Trojan:Win32/Skeeyah [Résolu/Fermé]

Signaler
-
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
-
Bonjour,

Je suis infecté par le Trojan:Win32/Skeeyah et j'ai besoin de votre aide pour m'en débarasser s'il vous plait.
J'ai installer adwcleaner et effectué un scan puis rebooter en supprimant ce que le programme a détecté. Ensuite j' ai installer FARBAR RECOVERY SCAN TOOL et j'ai éffectué le scan et voici les resultats :

http://pjjoint.malekal.com/files.php?id=FRST_20151117_k7t7n12f9p6

http://pjjoint.malekal.com/files.php?id=20151117_c10i14g5r14u5

http://pjjoint.malekal.com/files.php?id=20151117_u7c13v5q614

Que dois-je faire s'il vous plait ?

13 réponses

Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
Salut,

Je regarde.
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
Deux antivirus...
Désinstalle celui en trop.

AV: Microsoft Security Essentials (Enabled - Up to date) {B7ECF8CD-0188-6703-DBA4-AA65C6ACFB0A}
AV: AVG AntiVirus Free Edition (Disabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}



Spyhunter, désinstalle le aussi.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Task: {6AD6DAFA-357B-412E-A419-3FAC290E16F8} - System32\Tasks\Style Total => Rundll32.exe "C:\Users\hp\AppData\Local\Style Total\xBin\StyleTotal.dll",#3 <==== ATTENTION
Task: {730B3820-4C75-4519-9B9C-8F01C03D4C24} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe
S2 ginoquci; C:\Users\hp\AppData\Local\Temp\nsmAA74.tmp [222208 2015-11-12] () [File not signed]
2015-11-17 09:54 - 2015-11-17 09:54 - 00000000 ____D C:\Users\hp\AppData\Roaming\istartpageing
2015-11-16 20:39 - 2015-11-16 20:39 - 00000000 ____D C:\Users\hp\AppData\Roaming\MysteryTag
2015-11-12 21:38 - 2015-11-12 21:38 - 00628688 _____ (CMI Limited) C:\Users\hp\AppData\Local\nsn84C7.tmp
2015-11-13 16:23 - 2015-11-17 15:49 - 00000000 ____D C:\ProgramData\Zitenop
2015-11-13 16:23 - 2015-11-13 16:23 - 00000000 ____D C:\ProgramData\Zitenops
2015-11-12 21:38 - 2015-11-12 21:38 - 0628688 _____ (CMI Limited) C:\Users\hp\AppData\Local\nsn84C7.tmp
2015-10-20 11:12 - 2015-04-04 14:22 - 00000000 ____D C:\ProgramData\Datamngr
AppInit_DLLs: C:\ProgramData\Zitenop\ZummaLight.dll => C:\ProgramData\Zitenop\ZummaLight.dll [320512 2015-11-13] ()
2015-10-23 12:17 - 2015-10-23 12:17 - 00000000 __HDC C:\ProgramData\{342D5D66-AA63-41DF-A660-CE941FBC359D}
2015-10-20 19:11 - 2015-10-20 19:11 - 00000000 ____D C:\Users\hp\AppData\Local\{80CDD88B-CAE8-4F2E-9358-AC3D53066F50}
2015-10-19 22:02 - 2015-10-19 22:02 - 00000000 ____D C:\Users\hp\AppData\Local\{EC803650-FC59-4A0B-800E-F9413C111901}
2015-10-19 22:01 - 2015-10-19 22:01 - 00000000 ____D C:\Users\hp\AppData\Local\{58491181-A512-402D-B278-C3051690E2E2}


