Sujet Précédent Sujet Suivant

Llhvy.exe

Fermé
jetyvan83 Messages postés 1 Date d'inscription dimanche 20 août 2017 Statut Membre Dernière intervention 20 août 2017 - 20 août 2017 à 11:04
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2017 à 09:33
Bonjour à tous
jais ce programme (llhvy.exe) qui veut constament s'ouvrir qui peut me renseigné .
Merci

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
20 août 2017 à 11:42
Salut,

Probablement malveillant;

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 4
roh2b32 Messages postés 3 Date d'inscription lundi 11 septembre 2017 Statut Membre Dernière intervention 11 septembre 2017
11 sept. 2017 à 22:33
Salut à tous!

Même problème pour moi, quelqu'un pour m'aider?

Merci d'avance!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 sept. 2017 à 22:51
Dpnne les rapports FRST.
0
roh2b32 Messages postés 3 Date d'inscription lundi 11 septembre 2017 Statut Membre Dernière intervention 11 septembre 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
11 sept. 2017 à 22:55
https://pjjoint.malekal.com/files.php?id=FRST_20170911_m13n8e6j11d6

https://pjjoint.malekal.com/files.php?id=20170911_m13x7f5h7f6

https://pjjoint.malekal.com/files.php?id=20170911_p10m12o15e7x14
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 sept. 2017 à 23:06
C'est une infection de type Trojan RAT.
Donc faudra bien penser à changer tous tes mots de passe ensuite car ils ont été probablement récupérés.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
Task: {8AAFD363-E887-49E2-9F77-8364DA5AF474} - System32\Tasks\gsactwlt => C:\Users\Robin\gsactwlt\llhvy.exe [2016-10-09] (AutoIt Team)
 2017-09-11 19:52 - 2017-09-11 19:52 - 000000000 ____D C:\Program Files (x86)\Ratiborus 
 2017-09-11 19:50 - 2017-09-11 19:55 - 000000000 ____D C:\Users\Robin\AppData\Roaming\dclogs  
 2017-09-11 19:50 - 2017-09-11 19:50 - 000003674 _____ C:\WINDOWS\System32\Tasks\gsactwlt 
 2017-09-11 19:50 - 2017-09-11 19:50 - 000000000 __SHD C:\Users\Robin\gsactwlt 
 2017-09-11 19:50 - 2017-03-18 23:00 - 000045216 ___SH (Microsoft Corporation) C:\Users\Robin\llhvy.exe 
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Puis procède à un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
0
Réponse 4 / 4
roh2b32 Messages postés 3 Date d'inscription lundi 11 septembre 2017 Statut Membre Dernière intervention 11 septembre 2017
11 sept. 2017 à 23:22
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-09-2017 01
Exécuté par Robin (11-09-2017 23:15:13) Run:1
Exécuté depuis C:\Users\Robin\Desktop
Profils chargés: Robin (Profils disponibles: Robin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
Task: {8AAFD363-E887-49E2-9F77-8364DA5AF474} - System32\Tasks\gsactwlt => C:\Users\Robin\gsactwlt\llhvy.exe [2016-10-09] (AutoIt Team)
2017-09-11 19:52 - 2017-09-11 19:52 - 000000000 ____D C:\Program Files (x86)\Ratiborus
2017-09-11 19:50 - 2017-09-11 19:55 - 000000000 ____D C:\Users\Robin\AppData\Roaming\dclogs
2017-09-11 19:50 - 2017-09-11 19:50 - 000003674 _____ C:\WINDOWS\System32\Tasks\gsactwlt
2017-09-11 19:50 - 2017-09-11 19:50 - 000000000 __SHD C:\Users\Robin\gsactwlt
2017-09-11 19:50 - 2017-03-18 23:00 - 000045216 ___SH (Microsoft Corporation) C:\Users\Robin\llhvy.exe
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8AAFD363-E887-49E2-9F77-8364DA5AF474} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8AAFD363-E887-49E2-9F77-8364DA5AF474} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\gsactwlt => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\gsactwlt => clé supprimé(es) avec succès
C:\Program Files (x86)\Ratiborus => déplacé(es) avec succès
C:\Users\Robin\AppData\Roaming\dclogs => déplacé(es) avec succès
"C:\WINDOWS\System32\Tasks\gsactwlt" => non trouvé(e).
C:\Users\Robin\gsactwlt => déplacé(es) avec succès
C:\Users\Robin\llhvy.exe => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2818420718-1239655231-1490812576-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2818420718-1239655231-1490812576-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\S-1-5-21-2818420718-1239655231-1490812576-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2818420718-1239655231-1490812576-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 47730296 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 788976 B
Edge => 10232 B
Chrome => 0 B
Firefox => 57165413 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 3042 B
Robin => 20688542 B

RecycleBin => 0 B
EmptyTemp: => 127.6 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 23:16:00

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 sept. 2017 à 09:33
ok passe à Malwarebytes.
0