Trojan:win32/Sheeyah -----
Résolubazfile Messages postés 58558 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
- Csrss.exe
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan - Forum Virus
- Trojan agent ✓ - Forum Virus
- Trojan sms-par google ✓ - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
8 réponses
Bonjour @matou83 StatutMembre .
Rien de bien grave, ce que tes captures d'écran montrent ce n'est que l'historique de détection de Windows Defender, pas une nouvelle détection active, ce n'est donc plus d'actualité.
Ce n'était qu'un malware qui était dans le cache de Google Chrome, si tu as peur vide le cache de Google Chrome.
Si tu veux pour te rassurer je peux aussi vérifier ton pc, fait ce qui suit.
Télécharger FRST .
Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :
Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.
Envoyer les rapports FRST et ADDITION sur cjoint.com ou sur https://pjjoint.malekal.com/ .
Puis joindre les deux liens générés par https://www.cjoint.com/ ou https://pjjoint.malekal.com/ dans ta réponse.
Bonne nuit.
Merci infiniment bazfile, pour vider cache chrome, impec ! Par contre pour FRST : problème : à partir de ton lien une fois le point exe enregistré, si je clique dessus en tant qu'administrateur : incompatible avec votre système d'exploitation et même si je charge un FRST sur un autre site : idem !!!
merci de m'expliquer quand tu pourras . Bien cordialement . matou83
@matou83 StatutMembre .
J'ai essayé et ça fonctionne sans problème, je t'ai mis FRST ici :
https://transfert.free.fr/aoL7mb2
Si tu n'y arrives pas on en restera là, de toute façon je ne pense pas que ton pc soit infecté, Windows Defender fait souvent beaucoup de bruit pour pas grand-chose.
Bonne nuit.
Et finalement windows defender me signale FRST comme virus, comme je n'ai guère envie de le mettre hors ligne ,au moment où j'ai été embêté par de vrais virus j'abandonne l'idée de passer FRST sur mon ordi ...Qaunt au fait que Skeeyah n'était pas actif, c'est parce que j'ai mis les images après intervention ! Entre 6h57 et 15h et quelque ( heure de la mise en quarantaine ) il était actif !
Ce qui m'intrigue c'est que je testais en fait un disque dur externe et que l'analyse trouve un fichier infecté sur le disque interne C !!! Analyse de 8h28 mn ! IL a été mis en quarantaine lors de l'analyse . Le type du virus est simplement Skeeyah ( pas AIMTB comme avant !! ET ce n'est pas le registre de Geneviève qui est affecté comme hier ( enfin le 25 à 00h27 ) mais un fichier que j'ai utilisé quelques heures avant pour transformer des wav ( CD) en mp3 . Il figure en haut de ce message . Faut-il en déduire que le logiciel Freeac est infecté et que je dois le supprimer ?
...Ce virus semble avoir en fait migré ??? Qu'en penses-tu ?
matou83
@matou83 StatutMembre
Et finalement windows defender me signale FRST comme virus,
Windows Defender dit n'importe quoi , penses-tu réellement qu'en tant que contributeur sécurité je te proposerais un logiciel infecté ?
C'est le Smart Screen qui t'envoie ce genre de message, il fallait simplement lire un peu plus attentivement, c'est un avertissement il ne dit pas que c'est une infection il dit simplement que cela peut peut-être mettre en danger ton pc.
Dans la fenêtre d'avertissement il suffisait de cliquer sur "informations complémentaires" puis sur "Exécuter quand même" pour que FRST se lance.
De toute façon je te le dit à nouveau ton pc n'a à mon avis rien du tout.
Bazfile, voici les 2 liens suite à FRST 64 fait ce matin , quand tu auras le temps de t'y plonger, merci d'avance. J'ai supprimé le fichier CD en mp3 , j'en avais un autre: freac.converter .
matou83
https://pjjoint.malekal.com/files.php?id=FRST_20250526_e15d13y13p6k7
https://pjjoint.malekal.com/files.php?id=20250526_m6e15l11o12u10
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question@matou83 StatutMembre
À lire attentivement.