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour,

le soucis c'est que j'arrive pas a désinstaller AVG completement et pourtant j'ai utilisé avg_remover_stf_x86_2012_1796 ...
Et spyhunter c'est pareil, quand je veux le supprimer je ne retrouve avec une offre promotionnel de spyhunter pour l'installer pffff .....
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
AVG a viré c'est la merde.
et Spyhunter quel est le problème ?
>
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020

pour spyhunter quand je vais sur uninstall programs dans le panel config j'essaie de le desinstaller et ca m'ouvre une page promotionnel pour l'installer alors qu'il est deja installer et que je veux le desinstaller ...
Fix result of Farbar Recovery Scan Tool (x86) Version:16-11-2015
Ran by hp (2015-11-17 17:25:54) Run:1
Running from C:\Users\hp\Downloads
Loaded Profiles: hp (Available Profiles: hp)
Boot Mode: Normal

==============================================

fixlist content:

Task: {6AD6DAFA-357B-412E-A419-3FAC290E16F8} - System32\Tasks\Style Total => Rundll32.exe "C:\Users\hp\AppData\Local\Style Total\xBin\StyleTotal.dll",#3 <==== ATTENTION
Task: {730B3820-4C75-4519-9B9C-8F01C03D4C24} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe
S2 ginoquci; C:\Users\hp\AppData\Local\Temp\nsmAA74.tmp [222208 2015-11-12] () [File not signed]
2015-11-17 09:54 - 2015-11-17 09:54 - 00000000 ____D C:\Users\hp\AppData\Roaming\istartpageing
2015-11-16 20:39 - 2015-11-16 20:39 - 00000000 ____D C:\Users\hp\AppData\Roaming\MysteryTag
2015-11-12 21:38 - 2015-11-12 21:38 - 00628688 _____ (CMI Limited) C:\Users\hp\AppData\Local\nsn84C7.tmp
2015-11-13 16:23 - 2015-11-17 15:49 - 00000000 ____D C:\ProgramData\Zitenop
2015-11-13 16:23 - 2015-11-13 16:23 - 00000000 ____D C:\ProgramData\Zitenops
2015-11-12 21:38 - 2015-11-12 21:38 - 0628688 _____ (CMI Limited) C:\Users\hp\AppData\Local\nsn84C7.tmp
2015-10-20 11:12 - 2015-04-04 14:22 - 00000000 ____D C:\ProgramData\Datamngr
AppInit_DLLs: C:\ProgramData\Zitenop\ZummaLight.dll => C:\ProgramData\Zitenop\ZummaLight.dll [320512 2015-11-13] ()
2015-10-23 12:17 - 2015-10-23 12:17 - 00000000 __HDC C:\ProgramData\{342D5D66-AA63-41DF-A660-CE941FBC359D}
2015-10-20 19:11 - 2015-10-20 19:11 - 00000000 ____D C:\Users\hp\AppData\Local\{80CDD88B-CAE8-4F2E-9358-AC3D53066F50}
2015-10-19 22:02 - 2015-10-19 22:02 - 00000000 ____D C:\Users\hp\AppData\Local\{EC803650-FC59-4A0B-800E-F9413C111901}
2015-10-19 22:01 - 2015-10-19 22:01 - 00000000 ____D C:\Users\hp\AppData\Local\{58491181-A512-402D-B278-C3051690E2E2}


"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{6AD6DAFA-357B-412E-A419-3FAC290E16F8}" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6AD6DAFA-357B-412E-A419-3FAC290E16F8}" => key removed successfully.
C:\Windows\System32\Tasks\Style Total => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Style Total" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{730B3820-4C75-4519-9B9C-8F01C03D4C24}" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{730B3820-4C75-4519-9B9C-8F01C03D4C24}" => key removed successfully.
C:\Windows\System32\Tasks\DriverToolkit Autorun => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DriverToolkit Autorun" => key removed successfully.
ginoquci => service removed successfully.
C:\Users\hp\AppData\Roaming\istartpageing => moved successfully
C:\Users\hp\AppData\Roaming\MysteryTag => moved successfully
C:\Users\hp\AppData\Local\nsn84C7.tmp => moved successfully

"C:\ProgramData\Zitenop" folder move:

Could not move "C:\ProgramData\Zitenop" => Scheduled to move on reboot.

