr-fr&rs=fr-fr&ad=fr
-
-
-
Utilise ce programme : https://forum.malekal.com/viewtopic.php?t=52623&start=
Tu coches seulement "Disable Onedrive"
puis clic sur Apply.
-
-
Tu es tjrs dans le coin ?
-
- 1
- 2