Trojan - Win32:RemoteAdmin

nathroy5 Messages postés 23 Statut Membre -  
nathroy5 Messages postés 23 Statut Membre -
Bonjour,

J'ai un souci d'infection avec un trojan. Il est bloqué grâce à Malwarebytes mais il a fait des dégâts que je ne sais pas enlever.De plus je ne sais plus rien imprimer, tout mes documents sont envoyés vers onedrive systématiquement. Quelqu'un peut-il m'aider? J'ai déjà le rapport de scan de zhpdiag mais je ne sais pas comment faire pour le poster. D'avance merci à la personne qui m'aidera. Nat.

21 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par un trojan est signalée: bien que Malwarebytes le bloque, des dégâts subsistent et des dysfonctionnements d’impression et d’enregistrement vers OneDrive apparaissent fréquemment.
Plusieurs réponses incitent à partager les rapports de scan, notamment le fichier zhpdiag et une éventuelle fixlist FRST, puis à lancer une procédure de correction avec FRST et à redémarrer l’ordinateur.
Entre-temps, des ressources externes et des notes sur FRST ont été proposées pour guider la réparation, mais le problème persiste, notamment la fenêtre bloquante et la remise en service de OneDrive.
D'autres échanges proposent de vérifier le démarrage et d'effectuer un second scan, y compris NOD32, et d'analyser si l'infection réapparaît à l'ouverture d'un programme particulier.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    --
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Si tu trouves ce fichier C:\Users\Public\System.exe
    Envoie le sur http://upload.malekal.com

    Voici la correction à  effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC)
    Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=amt
    C:\Users\Public\System.exe

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    0
  3. nathroy5 Messages postés 23 Statut Membre
     
    Voici le résultat:
    S2 svchost; C:\Users\Public\System.exe [769528 2015-03-16] (Ammyy LLC)
    Task: {F44B6994-0C11-4B16-996B-E62351D92832} - System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => pcalua.exe -a C:\Users\Nathalie\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=amt
    C:\Users\Public\System.exe

    svchost => service supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F44B6994-0C11-4B16-996B-E62351D92832}" => clé supprimé(es) avec succès
    C:\WINDOWS\System32\Tasks\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B} => déplacé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5142AF1F-F63F-4ADA-B9AC-CAA33D577D5B}" => clé supprimé(es) avec succès
    C:\Users\Public\System.exe => déplacé(es) avec succès
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    fais ceci :

    Ouvre Mon Ordinateur
    puis le disque C
    Ouvre le dossier FRST.
    Dedans se trouve, le dossier Quarantine
    Fais un clic droit dessus puis envoyer vers le dossier compressé.
    Envoie le zip sur http://upload.malekal.com

    0
  6. nathroy5 Messages postés 23 Statut Membre
     
    C'est fait.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Merci,

    Fais un scan en ligne NOD32
    Enregistre le rapport
    Envoie le sur http://pjjoint.malekal.com
    Donne le lien ici.

    0
  8. nathroy5 Messages postés 23 Statut Membre
     
    Je n'ai pas de rapport à envoyé car le scan n'a rien donné.

    Nat.
    0
  9. nathroy5 Messages postés 23 Statut Membre
     
    Bonsoir,

    Vous ne m'avez pas oublié? Mon Trojan est toujours là.

    Nat.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca veut dire quoi "le scan n'a rien donné" ?
    il est où le rapport de scan ?
    0
  11. nathroy5 Messages postés 23 Statut Membre
     
    je n'ai pas eu de rapport à la fin du scan.
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Qu'est ce qui te fait dire que le PC est encore infecté ?
    0
  13. nathroy5 Messages postés 23 Statut Membre
     
    je l'ai scanné avec malwarebytes et il m'indique toujours la présence du trojan.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Donne le rapport de scan.
      0
      1. nathroy5 Messages postés 23 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Il faut que je refasse un scan, j'ai pas enregistré le rapport.
        0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok c'est le même :

    Backdoor.Agent, C:\Users\Nathalie\AppData\Local\Temp\Install\Svchost.exe, , [ee30a9ffb6d52d0918e1d0866f948e72],

    Si c'est vraiment le même chemin, ça veut dire quelque chose le réinstalle.
    Tu n'aurais pas cherché à cracker une application ?

    McAfee tu l'as acheté ?

