Problème "trojan", aide svp
Résolu
nicolenicole
Messages postés
7
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je possède l'anti virus Avast (mise à jour très régulière) et j'ai des alertes depuis tout à l'heure concernant un virus "trojan". Plus d'une dizaine de fenêtres AVAST s'ouvraient avec l'alerte en disant que le truc était bloqué. . J'ai vu où était placé le fichier infecté dans le lecteur C. Seulement on me dit que je n'ai pas l'autorisation quand je veux le supprimer. Je ne suis pas administrateur de l'ordinateur, est-ce pour ça?
Le fichier s'appelle Pfysaa et appartiendrait à la société de "Statham" le fameux programmeur.
Et sur la barre d'état windows, quand je clique sur "programmes de démarrage bloqués", le nom du prograame bloqué est le suivant : KfSystemR setup g1.
Je suis en train de faire un scan minutieux (il en est à 6%).
Je n'ai plus de fenêtres d'alertes Avast à s'ouvrir.
Dans mon logiciel Avast, lorsque je clique sur l'onglet "protection résidente", il n'y a que dans "agent réseau" que des connexions sont bloquées (136 sur 7700 pour l'instant).
Pourriez-vous m'aider svp? Je n'y connais rien. Merci d'avance.
Je possède l'anti virus Avast (mise à jour très régulière) et j'ai des alertes depuis tout à l'heure concernant un virus "trojan". Plus d'une dizaine de fenêtres AVAST s'ouvraient avec l'alerte en disant que le truc était bloqué. . J'ai vu où était placé le fichier infecté dans le lecteur C. Seulement on me dit que je n'ai pas l'autorisation quand je veux le supprimer. Je ne suis pas administrateur de l'ordinateur, est-ce pour ça?
Le fichier s'appelle Pfysaa et appartiendrait à la société de "Statham" le fameux programmeur.
Et sur la barre d'état windows, quand je clique sur "programmes de démarrage bloqués", le nom du prograame bloqué est le suivant : KfSystemR setup g1.
Je suis en train de faire un scan minutieux (il en est à 6%).
Je n'ai plus de fenêtres d'alertes Avast à s'ouvrir.
Dans mon logiciel Avast, lorsque je clique sur l'onglet "protection résidente", il n'y a que dans "agent réseau" que des connexions sont bloquées (136 sur 7700 pour l'instant).
Pourriez-vous m'aider svp? Je n'y connais rien. Merci d'avance.
A voir également:
- Problème "trojan", aide svp
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan killer - Télécharger - Antivirus & Antimalwares
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan powershell - Guide
- Csrss.exe trojan fr ✓ - Forum Virus
60 réponses
- 1
- 2
- 3
Suivant
Résumé de la discussion
Des alertes Avast signalent un possible trojan, avec des fenêtres bloquant des actions et un fichier infecté nommé Pfysaa sur le lecteur C, tandis que les droits d'administrateur empêchent sa suppression.
Les échanges montrent que le problème vient d'une infection et que des éléments de démarrage, comme KfSystemR setup g1, bloquent l'accès, le scan Avast progressant avec peu d'alertes.
Plusieurs réponses préconisent des outils comme RogueKiller et UsbFix, avec des instructions pour exécuter en administrateur, quitter les programmes ouverts et générer des rapports à coller ensuite.
Certains signalent que des composants malveillants, potentiellement des rootkits comme tdss, peuvent nécessiter des outils spécialisés car Avast seul peut ne pas les désinfecter dans certains cas.
Non c'est pas un antivirus, c est un logiciel de désinfection ,rien à voir :p
ça va supprimer le rootkit tdss.tdl4 que je soupçonne sur ton pc et qu'avast n'arrive pas à désinfecter.
ça va supprimer le rootkit tdss.tdl4 que je soupçonne sur ton pc et qu'avast n'arrive pas à désinfecter.
c est infecté de toute part, on commence par éradiquer le rogue
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
===========================
ensuite choisi l'option 6 et valide poste rkreport2.txt
=============================================================
(suite)
Pour traiter l'infection Renos :
▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Recherche"
▶ Laisse travailler l''outil
▶ A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Recherche"
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
===========================
ensuite choisi l'option 6 et valide poste rkreport2.txt
=============================================================
(suite)
Pour traiter l'infection Renos :
▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Recherche"
▶ Laisse travailler l''outil
▶ A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Recherche"
Hello,
Stoppe le scan Avast il ne supprimera rien ou n'y arrivera pas
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
Stoppe le scan Avast il ne supprimera rien ou n'y arrivera pas
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
Merci pour ta réponse. Mais ça va me faire 2 antivirus actifs sur mon PC. Ca va poser des problèmes, non?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai fait ce que tu m'as dit mais quand je l'ai installé il y a eu une petite fenêtre qui disait "can't load driver".
