Trojan:win32/Sheeyah -----

Résolu
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour à tous ceux qui me liront .

Windows Defender m'a signalé ce matin à 11h01 un cheval de Troie intitulé Skeeyah.A!MTB, que j'ai eu du mal à mettre en quarantaine , mlais j'y suis arrivé à 15h05 ( impossible de le supprimer mais il le sera plus tard d'après les sous-titres ) le détail des fichiers  infectés est joint . Quatre choses m'interpellent   :

1 - que signifie mise à jour incomplète à 11h01 ? Est-ce à dire que la version de l'anti-virus était incomplète , donc que ce virus n'avait pas été détecté auparavant ? Pourtant j'avais vérifié le soir précédent que windos defender était à jour !

2 - la partie infectée ( voir fichier joint )  concerne un ancien utilisateur qui n'utilise plus mon ordinateur où je suis seul administrateur , pourquoi ce virus s'est attaqué à une section qui n'était pas utilisée au moment de ma navigation  ? Est-ce pour justement retarder l'action contre  lui ?ll s'est écoulé 4 h avant que windows defender me signale que le virus était en quarantaine ( impossible de le supprimer , commande inactive , seule quarantaine marche ...,

3 - Une fois en quarantaine , il ne peut plus  être nuisible ? Je lisais  alors un disque dur externe  : peut-il être infecté aussi ? lui je ne l'ai pas analysé puisque seul le disque interne C était infecté ( voir fichier joint ) Mais l'analyse de l'anti-virus , si on ne vise pas expressément le disque externe , l'ignore-t-elle ?

4 - Avant que le virus ne soit en quarantaine j'avais le message suivant : fichier manquant ou contient des erreurs : fichier windows\system32\winbad.exe   code erreur 0XC0000225 . Après que le virus  soit mis en quarantaine ,j'ai donc effectué un scan de windows par powershell administrateur : RAS pas de dommage . Dons plus de soucis ?? 

J'ai posé des tas de questions  , excuses de vous obliger à passer du temps sur mes problèmes !! Avec tous mes remerciements pour vos  réponses .

matou83  

A voir également:

8 réponses

bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

Bonjour @matou83 StatutMembre .

Rien de bien grave, ce que tes captures d'écran montrent ce n'est que l'historique de détection de Windows Defender, pas une nouvelle détection active, ce n'est donc plus d'actualité.

Ce n'était qu'un malware qui était dans le cache de Google Chrome, si tu as peur vide le cache de Google Chrome.

Si tu veux pour te rassurer je peux aussi vérifier ton pc, fait ce qui suit.

Télécharger FRST .
 

Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :

Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.

Envoyer les rapports FRST et ADDITION sur cjoint.com ou sur https://pjjoint.malekal.com/ .

Puis joindre les deux liens générés par https://www.cjoint.com/ ou https://pjjoint.malekal.com/ dans ta réponse.

Bonne nuit.


0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12
 

Merci infiniment bazfile, pour vider cache chrome, impec ! Par contre pour FRST : problème : à partir de ton lien  une fois le point exe enregistré, si je clique dessus en tant qu'administrateur : incompatible avec votre système d'exploitation et même si je  charge un FRST sur un autre site : idem !!!

merci de m'expliquer quand tu pourras . Bien cordialement   . matou83

0
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

@matou83 StatutMembre .

En fonction de ta version de Windows il faut choisir la bonne version de FRST en 32 ou 64 bits, les deux choix sont proposés tu n'as pas dû choisir le bon, aujourd'hui toutes les versions de Windows sont en 64 bits.

0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12 > bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 

Peut-être mais il est annoncé FRST 64 et c'est la version 32 qui est effective .... Je vais chercher encore ...

matou83

0
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782 > matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention  
 

@matou83 StatutMembre .

J'ai essayé et ça fonctionne sans problème, je t'ai mis FRST ici :
 

https://transfert.free.fr/aoL7mb2
 

Si tu n'y arrives pas on en restera là, de toute façon je ne pense pas que ton pc soit infecté, Windows Defender fait souvent beaucoup de bruit pour pas grand-chose.
 

Bonne nuit.

0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12
 

Et finalement windows defender me signale FRST comme virus, comme je n'ai guère envie de le mettre hors ligne ,au moment où j'ai été embêté par de vrais virus   j'abandonne l'idée de passer FRST sur mon ordi ...Qaunt au fait que Skeeyah n'était pas actif, c'est parce que j'ai mis les images après intervention ! Entre 6h57 et 15h et quelque ( heure de la mise en quarantaine ) il était actif !