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      vu les dates, c'est lui ou Paretelogic qui le refout :

      2015-12-19 16:26 - 2015-12-19 16:27 - 00000000 ____D C:\Users\Nathalie\Downloads\ConvertXtoDVD V4.0.3.313 + Serial. [blaze69]
      0
      1. nathroy5 Messages postés 23 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        c'est convertxtodvd
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > nathroy5 Messages postés 23 Statut Membre
         
        Tu n'as pas répondu pour McAfee, tu l'as acheté ou c'est la version d'essai ?
        0
      3. nathroy5 Messages postés 23 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Pardon oui McAfee je l'ai acheté.
        0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Dommage,
    Désinstalle ConvertX

    Voici la correction à  effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    2015-12-19 20:14 - 2015-12-19 20:14 - 00001565 _____ C:\Users\Public\Desktop\Free MP4 Video Converter.lnk
    2015-12-19 16:37 - 2015-12-20 22:13 - 00000000 ____D C:\Users\Nathalie\Documents\ConvertXToDVD
    2015-12-19 16:29 - 2015-12-19 16:30 - 00000000 ____D C:\Users\Nathalie\Documents\PcSetup
    2015-12-19 16:29 - 2015-12-19 16:29 - 00001320 _____ C:\Users\Nathalie\Desktop\ConvertXtoDVD 4.lnk
    2015-12-19 16:26 - 2015-12-19 16:27 - 00000000 ____D C:\Users\Nathalie\Downloads\ConvertXtoDVD V4.0.3.313 + Serial. [blaze69]
    2015-12-18 14:39 - 2015-12-18 14:39 - 00001596 _____ C:\Users\Public\Desktop\Free Video to DVD Converter.lnk
    2015-12-18 14:39 - 2015-12-18 14:39 - 00001395 _____ C:\Users\Public\Desktop\Free DVD Video Burner.lnk
    2015-12-18 12:44 - 2015-12-20 18:00 - 00000498 _____ C:\WINDOWS\Tasks\ParetoLogic Registration3.job
    2015-12-18 12:44 - 2015-12-18 12:44 - 00003310 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Registration3
    2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\ParetoLogic
    2015-12-18 12:44 - 2015-12-18 12:44 - 00000000 ____D C:\Users\Nathalie\AppData\Roaming\DriverCure
    2015-12-18 12:43 - 2015-12-19 21:16 - 00000524 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job
    2015-12-18 12:43 - 2015-12-18 12:52 - 00000472 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3.job
    2015-12-18 12:43 - 2015-12-18 12:46 - 00000000 ____D C:\ProgramData\ParetoLogic
    2015-12-18 12:43 - 2015-12-18 12:43 - 00003438 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3
    2015-12-18 12:43 - 2015-12-18 12:43 - 00003128 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3 Startup Task

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Vois s'il continue de revenir.
    En faisant plusieurs scans.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. nathroy5 Messages postés 23 Statut Membre
       
      0
      1. nathroy5 Messages postés 23 Statut Membre > nathroy5 Messages postés 23 Statut Membre
         
        J'ai encore scanné mon ordi ce matin et la clé de registre du trojan est toujours là. Nat.
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > nathroy5 Messages postés 23 Statut Membre
         
        rescanne dans l'aprem voir si ça revient.
        Essaye de déterminer, si c'est en lançant un programme en particulier.
        0
      3. nathroy5 Messages postés 23 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Ok je vais faire comme ça et je te tiens au courant.Mais c'est dès que j'ouvre mon pc qu'il intervient, je le remarque à ma souris qui ne répond pas comme d'haitude. Ah oui et j'ai aussi onedrive qui s'ouvre tout le temps. Nat.
        0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désinstalle Malwarebytes et installe la version Prenium.
    Vois si c'est en lançant une application que le system.exe revient.
    0
  17. nathroy5 Messages postés 23 Statut Membre
     
    C'est fait. Je n'ai pas besoin de lancer une application pour que le système soit actif, il y a non stop une fenêtre de blocage de Malwarebytes qui apparaît. Onedrive revient aussi non stop dès que je veux enregistrer un doc ou autre. J'ai même eu un souci avec l'impression que je ne savais plus faire car tous mes docs étaient systématiquement envoyés vers OneDrive.
    0
  18. nathroy5 Messages postés 23 Statut Membre
     
    Windows me dit qu'il ne trouve pas gpedit.msc.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Utilise ce programme : https://forum.malekal.com/viewtopic.php?t=52623&start=
      Tu coches seulement "Disable Onedrive"
      puis clic sur Apply.
      0
      1. nathroy5 Messages postés 23 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Rien de changé, mon Trojan est toujours là.
        0
  19. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu es tjrs dans le coin ?
    0
  20. nathroy5 Messages postés 23 Statut Membre
     
    Oui accompagnée par mon trojan
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Refais un scan NOD32 voir s'il est maintenant capable de détecter quelque chose.
      Donne le rapport si c'est le cas.
      0
  • 1
  • 2