PC infecté par trojan:Win32/skeeyah.A!rfn

Résolu

Trojan

p75lbr -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 13 sept. 2017 à 22:30

Bonjour,

Mon pc personnel (maison) tourne sous Windows 10.
Il est infecté par un trojan:Win32/skeeyah.A!rfn.
Depuis cette infection hier soir, le "mode avion" est paramétré et je ne parviens pas à le retirer (l'action de désactiver le mode avion n'aboutit pas, le bouton "activer mode avion" revient systématiquement en place dans la seconde.)
Je n'ai donc plus accès à internet depuis mon pc à la maison (j'écris ce message depuis mon pc professionnel au bureau).
Quelqu'un sait-il quelle manipulation opérer pour désactiver le "mode avion" et me débarrasser de ce trojan?

Pierre

A voir également:

Skeeyah.b!rfn
Reinitialiser pc - Guide
Test performance pc - Guide
Pc lent - Guide
Downloader for pc - Télécharger - Téléchargement & Transfert
Télécharger instagram pc - Télécharger - Divers Communication

5 réponses

Réponse 1 / 5

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

Quel fichier est détecté ?
Car ça peut être un fichier isolé.

Pour vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Réponse 2 / 5

p75lbr

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20170911_m6t8c11q14c11

shortcut
https://pjjoint.malekal.com/files.php?id=20170911_o13g9z6d15o15

Addition
https://pjjoint.malekal.com/files.php?id=20170911_o8r12t8y14e7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Pas l'air infecté, donc c'est probablement un fichier isolé.
Vas dans l'historique de Windows Defender.
Sur la détection, clic dur détails et copie colle ici.
Voir : https://www.malekal.com/tutoriel-windows-defender/

Désinstalle Intel Security True Key et McAfee Security Scan Plus
Sert à rien.

Sinon tu n'as pas des problèmes de fonctionnement de Windows ?
J'ai l'impression qu'il y a plein de services Windows qui sont arrêtes.

Réponse 3 / 5

p75lbr

Catégorie : Cheval de Troie

Description : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.

Action recommandée : Supprimer immédiatement ce logiciel.

Éléments :
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\langswfo.db
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\System.Data.SQLite.DLL
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\winfo.exe
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\winfo.exe.config
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\x64\SQLite.Interop.dll
file:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\x86\SQLite.Interop.dll
folder:c:\programdata\advancedpccare.com\
folder:c:\programdata\microsoft\windows\start menu\programs\advancedpccare.com\
folder:c:\programdata\start menu\programs\advancedpccare.com\
folder:c:\users\le bars\appdata\roaming\advancedpccare.com\
folder:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\
folder:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\x64
folder:c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2\x86
regkey:HKLM\SOFTWARE\asc-pr
shellopencmd:HKLM\SOFTWARE\CLASSES\Unknown\SHELL\OPENAS\COMMAND\\

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

ok ce sont des restes,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2
c:\programdata\advancedpccare.com\ 
c:\programdata\start menu\programs\advancedpccare.com\ 
c:\users\le bars\appdata\roaming\advancedpccare.com\ 
c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Réponse 4 / 5

p75lbr

Voici ce que j'obtiens : je précise que mon pc n'est toujours pas raccordé à internet, car le mode avion n'est pas désactivable..

======
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-09-2017
Exécuté par Le Bars (12-09-2017 14:35:08) Run:1
Exécuté depuis C:\Users\Le Bars\Desktop
Profils chargés: Le Bars (Profils disponibles: Le Bars)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2
c:\programdata\advancedpccare.com\
c:\programdata\start menu\programs\advancedpccare.com\
c:\users\le bars\appdata\roaming\advancedpccare.com\
c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Erreur: (0) Impossible de créer un point de restauration.
"c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2" => non trouvé(e).
"c:\programdata\advancedpccare.com" => non trouvé(e).
"c:\programdata\start menu\programs\advancedpccare.com" => non trouvé(e).
"c:\users\le bars\appdata\roaming\advancedpccare.com" => non trouvé(e).
"c:\users\le bars\appdata\roaming\fileopenerwindows for laptop-52v24vr2" => non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2615886262-671746657-2113912727-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 134141149 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 435390 B
Edge => 918 B
Chrome => 0 B
Firefox => 31200387 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 401342733 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 902936 B
Le Bars => 22721619 B

RecycleBin => 0 B
EmptyTemp: => 563.4 MB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 14:35:20

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

je précise que mon pc n'est toujours pas raccordé à internet, car le mode avion n'est pas désactivable..

C'est un autre problème ça,
Tu n'as pas utilisé d'autres fix, type adwcleaner ou autres ?

essaye ça :

- Clic droit bouton "arrêt" et choisir "Exécuter"
- Y taper services.msc
- Un tableau s'ouvre intitulé Services(local)
- Rechercher "Service de gestion radio"
- Mettre en face Manuel
- OK

p75lbr > Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

j'ai effectué la manipulation, mais le pc n'a toujours pas accès à internet depuis 2 jours.
J'ai installé cc cleaner et wisde registry il y a un mois, je les ai fait tourne ril y a deux semaines, mais à la suite de leur travail j'avais encore accès à internet...
Efectivement j'ai supprimé des services/programmes Microsoft, j'ai un message sous forme de boite de dialogue à l'ouverture de chaque session

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > p75lbr

Tu aurais dû commencer par ça et tous ces nettoyages Wize Registry n'apporte rien à part de potentielle problème.

bon apparemment, tu n'as pas de point de restauration disponible, c'est embetant...

Pour tes problèmes réseaux, télécharge MinitoolBox depuis un autre ordinateur et copie le sur une clef USB.

Coche "Select All" puis clique "Go".
Un rapport va être généré, copie le sur ta clef USB.
Depuis un ordinateur où internet fonctionne, envoie le rapport sur https://pjjoint.malekal.com/
Un lien pjjoint qui pointe sur le rapport va t'être donné, donne ce lien ici en réponse dans un message.

p75lbr > Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

https://pjjoint.malekal.com/files.php?id=20170913_l12f12v11s6z12

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > p75lbr

Y a même pas d'interface réseau.

Réinitialise Windows 10... je pense que c'est le mieux dans ton cas.

Réponse 5 / 5

AGRO11 Messages postés 76 Date d'inscription Statut Membre Dernière intervention 30

Bonjour
fais une analyse avec Windows Defender sur ton ordinateur infecté
Si tu utilise un autre AV windows defender est désactivé voir ici : https://comparatifantivirus.net/comment-dsactiver-ou-activer-windows-defender-titre-dfinitif-dans-windows-10/
télécharge MBAM et AdwCleaner ici : https://toolslib.net/
ensuite fais un Scan avec ZHPDIAG .. voir ce tutoriel de Nicolas Coolman : https://nicolascoolman.eu
enfin télécharge DelFix pour supprimer les outils d'aide : https://toolslib.net/downloads/viewdownload/2-delfix/

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Trojan:Win32/skeeyah.A!rfn est une détection de Microsoft donc de Windows Defender ....

AGRO11 Messages postés 76 Date d'inscription Statut Membre Dernière intervention 30 > Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Bonjour d'abord
je comprend vraiment pas ce que tu cherche mais j'ai proposer la meilleure solution

Discussions similaires

virus trojan.script.generic

Trojan Win32/dynamer!ac très résistant!

Cheval de Troie détecté Win32/Fuerboos.C!cl

Trojan impossible à supprimer!

Infecté par un trojan win32/skeeyah.A!rfn

Trojan win32/Tiggre!rfn

Fin de Fixlog 14:35:20

Votre réponse

Discussions similaires