Supprimer un trojan [résolu]

[Jakles]

Bonsoir à tous,

Mon windows defender s'affole depuis une heure suite à l'apparition d'un trojan, que j'ignore sincèrement comment j'ai pu contracter, étant généralement assez prudent.



Il s'agit donc d'un certain Trojan:Win32/CommandRob.A!ml

Après avoir cherché comment m'en débarasser, je suis tombé sur un sujet parlant d'une analyse FRST que j'ai donc effectuée afin de pouvoir me faire aider efficacement.

Lien pour le FRST : https://pjjoint.malekal.com/files.php?i ... f6n14n13w9
Lien pour le document Addition : https://pjjoint.malekal.com/files.php?i ... r10m1410w8
Lien pour le Shortcut : https://pjjoint.malekal.com/files.php?i ... 11p11s6c14

Quelles sont les étapes nécessaires à la suppression totale de ce trojan svp?

Je vous souhaite une excellente soirée,

[angelique]

Bonjour/Bonsoir/Salam/Shalom


Il y'a effectivement une tâche planifiée qui veut refourguer un trojan que Ѡindows defender bloque donc s'affole.

Code : Tout sélectionner

Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Commandrob.A!ml&threatid=2147849223&enterprise=0
Nom : Trojan:Win32/Commandrob.A!ml
ID : 2147849223
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : CmdLine:_C:\Windows\System32\schtasks.exe /create /tn Client Startup /sc ONLOGON /tr C:\Users\Jakle\AppData\Roaming\Intel\svshost.exe /rl HIGHEST /f

Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire, ne touche à rien et accepte le redémarrage

Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Jakles]

Merci déjà pour ta réponse.

Le redémarrage a en effet eu lieu, et voici le contenu du fichier Fixlog.txt comme demandé :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-08.2024
Exécuté par Jakle (08-08-2024 21:10:22) Run:1
Exécuté depuis C:\Users\Jakle\OneDrive\Bureau
Profils chargés: Jakle
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-627872372-2490528885-2190555754-1001\...\Run: [LdSpace] => "C:\LDPlayer\LDSpace\ldspace.exe" autorun (Pas de fichier)
HKU\S-1-5-21-627872372-2490528885-2190555754-1001\...\Run: [] => [X]
HKU\S-1-5-21-627872372-2490528885-2190555754-1001\...\Run: [Web Companion] => C:\Users\Jakle\AppData\Roaming\Lavasoft\Web Companion\Application\WebCompanion.exe [3429528 2024-08-08] (7270356 Canada Inc. -> Lavasoft) <==== ATTENTION
Task: {C7FDF8A4-FDE4-4194-9F20-9912031B9AD3} - System32\Tasks\Client Startup => C:\Users\Jakle\AppData\Roaming\Intel\svshost.exe [2916352 2023-02-11] (Microsoft Corporation) [Fichier non signé]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-08-08 18:08 - 2024-08-08 18:08 - 000000000 ____D C:\Users\Jakle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft
2024-08-08 18:07 - 2024-08-08 18:08 - 000000000 ____D C:\Users\Jakle\AppData\Local\Lavasoft
2024-08-08 18:07 - 2024-08-08 18:07 - 000000000 ____D C:\Users\Jakle\AppData\Roaming\Lavasoft
2024-08-08 18:07 - 2024-08-08 18:07 - 000000000 ____D C:\ProgramData\Lavasoft
024-08-08 17:43 - 2024-08-08 17:43 - 000003364 _____ C:\Users\Jakle\OneDrive\Bureau\example.reg
2024-08-08 17:41 - 2024-08-08 17:43 - 000003364 _____ C:\Users\Jakle\OneDrive\Bureau\DefenderFix.reg.txt
2024-08-08 17:11 - 2024-08-08 17:11 - 000000000 ____D C:\Users\Jakle\OneDrive\Documents\TotalAV
2024-08-08 17:11 - 2023-10-31 17:01 - 000096264 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\webshieldfilter.sys
2024-08-08 17:10 - 2024-08-08 18:00 - 000001146 _____ C:\Users\Jakle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TotalAV.lnk
2024-08-08 17:10 - 2024-08-08 17:10 - 000000000 ____D C:\ProgramData\SecuritySuite
2024-08-08 17:09 - 2024-08-08 18:00 - 000000000 ____D C:\Program Files (x86)\TotalAV
2024-08-08 17:09 - 2024-08-08 17:09 - 000000000 ____D C:\Users\Jakle\AppData\Local\GUI
2024-08-08 17:09 - 2024-08-08 17:09 - 000000000 ____D C:\ProgramData\TotalAV
C:\Users\Jakle\AppData\Roaming\Intel\svshost.exe
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-627872372-2490528885-2190555754-1001\Software\Microsoft\Windows\CurrentVersion\Run\\LdSpace" => supprimé(es) avec succès
"HKU\S-1-5-21-627872372-2490528885-2190555754-1001\Software\Microsoft\Windows\CurrentVersion\Run\\" => supprimé(es) avec succès
"HKU\S-1-5-21-627872372-2490528885-2190555754-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C7FDF8A4-FDE4-4194-9F20-9912031B9AD3}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C7FDF8A4-FDE4-4194-9F20-9912031B9AD3}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Client Startup => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Client Startup" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\WinSetupMon => supprimé(es) avec succès
WinSetupMon => service supprimé(es) avec succès