Ce qui m'intrigue c'est que je testais en fait un disque dur externe et que l'analyse trouve un fichier infecté  sur le disque interne C !!! Analyse de 8h28 mn ! IL a été mis en quarantaine lors de l'analyse . Le type du virus est simplement Skeeyah ( pas AIMTB comme avant !! ET  ce n'est pas le registre de Geneviève qui est affecté comme hier ( enfin le 25 à 00h27 ) mais un fichier que j'ai utilisé quelques heures avant pour transformer des wav ( CD)  en mp3 . Il figure en haut de ce message . Faut-il en déduire que le logiciel Freeac est infecté et que je dois le supprimer ? 

...Ce virus semble avoir en fait migré ??? Qu'en penses-tu ?

matou83

0
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

@matou83 StatutMembre 

Et finalement windows defender me signale FRST comme virus,

Windows Defender dit n'importe quoi , penses-tu réellement qu'en tant que contributeur sécurité je te proposerais un logiciel infecté ?

C'est le Smart Screen qui t'envoie ce genre de message, il fallait simplement lire un peu plus attentivement, c'est un avertissement il ne dit pas que c'est une infection il dit simplement que cela peut peut-être mettre en danger ton pc.

Dans la fenêtre d'avertissement il suffisait de cliquer sur  "informations complémentaires" puis sur "Exécuter quand même" pour que FRST se lance.

De toute façon je te le dit à nouveau ton pc n'a à mon avis rien du tout. 

0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12
 

Bazfile, voici les 2 liens suite à FRST 64 fait ce matin , quand tu auras le temps de t'y plonger, merci d'avance. J'ai supprimé le fichier CD en mp3 , j'en avais un autre: freac.converter .

matou83

https://pjjoint.malekal.com/files.php?id=FRST_20250526_e15d13y13p6k7

https://pjjoint.malekal.com/files.php?id=20250526_m6e15l11o12u10

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

@matou83 StatutMembre

À lire attentivement.


Diagnostic:

Pas d'infection sur ton pc juste un adware.

Tu as pas mal de processus orphelins/obsolètes.

Tu as l'adware Outbyte Driver Updater il a du s'installer à ton insu lors de l'installation d'un logiciel gratuit.

Tu as une stratégie de groupe de restriction logicielle qui est configurée sur ton pc.


ATTENTION.

Si ce n'est pas toi qui a installé Outbyte Driver Updater et si ce n'est pas toi qui a configuré la stratégie de groupe de restriction logicielle fait la correction FRST qui suit.

Si c'est toi qui a installé Outbyte Driver Updater et si c'est toi qui a configuré la stratégie de groupe de restriction logicielle ne fait pas la correction FRST qui suit, dis-moi ce que tu souhaites conserver je modifierais le script de correction FRST en conséquence.