C:\ProgramData\Zitenops => moved successfully
"C:\Users\hp\AppData\Local\nsn84C7.tmp" => not found.
C:\ProgramData\Datamngr => moved successfully
"C:\ProgramData\Zitenop\ZummaLight.dll" => Value data removed successfully..
C:\ProgramData\{342D5D66-AA63-41DF-A660-CE941FBC359D} => moved successfully
C:\Users\hp\AppData\Local\{80CDD88B-CAE8-4F2E-9358-AC3D53066F50} => moved successfully
C:\Users\hp\AppData\Local\{EC803650-FC59-4A0B-800E-F9413C111901} => moved successfully
C:\Users\hp\AppData\Local\{58491181-A512-402D-B278-C3051690E2E2} => moved successfully

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-11-17 17:33:07)

C:\ProgramData\Zitenop => is moved successfully

End of Fixlog 17:33:07

Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
pour spyhunter quand je vais sur uninstall programs dans le panel config j'essaie de le desinstaller et ca m'ouvre une page promotionnel pour l'installer alors qu'il est deja installer et que je veux le desinstaller ...

C'est "normal", faut poursuivre.
voir :
http://www.supprimer-trojan.com/spyhunter/
https://www.supprimer-virus.com/spyhunter/
Bon spyhunter est desinstaller !
Merci pour toute l'aide, est-ce que je suis debarrasser du virus a ce stade ?
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
Change tes mots de passe, ils ont été probablement volés.

Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :

Mets Malwarebytes à jour puis lance un examen.

A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal d'analyse.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

voici le rapport

http://pjjoint.malekal.com/files.php?id=20151118_s12y11l7l10m11
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
Ca doit rouler, change bien tes mots de passe.
On peut tenter de virer AVG par FRST si tu le souhaites, je ne sais pas trop ce que ça va donner.

Tu es partant ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
oui je suis partant biensur
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
ok tente ça :

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avgsvcx.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Framework\Common\avguix.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Av\avgui.exe
HKLM\...\Run: [AvgUi] => C:\Program Files\AVG\Framework\Common\avguix.exe [1130408 2015-10-16] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [AVG_UI] => C:\Program Files\AVG\Av\avgui.exe [3826600 2015-10-30] (AVG Technologies CZ, s.r.o.)
S3 AvgAMPS; C:\Program Files\AVG\Av\avgamps.exe [595376 2015-10-30] (AVG Technologies CZ, s.r.o.)
R2 avgsvc; C:\Program Files\AVG\Framework\Common\avgsvcx.exe [862632 2015-10-16] (AVG Technologies CZ, s.r.o.)
R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [156080 2015-08-10] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [308656 2015-08-14] (AVG Technologies CZ, s.r.o.)
2015-11-06 22:14 - 2015-11-06 22:16 - 01692968 _____ (AVG Technologies CZ, s.r.o.) C:\Users\hp\Downloads\avg_remover_stf_x86_2012_1796.exe
2015-10-20 20:00 - 2015-11-04 22:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
2015-10-20 20:00 - 2015-10-21 21:39 - 00000000 ____D C:\Users\hp\AppData\Roaming\AVG
2015-10-20 19:48 - 2015-10-21 21:39 - 00000000 ____D C:\Program Files\AVG
2015-10-20 19:41 - 2015-10-21 21:39 - 00000000 ____D C:\ProgramData\Avg
2015-10-20 19:37 - 2015-11-06 22:23 - 00000000 ____D C:\Users\hp\AppData\Local\AvgSetupLog
2015-10-20 19:37 - 2015-11-04 22:58 - 00000000 ____D C:\Users\hp\AppData\Local\Avg
CreateRestorePoint:

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
C'est bon, AVG est définitivement éradique de mon pc !!!

voici le log http://pjjoint.malekal.com/files.php?id=20151118_w15h6e5s7z12

Un grand merci a toi, tu m'a enlever une épine du pied.

Amicalement,

Pat
Messages postés
179574
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 août 2020
21 673
super =)

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html