Menu

Comment supprimer Trojan.Elpman ?

Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
- - Dernière réponse : Malekal_morte-
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
- 26 oct. 2018 à 15:41
Bonjour,

J'ai reçu hier sur ma boite yahoo un mail en (mauvais) anglais d'un hacker me disant qu'il a installé un cheval de troie sur mon PC.

Je viens d'exécuter ZHPDiag suite à la lecture d'un forum et voici le rapport qui signale effectivement la présence de trojan.elpman :
file:///C:/Users/Ondine/AppData/Roaming/ZHP/ZHPDiag.html

Il semble maintenant que je doive exécuter ZHPFix pour le supprimer mais je ne vois pas comment on l'utilise.
Pouvez-vous m'aider ?

Merci.

Ondine.
Afficher la suite 

9 réponses

Messages postés
2986
Date d'inscription
samedi 13 juillet 2013
Statut
Membre
Dernière intervention
11 janvier 2019
308
0
Merci
Bonjour,

Même si c'est probablement juste une arnaque (mail qui a pour but de vous faire peur pour vous faire payer alors qu'il n'y a rien...), attendez qu'un contributeur sécurité vous conseille, car ZHP est devenu moins efficace que d'autres outils (ils vont surement vous faire exécuter FRST). De plus, vous avez mal intégré votre fichier joint. Vous pouvez par exemple utiliser les services de Cjoint : https://www.cjoint.com/

Bonne journée !
Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
-
Merci beaucoup pour votre retour. J'attends qu'un contributeur me conseille. Merci.
Commenter la réponse de Husman60
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374
Commenter la réponse de Malekal_morte-
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
0
Merci
Merci. Oui je tâche de ne pas m'inquiéter pour le mail. Par contre j'ai effectivement bien un cheval de troie sur mon PC après analyse. Je vais tâcher de le supprimer. Merci.
Commenter la réponse de Ondine3
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374
0
Merci
Si tu as besoin d'aide :


Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
-
Commenter la réponse de Malekal_morte-
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374
0
Merci
Pas l'air infecté.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

ASUS GIFTBOX
CyberGhost (sauf si tu utilises)
WinRAR
WinZip


Préférer 7-zip à la place des deux derniers.

Pour supprimer cacaoweb, si tu n'utilises pas / sait pas comment il est arrivé.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4140603479-4252688285-3573058001-1001\...\Run: [cacaoweb] => C:\Users\Ondine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2018-04-11] ()
C:\Users\Ondine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


2)
Procède à un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Commenter la réponse de Malekal_morte-
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
0
Merci
Merci je vais effectuer tout cela. J'ai au préalable fait tourner ZHPDiag et il a trouvé Trojan.Elpman.
Du coup je pense qu'il doit être infecté.
Merci beaucoup pour votre aide, je vais suivre tous vos conseils.
Commenter la réponse de Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
0
Merci
Concernant Cyberghost je l'ai acheté pour 3 ans car je voulais gagner en anonymat sur Internet (notamment vis à vis de l'achat de billets d'avion qui augmentent lorsqu'on retourne sur le site consulté). Je souhaiterais donc le conserver mais vous pensez que celui ci peut m'attirer des logiciels malveillants ?
Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
-
Voici le fichier Fixlog généré après execution du script :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24.10.2018
Exécuté par Ondine (26-10-2018 11:31:24) Run:1
Exécuté depuis C:\Users\Ondine\Desktop
Profils chargés: Ondine (Profils disponibles: Ondine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Fin de Fixlog 11:31:24

Malekal_morte-
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374 > Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
-
Garde Cyberghost, pas des soucis.
Non c'est juste un peu inutile.


Pas bon la correction est vide.

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.
Commenter la réponse de Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
0
Merci
Voici le lien après avoir exécuté FRST. Par contre, j'ai du gardé le nom du .txt donné par défaut par FRST, si je renommais en fixlist.txt, ça me redonnait un fichier Fixlog vide.

https://www.cjoint.com/c/HJAnebKPvxT

Merci d'avance pour votre aide.
Malekal_morte-
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374 -
Ouaip c'est bon =)
Passe au 3)
Commenter la réponse de Ondine3
Messages postés
9
Date d'inscription
vendredi 26 octobre 2018
Statut
Membre
Dernière intervention
26 octobre 2018
0
Merci
Super ! Euh, passe au 3) .. c'est quoi le point 3 ..?!
Malekal_morte-
Messages postés
167974
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 juillet 2019
16374 -
ha oui le 2 en fait =)

2)
Procède à un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Commenter la réponse de Ondine3