PC infecté par trojan:Win32/skeeyah.A!rfnRésolu/Fermé

Question

Bonjour, 


Mon pc personnel (maison) tourne sous Windows 10.
Il est infecté par un trojan:Win32/skeeyah.A!rfn.
Depuis cette infection hier soir, le "mode avion" est paramétré et je ne parviens pas à le retirer (l'action de désactiver le mode avion n'aboutit pas, le bouton "activer mode avion" revient systématiquement en place dans la seconde.)
Je n'ai donc plus accès à internet depuis mon pc à la maison (j'écris ce message depuis mon pc professionnel au bureau).
Quelqu'un sait-il quelle manipulation opérer pour désactiver le "mode avion" et me débarrasser de ce trojan?

Pierre

AGRO11 · Answer

Bonjour
fais une analyse avec Windows Defender sur ton ordinateur infecté 
Si tu utilise un autre AV windows defender est désactivé voir ici : https://comparatifantivirus.net/comment-dsactiver-ou-activer-windows-defender-titre-dfinitif-dans-windows-10/
télécharge MBAM et AdwCleaner ici : https://toolslib.net/
ensuite fais un Scan avec ZHPDIAG .. voir ce tutoriel de Nicolas Coolman : https://nicolascoolman.eu
enfin télécharge DelFix pour supprimer les outils d'aide : https://toolslib.net/downloads/viewdownload/2-delfix/

Malekal_morte- · Answer

Salut,

Quel fichier est détecté ?
Car ça peut être un fichier isolé.

Pour vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

p75lbr · Answer

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20170911_m6t8c11q14c11

shortcut
https://pjjoint.malekal.com/files.php?id=20170911_o13g9z6d15o15

Addition
https://pjjoint.malekal.com/files.php?id=20170911_o8r12t8y14e7

p75lbr · Answer

Catégorie : Cheval de Troie

Description : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.

Action recommandée : Supprimer immédiatement ce logiciel.

Éléments :
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\langswfo.db
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\System.Data.SQLite.DLL
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\winfo.exe
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\winfo.exe.config
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\x64\SQLite.Interop.dll
file:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\x86\SQLite.Interop.dll
folder:c:\programdata\advancedpccare.com\
folder:c:\programdata\microsoft\windows\start menu\programs\advancedpccare.com\
folder:c:\programdata\start menu\programs\advancedpccare.com\
folder:c:\users\le bars\appdataoaming\advancedpccare.com\
folder:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\
folder:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\x64
folder:c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2\x86
regkey:HKLM\SOFTWARE\asc-pr
shellopencmd:HKLM\SOFTWARE\CLASSES\Unknown\SHELL\OPENAS\COMMAND\

p75lbr · Answer

Voici ce que j'obtiens  : je précise que mon pc n'est toujours pas raccordé à internet, car le mode avion n'est pas désactivable..

======
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-09-2017
Exécuté par Le Bars (12-09-2017 14:35:08) Run:1
Exécuté depuis C:\Users\Le Bars\Desktop
Profils chargés: Le Bars (Profils disponibles: Le Bars)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2
c:\programdata\advancedpccare.com\ 
c:\programdata\start menu\programs\advancedpccare.com\ 
c:\users\le bars\appdataoaming\advancedpccare.com\ 
c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:



Erreur: (0) Impossible de créer un point de restauration.
"c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2" => non trouvé(e).
"c:\programdata\advancedpccare.com" => non trouvé(e).
"c:\programdata\start menu\programs\advancedpccare.com" => non trouvé(e).
"c:\users\le bars\appdataoaming\advancedpccare.com" => non trouvé(e).
"c:\users\le bars\appdataoaming\fileopenerwindows for laptop-52v24vr2" => non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 134141149 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 435390 B
Edge => 918 B
Chrome => 0 B
Firefox => 31200387 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 401342733 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 902936 B
Le Bars => 22721619 B

RecycleBin => 0 B
EmptyTemp: => 563.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.
 Fin de Fixlog 14:35:20

PC infecté par trojan:Win32/skeeyah.A!rfn

5 réponses

Fin de Fixlog 14:35:20

Discussions similaires

Newsletters