"C:\Users\Jakle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft" Dossier déplacer:

C:\Users\Jakle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft => déplacé(es) avec succès

"C:\Users\Jakle\AppData\Local\Lavasoft" Dossier déplacer:

C:\Users\Jakle\AppData\Local\Lavasoft => déplacé(es) avec succès

"C:\Users\Jakle\AppData\Roaming\Lavasoft" Dossier déplacer:

Impossible de déplacer "C:\Users\Jakle\AppData\Roaming\Lavasoft" => Planifié pour déplacement au redémarrage.


"C:\ProgramData\Lavasoft" Dossier déplacer:

C:\ProgramData\Lavasoft => déplacé(es) avec succès
024-08-08 17:43 - 2024-08-08 17:43 - 000003364 _____ C:\Users\Jakle\OneDrive\Bureau\example.reg => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\Users\Jakle\OneDrive\Bureau\DefenderFix.reg.txt => déplacé(es) avec succès

"C:\Users\Jakle\OneDrive\Documents\TotalAV" Dossier déplacer:

C:\Users\Jakle\OneDrive\Documents\TotalAV => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\webshieldfilter.sys => déplacé(es) avec succès
C:\Users\Jakle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TotalAV.lnk => déplacé(es) avec succès

"C:\ProgramData\SecuritySuite" Dossier déplacer:

C:\ProgramData\SecuritySuite => déplacé(es) avec succès

"C:\Program Files (x86)\TotalAV" Dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\TotalAV" => Planifié pour déplacement au redémarrage.


"C:\Users\Jakle\AppData\Local\GUI" Dossier déplacer:

C:\Users\Jakle\AppData\Local\GUI => déplacé(es) avec succès

"C:\ProgramData\TotalAV" Dossier déplacer:

Impossible de déplacer "C:\ProgramData\TotalAV" => Planifié pour déplacement au redémarrage.

C:\Users\Jakle\AppData\Roaming\Intel\svshost.exe => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 30896366 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 1325957212 B
Windows/system/drivers => 464268221 B
Edge => 0 B
Chrome => 329227385 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 520293511 B
systemprofile32 => 520485728 B
LocalService => 520507818 B
NetworkService => 521305654 B
Jakle => 788435322 B

RecycleBin => 258515 B
EmptyTemp: => 4.7 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 08-08-2024 21:12:47)

C:\Users\Jakle\AppData\Roaming\Lavasoft => a été déplacé(e) avec succès
C:\Program Files (x86)\TotalAV => a été déplacé(e) avec succès
C:\ProgramData\TotalAV => a été déplacé(e) avec succès

==== Fin de Fixlog 21:12:47 ====

Encore merci, je reste attentif

[Malekal_morte]

Faire un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite

Puis refais un scan FRST et donne les nouveaux rapports via pjjoint

[Jakles]

Voici les fichiers, après nettoyage :

FRST : https://pjjoint.malekal.com/files.php?i ... n11t5n5r14
Addition : https://pjjoint.malekal.com/files.php?i ... 10f7g12g10
Shortcut : https://pjjoint.malekal.com/files.php?i ... c15j12h5i9

Merci encore.

