Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur

DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Je rencontre récemment un problème.

Contexte : j'utilise depuis peu un ordinateur de travail (ordi portable sur windows 10). Il marchait bien mais j'ai voulu installer des choses dont je me servais sur mon ancien ordinateur et qui n'étaient pas présentes sur celui-ci. J'ai installé Avast, Malwarebytes, Chrome etc deux trois autres choses de ce type.

Problème : depuis quelques jours, à chaque démarrage de l'ordinateur, Avast affiche un message d'alerte : "Nous avons déplacé epfyuybf.dll dans votre Zone de quarantaine car cet élément est infecté par Win32:MalwareX-gen [Trj]"

Nom de la menace : Win32:MalwareX-gen [Trj]
Accès au fichier : C:\Windows\Temp\epfyuybf\epfyuybf.dll
Processus : C:\Windows\SysWOW64\AbtSvcHost_.exe
Détécté par : Agent des Fichiers

Déja fait : j'ai déjà regardé quelques forums et ai déjà scanné avec malwarebytes, adwcleaner, avast etc mais il me dit toujours que mon ordinateur est clean.

Quelqu'un peut-il m'aider à résoudre le problème ?

Merci d'avance et bonne fin d'année à tous :)

Dex.
A voir également:

6 réponses

bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787
 
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
1
MisteryBean Messages postés 8873 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 261
 
Bonjour,

Pour avancer , Désactives AVAST le temps de l'analyse (il faudra faire pareil pour le correctif)
1
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6
 
Merci beaucoup pour la réponse rapide !

Juste pour info, au moment de démarrer le scan avec FRST j'ai eu un message d'alerte (rouge) d'avast qui m'a forcé à "bloquer l'appli"... mais le scan a quand même pu avoir lieu.

J'obtiens bien les 3 rapports mais ils semblent vides... Lorsque je les joints sur le site proposé, il y a ce message :

"Erreur de classe 1000 / 1XXX Errors
Requête Bloquée / Request Blocked
Une opération interdite a été détectée par le serveur WEB.
A forbbiden request has been detected and blocked.

Access denied

This website is using a security service to protect itself from online attacks.
"


Que dois-je faire dans ce cas ?
0
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6
 
Super, j'ai donc refait les scans après avoir désactivé Avast temporairement.

Cette fois le scan a bien marché et les fichiers ne sont plus vides. Par contre impossible de les joindre au site : "access denied" (cf réponse ci-dessus).

Y-a-t-il un autre moyen de vous faire parvenir les rapports ?

Je précise qu'ils se sont enregistrés sur le bureau en format .txt sous l'application bloc note.
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787
 
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6
 
Nickel ça marche :

- Lien FRST : https://www.cjoint.com/c/JLBm6A3HUJC
- Lien ADDITION : https://www.cjoint.com/c/JLBm7HRRJVC
- Lien SHORTCUT : https://www.cjoint.com/c/JLBm73QpwGC

Merci encore !
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787
 
Nom de la menace : Win32:MalwareX-gen [Trj]
Accès au fichier : C:\Windows\Temp\epfyuybf\epfyuybf.dll
Processus : C:\Windows\SysWOW64\AbtSvcHost_.exe
Détécté par : Agent des Fichiers

Cela signifie que ce fichier est dans le dossier temporaire de Windows il est lié au processus AbtSvcHost_.exe qui est lié à CTES de la société Absolute Software Corp voir cette page https://www.absolute.com/
Connais-tu ce programme ? Ton pc est-il un pc professionnel ? Ce logiciel a pu être installé par ton entreprise pour le protéger.
0
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6 > bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Oui il s'agit d'un PC professionnel (donné par le département). Je ne connais pas ce programme du tout mais je vous fais confiance, si sa suppression aide et que cela n'a pas de grosses conséquences sur l'ordinateur alors oui je veux bien qu'il soit supprimé svp.

Cela suffirait à ne plus avoir le message d'alerte Win32... ?

Les trois liens ont-ils permis de voir ce qui ne va pas ?
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787 > DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention  
 
Il n'y a pas d'infection sur ton pc, je pense que l'alerte d'Avast est un faux positif, je n'aime pas faire de script FRST sur des pc d'entreprise ils ne sont pas configurés comme des pc de particuliers ils ont des réglages spécifiques à l'entreprise, vu que c'est un pc professionnel je pense qu' Absolute Software sert à sécuriser ta connexion pour le télétravail, il y a pas mal de stratégies de groupe qui ont été configurées je n'y touche pas non plus, je te fais juste un script qui supprimera le fichier trouvé par Avast.
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
C:\Windows\Temp\epfyuybf\epfyuybf.dll
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Pour te rassurer tu peux faire un scan en ligne avec NOD32 scanner online https://www.malekal.com/scan-antivirus-ligne-nod32/

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait sommage de tomber en panne de batterie avant que le mise à jour soit terminée, vu que ce pc ne t'appartient pas tu n'es pas obligé de le mettre à jour cette remarque n'était qu'à titre d'information.
0
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6
 
Merci pour l'explication, voici le lien généré après ces étapes : https://www.cjoint.com/c/JLBq5XQHy0C

Pour info après le redémarrage j'ai à nouveau eu l'alerte (le nom fichier est sensiblement différent mais provient du même endroit...).
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787
 
Fait le scan avec NOD32 comme expliqué dans mon précédent message point numéro 5
0
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6 > bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Ok je vais faire le scan de suite.

Dans le doute j'ai refait la procédure de correction avec le nouveau fichier "menace". Voici le rapport joint : https://www.cjoint.com/c/JLBrkc7AVWC
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787 > DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention  
 
Le fichier a changé de nom donc recommencer la procédure ne sert à rien, je pense qu'il est automatiquement créé par Absolute Software tu peux analyser ce fichier sur https://www.virustotal.com/gui/ il sera analyser par plus de 60 antivirus uns fois l'analyse terminée donne le lien de la page d'analyse.
0
DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention   6 > bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Ok pour le moment le scan sur NOD32 est en cours, je vous envoie d'abord le rapport de ce scan dès qu'il est fini.

Ensuite je ne sais pas comment aller trouver le fichier à analyser sur virustotal puisqu'il est immédiatement mis en quarantaine par Avast...
0
bazfile Messages postés 58579 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 787 > DexyFlex Messages postés 411 Date d'inscription   Statut Membre Dernière intervention  
 
0