J'ai mis OK et j'ai quand même continué à suivre tes indications. J'ai cliqué sur "start scan" Il a fait un scan avec 0 fichier infecté. mais je n'ai pas la touche "reboot now" par contre. ??
J'ai mis OK et j'ai quand même continué à suivre tes indications. J'ai cliqué sur "start scan" Il a fait un scan avec 0 fichier infecté. mais je n'ai pas la touche "reboot now" par contre. ??
can't load driver mmmh ça craint ^^
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt comme suit :
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt comme suit :
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
J'ai fait un copier coller du coup comme ils le disaient, tu as le lien juste au dessus. merci encore
Le premier rapport de roguekiller
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Suppression -- Date : 12/06/2011 18:03:15
Processus malicieux: 2
[SUSP PATH] Pfysaa.exe -- c:\windows\pfysaa.exe -> KILLED
[SUSP PATH] Pdx.exe -- c:\users\lucile\appdata\local\temp\pdx.exe -> KILLED
Entrees de registre: 7
[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Suppression -- Date : 12/06/2011 18:03:15
Processus malicieux: 2
[SUSP PATH] Pfysaa.exe -- c:\windows\pfysaa.exe -> KILLED
[SUSP PATH] Pdx.exe -- c:\users\lucile\appdata\local\temp\pdx.exe -> KILLED
Entrees de registre: 7
[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Le second rapport de roguekiller
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 12/06/2011 18:06:25
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 55 / Fail 0
Menu demarrer: Success 2 / Fail 0
Dossier utilisateur: Success 135 / Fail 0
Mes documents: Success 4 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 111 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 12/06/2011 18:06:25
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 55 / Fail 0
Menu demarrer: Success 2 / Fail 0
Dossier utilisateur: Success 135 / Fail 0
Mes documents: Success 4 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 111 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Le rapport de UsBFix
############################## | UsbFix 7.048 | [Recherche]
Utilisateur: Lucile (Administrateur) # PC-DE-MAT [Acer Aspire X3810]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 18:10:05 | 12/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé
RAM -> 8190 Mo
C:\ (%systemdrive%) -> Disque fixe # 339 Go (228 Go libre(s) - 67%) [ACER] # NTFS
D:\ -> Disque fixe # 339 Go (339 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
H:\ -> Disque amovible # 117 Mo (72 Mo libre(s) - 61%) [STORE'N'GO] # FAT
################## | Éléments infectieux |
Présent! C:\Windows\SysWOW64\sshnas21.dll
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdv.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdw.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdx.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdy.exe
################## | Registre |
Présent! HKCU\Software\4ECYTQ9SIC
Présent! HKCU\Software\Microsoft\idgbn5xehg
Présent! HKCU\Software\NtWqIVLZEWZU
################## | Mountpoints2 |
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
############################## | UsbFix 7.048 | [Recherche]
Utilisateur: Lucile (Administrateur) # PC-DE-MAT [Acer Aspire X3810]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 18:10:05 | 12/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé
RAM -> 8190 Mo
C:\ (%systemdrive%) -> Disque fixe # 339 Go (228 Go libre(s) - 67%) [ACER] # NTFS
D:\ -> Disque fixe # 339 Go (339 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
H:\ -> Disque amovible # 117 Mo (72 Mo libre(s) - 61%) [STORE'N'GO] # FAT
################## | Éléments infectieux |
Présent! C:\Windows\SysWOW64\sshnas21.dll
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdv.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdw.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdx.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdy.exe
################## | Registre |
Présent! HKCU\Software\4ECYTQ9SIC
Présent! HKCU\Software\Microsoft\idgbn5xehg
Présent! HKCU\Software\NtWqIVLZEWZU
################## | Mountpoints2 |
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
je fais ça de suite. Par contre les fichiers soit disant "deleted" dans un des rapports, sont toujours là. C'est normal?
[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Les pdx, pdy etc... sont toujours là. (associé à MR statham toujours!)
[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Les pdx, pdy etc... sont toujours là. (associé à MR statham toujours!)
il a pas aimé qu'on déloge les merdouilles :p
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
j'ai désactivé tous les agents d'avast mais je ne sais pas si c'est suffisant. Je ne sais même pas où est le pare feu. Je suis nulle.
- 1
- 2
- 3
Suivant
