Cheval de troie : besoin d'aide pour un analyse de PC [résolu]

[Joe97]

Il y a quelques secondes de ça, j'ai reçu un message de Cheval de Troie et je ne sais pas vraiment si j'ai vraiment quelque chose dans mon PC.

unknown.png

[Malekal_morte]

Salut,

Ton lien image ne fonctionne pas : Pour l'hébergement d'images sur le forum, merci de lire ce message : Règlement hébergement des images sur le forum.

et :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[Joe97]

Je viens de mettre à jour l'image en hébergeant directement sur le fichier à l'aide des fichiers joints.

[Joe97]

Je viens de finir l'analyse aussi avec FRST et voici donc les résultats:

Addition.txt: https://pjjoint.malekal.com/files.php?i ... 9y119x9n14
Shortcut.txt: https://pjjoint.malekal.com/files.php?i ... 7p9j6z14g5
FRST.txt: https://pjjoint.malekal.com/files.php?i ... s12p13u6n5

[Malekal_morte]

ok effectivement infecté par ce cheval de troie Trojan:Win32/Occamy.C.

Code : Tout sélectionner

Date: 2020-02-11 16:19:38.818
Description: 
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:Win32/Occamy.C
ID : 2147726780
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\59069\AppData\Roaming\amd64_microsoft-windows-i..l-keyboard-00040409_31bf3856ad364e35_10.0.18362.1_none_49a4dddaa96cc186\msstdfmt.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : LAPTOP-08GCO56D\59069
Nom du processus : C:\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe
Version de la veille de sécurité : AV: 1.309.764.0, AS: 1.309.764.0, NIS: 1.309.764.0
Version du moteur : AM: 1.1.16700.3, NIS: 1.1.16700.3

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2020-02-11 16:20 - 2020-02-11 16:20 - 004271428 _____ C:\Users\59069\AppData\Local\dc7nznsw26r6.zip
2020-02-11 16:16 - 2020-02-11 16:19 - 000000000 __SHD C:\Users\59069\AppData\Roaming\amd64_microsoft-windows-i..l-keyboard-00040409_31bf3856ad364e35_10.0.18362.1_none_49a4dddaa96cc186
2020-02-11 16:16 - 2020-02-11 16:19 - 000000000 ____D C:\WINDOWS\system32\Tasks\X-5-9-15-1248538021-1075247161-1078653760-3718
2020-02-11 16:16 - 2020-02-11 16:16 - 000000000 ____D C:\Users\59069\AppData\Roaming\Z16364016
2020-02-11 16:16 - 2020-02-11 16:16 - 000000000 ____D C:\Users\59069\AppData\Local\uqsb15m40fpx
2019-12-29 00:05 - 2019-12-29 00:05 - 000000000 _____ () C:\Users\59069\AppData\Local\{D0BF8391-A191-4ACB-A37B-4D8A4C9BA606}
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

[Joe97]

J'ai éffectué tout ce que vous m'avez dit de faire et maintenant? Que devrais-je faire pour être sûr que le cheval de troie n'est plus sur mon PC?

[Joe97]

Je viens de remarquer que l'utilisation de mon disque dur est à 100% constamment, je ne sais pas si c'est à cause de Malwarebytes mais si ce n'est le cas, si vous pouvez m'aider, je ne refuserais pas.

[Malekal_morte]

Par quel processus ?
Cela donne quoi dans Le moniteur de ressources systèmes
Partie disque, trie sur le total de disque.

[Joe97]

Finalement, je pense que c'est normal parce que tout ce que je vois dans l'activité du disque c'est le service de Malwarebytes.

unknown.png

Mais sinon, comment je peux être sûr que le cheval de troie n'est plus sur mon ordinateur?

[Malekal_morte]

A voir si un scan est en cours.

[Joe97]

Soudainement, le scan vient de se terminer et l'utilisation est descendu à 4/10%, je ne sais pas vraiment si c'était ça la cause de l'utilisation à 100% mais si c'est juste ça, je pense que ce n'est pas si grave.

[Malekal_morte]

Pour scanner, il faut accéder aux fichiers etc
donc normal que ça donne des accès disques.

[Joe97]

Je pense que tout est bon finalement, je vous remercie pour votre aide!

[Malekal_morte]

Parfait,

Change tes mots de passe par sécurité,

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :