Trojan impossible à supprimer! [Résolu/Fermé]

Signaler
Messages postés
3
Date d'inscription
mardi 4 janvier 2011
Statut
Membre
Dernière intervention
21 février 2018
-
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjours tous le monde,

Je suis infectée depuis plusieurs jours par différents trojans. J'ai beau tout essayer, je n'arrive pas à les supprimer. Mon antivirus windows defender les detectent mais ne réussi pas à les supprimer. J'ai un accès refusé sur les dossiers et fichiers infectés.
J'ai essayé avec unlocker, en ligne de commande, les antimalware connus, antivirus, en mode sans echec et en passant par une partition linux.

Je fais appel à votre aide pour trouver une solution. Mon pc rame tellement

Voici les 3 fichiers issus de l'analyse FIRST
https://pjjoint.malekal.com/files.php?id=20180221_l15l11d14z5b11
https://pjjoint.malekal.com/files.php?id=FRST_20180221_m10v11o15x9i9
https://pjjoint.malekal.com/files.php?id=20180221_r12e6o14p6u14

et l'analyse ZHPDiag
https://pjjoint.malekal.com/files.php?id=20180221_g7s13v11y13d10

merci d'avance

2 réponses

Messages postés
44
Date d'inscription
jeudi 5 octobre 2017
Statut
Membre
Dernière intervention
25 octobre 2018
10
Bonjour,
les trojans sont très difficile à supprimer.
Essaye de trouver les fichiers infectés et de changer leurs extensions (du style (nom du fichier infecté).DSJFG92 mais pas avec les dossiers système)
Tu peut aussi aller dans le gestionnaire des tâches et nous faire un screen de tous les programmes lancé)
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 014
Salut,

ouaip Windows Defender le détecte en Trojan:Win32/Detrahere.B!dr :

Date: 2018-02-20 13:57:34.556
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aWin32%2fDetrahere.B!dr&threatid=2147725568&enterprise=0
Nom : Trojan:Win32/Detrahere.B!dr
ID : 2147725568
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Ingrid\AppData\Local\wmhopvk\mbciaxz.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Windows\System32\ramhvzpsvc.exe
Version de la signature : AV: 1.261.1369.0, AS: 1.261.1369.0, NIS: 118.2.0.0
Version du moteur : AM: 1.1.14500.5, NIS: 2.1.14202.0





Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
C:\WINDOWS\system32\drivers\zaiehlor.sys -> Accès refusé <======= ATTENTION
2018-02-20 15:00 - 2018-02-20 15:00 - 000000808 _____ C:\WinChk.txt
2018-02-20 14:59 - 2018-02-20 14:59 - 000468480 _____ () C:\Users\Ingrid\Downloads\CKScanner (3).exe
2018-02-20 14:58 - 2018-02-20 14:58 - 000468480 _____ () C:\Users\Ingrid\Downloads\CKScanner (2).exe
2018-02-20 14:58 - 2018-02-20 14:58 - 000468480 _____ () C:\Users\Ingrid\Downloads\CKScanner (1).exe
2018-02-20 14:56 - 2018-02-20 14:56 - 000315000 _____ C:\Users\Ingrid\Downloads\winchk_2.0.exe
2018-02-20 14:55 - 2018-02-20 14:55 - 000468480 _____ () C:\Users\Ingrid\Downloads\CKScanner.exe
2018-02-20 13:57 - 2018-02-20 15:46 - 000000000 ____D C:\Users\Ingrid\AppData\Local\remncwu
2018-02-20 13:57 - 2018-02-20 13:57 - 000000000 ____D C:\Users\Ingrid\AppData\Local\wmhopvk
2018-02-20 13:55 - 2018-02-20 13:55 - 000000000 ____D C:\WINDOWS\system32\Drivers\wd
2018-02-20 06:30 - 2018-02-20 06:30 - 000142672 ____N C:\WINDOWS\system32\Drivers\zaiehlor.sys
2018-02-17 00:26 - 2018-02-17 19:21 - 000260389 _____ C:\Users\Ingrid\Desktop\ZHPDiag.html
2018-02-16 23:33 - 2018-02-16 23:33 - 000001304 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk
2018-02-16 23:33 - 2018-02-16 23:33 - 000001292 _____ C:\Users\Public\Desktop\Adobe Creative Cloud.lnk
2018-02-16 23:14 - 2018-02-16 23:14 - 003009408 _____ C:\Users\Ingrid\ZHPDiag3.exe
2016-09-05 22:52 - 2017-10-09 15:02 - 002950528 _____ () C:\Users\Ingrid\ZHPCleaner.exe
2018-02-16 23:14 - 2018-02-16 23:14 - 003009408 _____ () C:\Users\Ingrid\ZHPDiag3.exe
2014-04-01 13:46 - 2014-04-01 13:46 - 000495616 _____ (Simon Tatham) C:\Program Files (x86)\putty.exe
2018-02-11 18:30 - 2018-02-16 22:14 - 000000033 _____ () C:\Users\Ingrid\AppData\Roaming\AdobeWLCMCache.dat
2018-02-13 23:45 - 2018-02-16 22:31 - 000000028 _____ () C:\Users\Ingrid\AppData\Roaming\kulerdata.json
2016-09-01 18:57 - 2018-02-09 19:40 - 000000132 _____ () C:\Users\Ingrid\AppData\Roaming\Préfs Format PNG Adobe CS6
2014-05-20 10:36 - 2016-01-22 12:33 - 000000600 _____ () C:\Users\Ingrid\AppData\Roaming\PUTTY.RND
2014-03-27 11:29 - 2014-03-27 11:29 - 000000044 _____ () C:\Users\Ingrid\AppData\Roaming\WB.CFG
2016-08-31 09:12 - 2016-08-31 09:12 - 000127639 _____ () C:\Users\Ingrid\AppData\Local\89585681.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

3°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.



qu'est ce que je peux faire?
voici mon nouveau fichier FRST j'ai l'impression que le fichier sys à changé de nom
https://www.cjoint.com/c/HBvxFdzUTNi

Merci d'avance pour votre aide
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 014 > Gridouu
La correction n'a pas été faite.
et en plus tu es censé fournir un rapport de nettoyage Malwarebytes.
et les rapport sont à fournir sur pjjoint
et il manque addition.txt
Merci pour votre aide.
J'ai réussi à supprimer les trojan en passant par une partition linux.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 014 > Gruidouu
soit.