[Malekal_morte]

Attention à ce que tu installes.

TotalAV n'est pas fiable - à lire : https://www.malekal.com/antivirus-total ... sentation/
Désinstalle WebAdvisor par McAfee ( sert à rien).
Vu que tu as aussi installé Opera - a lire : https://www.malekal.com/installcore-pup/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
S1 webshieldfilter; system32\drivers\webshieldfilter.sys [X] <==== ATTENTION
S2 SecurityService; "C:\Program Files (x86)\TotalAV\SecurityService.exe" [X] <==== ATTENTION
2024-08-08 21:17 - 2023-12-12 22:03 - 000000000 ___HD C:\Users\Jakle\Downloads\.opera
2024-08-08 21:17 - 2023-12-12 22:03 - 000000000 ___HD C:\Users\Jakle\.opera
Task: {9091ED41-8370-4204-BFEB-09536FFEE2B1} - System32\Tasks\Opera scheduled assistant Autoupdate 1702410460 => C:\Users\Jakle\AppData\Local\Programs\Opera\launcher.exe [2353056 2023-12-05] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Jakle\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {70385D7F-12FC-4744-9D68-ED2F6446CDB1} - System32\Tasks\Opera scheduled Autoupdate 1702410460 => C:\Users\Jakle\AppData\Local\Programs\Opera\launcher.exe [2353056 2023-12-05] (Opera Norway AS -> Opera Software)
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.

[Jakles]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-08.2024
Exécuté par Jakle (08-08-2024 23:14:04) Run:3
Exécuté depuis C:\Users\Jakle\OneDrive\Bureau
Profils chargés: Jakle
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
S1 webshieldfilter; system32\drivers\webshieldfilter.sys [X] <==== ATTENTION
S2 SecurityService; "C:\Program Files (x86)\TotalAV\SecurityService.exe" [X] <==== ATTENTION
2024-08-08 21:17 - 2023-12-12 22:03 - 000000000 ___HD C:\Users\Jakle\Downloads\.opera
2024-08-08 21:17 - 2023-12-12 22:03 - 000000000 ___HD C:\Users\Jakle\.opera
Task: {9091ED41-8370-4204-BFEB-09536FFEE2B1} - System32\Tasks\Opera scheduled assistant Autoupdate 1702410460 => C:\Users\Jakle\AppData\Local\Programs\Opera\launcher.exe [2353056 2023-12-05] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Jakle\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {70385D7F-12FC-4744-9D68-ED2F6446CDB1} - System32\Tasks\Opera scheduled Autoupdate 1702410460 => C:\Users\Jakle\AppData\Local\Programs\Opera\launcher.exe [2353056 2023-12-05] (Opera Norway AS -> Opera Software)
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
HKLM\System\CurrentControlSet\Services\webshieldfilter => supprimé(es) avec succès
webshieldfilter => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\SecurityService => supprimé(es) avec succès
SecurityService => service supprimé(es) avec succès

"C:\Users\Jakle\Downloads\.opera" Dossier déplacer:

C:\Users\Jakle\Downloads\.opera => déplacé(es) avec succès

"C:\Users\Jakle\.opera" Dossier déplacer:

C:\Users\Jakle\.opera => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9091ED41-8370-4204-BFEB-09536FFEE2B1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9091ED41-8370-4204-BFEB-09536FFEE2B1}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Opera scheduled assistant Autoupdate 1702410460 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled assistant Autoupdate 1702410460" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{70385D7F-12FC-4744-9D68-ED2F6446CDB1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70385D7F-12FC-4744-9D68-ED2F6446CDB1}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1702410460 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1702410460" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-627872372-2490528885-2190555754-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-627872372-2490528885-2190555754-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8665128 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 21507262 B
Windows/system/drivers => 214512 B
Edge => 0 B
Chrome => 287197272 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 604 B
LocalService => 5290 B
NetworkService => 6468 B
Jakle => 954614 B

RecycleBin => 742789 B
EmptyTemp: => 304.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:14:16 ====

Voilà le fixlog

[Malekal_morte]

Je pense qu'on est bien =)


Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com