Diagnostic:
Pas d'infection sur ton pc juste un adware.
Tu as pas mal de processus orphelins/obsolètes.
Tu as l'adware Outbyte Driver Updater il a du s'installer à ton insu lors de l'installation d'un logiciel gratuit.
Tu as une stratégie de groupe de restriction logicielle qui est configurée sur ton pc.
ATTENTION.
Si ce n'est pas toi qui a installé Outbyte Driver Updater et si ce n'est pas toi qui a configuré la stratégie de groupe de restriction logicielle fait la correction FRST qui suit.
Si c'est toi qui a installé Outbyte Driver Updater et si c'est toi qui a configuré la stratégie de groupe de restriction logicielle ne fait pas la correction FRST qui suit, dis-moi ce que tu souhaites conserver je modifierais le script de correction FRST en conséquence.
Correction FRST.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Sélectionne et copie l'intégralité du script qui est dans l'encadré qui suit :
Start:: CreateRestorePoint: CloseProcesses: HKLM\...\RunOnce: [removeTempFiles310718] => cmd /c "del C:\Users\yves\AppData\Local\Temp\310421\uninstall.exe C:\Users\yves\AppData\Local\Temp\310421\smooth.dll C:\Users\yves\AppData\Local\Temp\310421\libgcc.dll C:\Users\yves\AppData\Local\Temp (l'élément de données a 70 caractères en plus). (Pas de fichier) HKLM\...\RunOnce: [removeTempFiles158224390] => cmd /c "del C:\Users\yves\AppData\Local\Temp\158217312\uninstall.exe C:\Users\yves\AppData\Local\Temp\158217312\smooth.dll C:\Users\yves\AppData\Local\Temp\158217312\libgcc.dll C:\Users\yves\AppData\L (l'élément de données a 85 caractères en plus). (Pas de fichier) HKU\S-1-5-21-4278648649-552154488-1117833469-1391\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\genevieve\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Pas de fichier) HKLM\...\Print\Monitors\Canon BJ FAX Language Monitor MX920 series: CNCALBL.DLL (Pas de fichier) HKLM\...\Print\Monitors\Canon BJ Language Monitor MX920 series: CNMLMBL.DLL (Pas de fichier) HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Policies\Google: Restriction Task: {fa7c5096-b588-4b38-8545-ae29b841e3b6} - pas de chemin du fichier. Task: {536A02AC-3009-42B4-8EDB-C648B2A1CE13} - System32\Tasks\Outbyte\Driver Updater\AttackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /AttackersAlert Task: {9E29BD13-62E0-4212-9ABA-CD37D6E9A9FE} - System32\Tasks\Outbyte\Driver Updater\CauseErrors => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /CauseErrors Task: {22007845-94EF-4ACC-9624-E880D4B6CD72} - System32\Tasks\Outbyte\Driver Updater\DriverFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /DriverFlaws Task: {5704DDC8-5694-4AF4-9FF3-373D3D88F745} - System32\Tasks\Outbyte\Driver Updater\HackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /HackersAlert Task: {1AA9E44F-179D-46B7-B222-49CB65C7948C} - System32\Tasks\Outbyte\Driver Updater\NvidiaFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /NvidiaFlaws Task: {A98C56FA-3BCD-46E9-AEBB-AE5C3B62042B} - System32\Tasks\Outbyte\Driver Updater\OutdatedDrivers => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /OutdatedDrivers Task: {A54FF59C-CA06-4721-937E-0F54D7881296} - System32\Tasks\Outbyte\Driver Updater\PoorPerformance => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /PoorPerformance Task: {065BC0F2-0A26-488B-9582-08804CE299DB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier Task: {0F2888A3-50D1-4ECA-BC15-F545BE15E4E3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier Task: {2571FB86-D417-4AE2-A558-6C58C4BAE463} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier Task: {2D5285EA-4011-43A8-8234-AF83B1CEE4BC} - \EPSON ET-2870 Series Update {6EFAF785-6B05-4BA1-9A88-6F23694968E7} -> Pas de fichier Task: {2DF811BD-EE26-461B-A5A7-81F89145E79F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier Task: {5DC4135B-46F7-4AF9-8F91-4833CC412AD5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier Task: {6B1701DD-0AE8-4F56-8165-831B753B4E4F} - \Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan -> Pas de fichier Task: {85AA711D-84D6-4015-AFEA-0853579B350F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier Task: {89C0D2C3-771B-4064-86D8-A63233FA7791} - \SoftwareUpdateTaskMachineCore -> Pas de fichier Task: {978554FA-A9CE-4355-AECF-395F8C6D1575} - \EPSON ET-2870 Series Update {012B4F76-FCB6-469D-B2D5-467BFF79F799} -> Pas de fichier Task: {98C9C38A-DD5E-4628-B58E-8F8D20207CF9} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier Task: {A9183511-FE87-4142-9295-FE16719162F5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier Task: {B9D96AC2-3D1A-4A1D-AA02-F54774313076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier Task: {C0F6E2AD-1391-4097-9046-6519881356DC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier Task: {CE7309C3-AE97-4429-863D-65349C673E86} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier Task: {D18ADD92-E9FC-4E00-8B00-A4A9C448A444} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier Task: {D5E223B6-7BD0-4985-9BA5-51BDB057C90F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier Task: {F5181BE4-81F4-4AF9-984A-BE4889B1AB88} - \CreateChoiceProcessTask -> Pas de fichier U3 idsvc; pas de ImagePath CHR Notifications: Default -> hxxps://www.fetish-up.com CHR NewTab: Default -> Not-active:"chrome-extension://hfddoikkmfckfpoidgbophoegodabodl/stubby.html" CHR HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\yves\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2019-09-30] CHR HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] S3 MpKsl8a7d0cdc; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{77E8954C-C8B3-40FC-9239-B02DD6C8F506}\MpKslDrv.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Pas de fichier ContextMenuHandlers1: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => -> Pas de fichier ContextMenuHandlers1: [ShellConverter] -> {30A4E07E-068A-4d91-8F05-691283A1336B} => -> Pas de fichier ContextMenuHandlers2: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => -> Pas de fichier ContextMenuHandlers4: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => -> Pas de fichier ContextMenuHandlers5: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => -> Pas de fichier ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Pas de fichier ContextMenuHandlers6: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} => -> Pas de fichier SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-4278648649-552154488-1117833469-1000 -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Pas de fichier) FirewallRules: [{A97D96FA-B793-4408-989A-B7B254DEC792}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe => Pas de fichier C:\Program Files (x86)\Outbyte EmptyTemp: End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pjjoint.malekal.com/ .
Puis donne le lien généré par https://www.cjoint.com/ ou https://pjjoint.malekal.com/ dans ta réponse.
Merci beaucoup bazfile, non ,e n'avais pas installé Outbyte Driver Updater , j'ai donc fait ta manip et voici le lien de fixlog.txt . Avais-bien le virus Skeeyah à la fois sur le disque interne C et sur le disque externe F ? Windows Defender n'a pas rêvé quand même ! Reste à savoir s'il l'a bloqué tout de suite ou bien après quand je l'ai demandé ...
https://pjjoint.malekal.com/files.php?id=20250526_x6s912x6g8
@matou83 StatutMembre .
Avais-bien le virus Skeeyah à la fois sur le disque interne C et sur le disque externe F ? Windows Defender n'a pas rêvé quand même !
Si ça peut te rassurer, je traite des pc infectés tous les jours, un pc vraiment infecté c'est autre chose que le tien.
Comme je te l'ai déjà dit Windows Defender n'a détecté qu'un simple adware dans le cache de Google Chrome, rien de bien important ni de bien grave, pour information le cache de Google Chrome a de nouveau été vidé par la correction FRST donc tout est OK.
Le fixlog est OK ton pc est propre, il n'y a rien de plus à faire.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.