Correction FRST.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Sélectionne et copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [removeTempFiles310718] => cmd /c "del C:\Users\yves\AppData\Local\Temp\310421\uninstall.exe C:\Users\yves\AppData\Local\Temp\310421\smooth.dll C:\Users\yves\AppData\Local\Temp\310421\libgcc.dll C:\Users\yves\AppData\Local\Temp (l'élément de données a 70 caractères en plus). (Pas de fichier) 
HKLM\...\RunOnce: [removeTempFiles158224390] => cmd /c "del C:\Users\yves\AppData\Local\Temp\158217312\uninstall.exe C:\Users\yves\AppData\Local\Temp\158217312\smooth.dll C:\Users\yves\AppData\Local\Temp\158217312\libgcc.dll C:\Users\yves\AppData\L (l'élément de données a 85 caractères en plus). (Pas de fichier) 
HKU\S-1-5-21-4278648649-552154488-1117833469-1391\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\genevieve\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Pas de fichier)
HKLM\...\Print\Monitors\Canon BJ FAX Language Monitor MX920 series: CNCALBL.DLL (Pas de fichier)
HKLM\...\Print\Monitors\Canon BJ Language Monitor MX920 series: CNMLMBL.DLL (Pas de fichier)
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Policies\Google: Restriction 
Task: {fa7c5096-b588-4b38-8545-ae29b841e3b6} - pas de chemin du fichier. 
Task: {536A02AC-3009-42B4-8EDB-C648B2A1CE13} - System32\Tasks\Outbyte\Driver Updater\AttackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /AttackersAlert 
Task: {9E29BD13-62E0-4212-9ABA-CD37D6E9A9FE} - System32\Tasks\Outbyte\Driver Updater\CauseErrors => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /CauseErrors 
Task: {22007845-94EF-4ACC-9624-E880D4B6CD72} - System32\Tasks\Outbyte\Driver Updater\DriverFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /DriverFlaws 
Task: {5704DDC8-5694-4AF4-9FF3-373D3D88F745} - System32\Tasks\Outbyte\Driver Updater\HackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /HackersAlert 
Task: {1AA9E44F-179D-46B7-B222-49CB65C7948C} - System32\Tasks\Outbyte\Driver Updater\NvidiaFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /NvidiaFlaws 
Task: {A98C56FA-3BCD-46E9-AEBB-AE5C3B62042B} - System32\Tasks\Outbyte\Driver Updater\OutdatedDrivers => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /OutdatedDrivers 
Task: {A54FF59C-CA06-4721-937E-0F54D7881296} - System32\Tasks\Outbyte\Driver Updater\PoorPerformance => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  -> C:\Program Files (x86)\Outbyte\Driver Updater\/UseTray /Schedule /PoorPerformance 
Task: {065BC0F2-0A26-488B-9582-08804CE299DB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier 
Task: {0F2888A3-50D1-4ECA-BC15-F545BE15E4E3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier 
Task: {2571FB86-D417-4AE2-A558-6C58C4BAE463} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier 
Task: {2D5285EA-4011-43A8-8234-AF83B1CEE4BC} - \EPSON ET-2870 Series Update {6EFAF785-6B05-4BA1-9A88-6F23694968E7} -> Pas de fichier 
Task: {2DF811BD-EE26-461B-A5A7-81F89145E79F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier 
Task: {5DC4135B-46F7-4AF9-8F91-4833CC412AD5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier 
Task: {6B1701DD-0AE8-4F56-8165-831B753B4E4F} - \Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan -> Pas de fichier 
Task: {85AA711D-84D6-4015-AFEA-0853579B350F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier 
Task: {89C0D2C3-771B-4064-86D8-A63233FA7791} - \SoftwareUpdateTaskMachineCore -> Pas de fichier 
Task: {978554FA-A9CE-4355-AECF-395F8C6D1575} - \EPSON ET-2870 Series Update {012B4F76-FCB6-469D-B2D5-467BFF79F799} -> Pas de fichier 
Task: {98C9C38A-DD5E-4628-B58E-8F8D20207CF9} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier 
Task: {A9183511-FE87-4142-9295-FE16719162F5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier 
Task: {B9D96AC2-3D1A-4A1D-AA02-F54774313076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier 
Task: {C0F6E2AD-1391-4097-9046-6519881356DC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier 
Task: {CE7309C3-AE97-4429-863D-65349C673E86} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier 
Task: {D18ADD92-E9FC-4E00-8B00-A4A9C448A444} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier 
Task: {D5E223B6-7BD0-4985-9BA5-51BDB057C90F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier 
Task: {F5181BE4-81F4-4AF9-984A-BE4889B1AB88} - \CreateChoiceProcessTask -> Pas de fichier 
U3 idsvc; pas de ImagePath
CHR Notifications: Default -> hxxps://www.fetish-up.com
CHR NewTab: Default ->  Not-active:"chrome-extension://hfddoikkmfckfpoidgbophoegodabodl/stubby.html"
CHR HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\yves\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2019-09-30]
CHR HKU\S-1-5-21-4278648649-552154488-1117833469-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
S3 MpKsl8a7d0cdc; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{77E8954C-C8B3-40FC-9239-B02DD6C8F506}\MpKslDrv.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  -> Pas de fichier
ContextMenuHandlers1: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} =>  -> Pas de fichier
ContextMenuHandlers1: [ShellConverter] -> {30A4E07E-068A-4d91-8F05-691283A1336B} =>  -> Pas de fichier
ContextMenuHandlers2: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} =>  -> Pas de fichier
ContextMenuHandlers4: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} =>  -> Pas de fichier
ContextMenuHandlers5: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} =>  -> Pas de fichier
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Pas de fichier
ContextMenuHandlers6: [ALZip] -> {4EB37360-49E8-11D3-95B5-004033382980} =>  -> Pas de fichier
SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
SearchScopes: HKU\S-1-5-21-4278648649-552154488-1117833469-1000 -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = 
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Pas de fichier)
FirewallRules: [{A97D96FA-B793-4408-989A-B7B254DEC792}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe => Pas de fichier
C:\Program Files (x86)\Outbyte
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pjjoint.malekal.com/ .

Puis donne le lien généré par https://www.cjoint.com/ ou https://pjjoint.malekal.com/ dans ta réponse.

0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12
 

Merci beaucoup bazfile, non ,e n'avais pas installé Outbyte Driver Updater , j'ai donc fait ta manip et voici le lien de fixlog.txt . Avais-bien le virus Skeeyah à la fois sur le disque interne C  et sur le disque externe F ? Windows Defender n'a pas rêvé quand même ! Reste à savoir s'il l'a bloqué tout de suite ou bien après quand je l'ai demandé ...

https://pjjoint.malekal.com/files.php?id=20250526_x6s912x6g8

0
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

@matou83 StatutMembre .

Avais-bien le virus Skeeyah à la fois sur le disque interne C  et sur le disque externe F ? Windows Defender n'a pas rêvé quand même !

Si ça peut te rassurer, je traite des pc infectés tous les jours, un pc vraiment infecté c'est autre chose que le tien.

Comme je te l'ai déjà dit Windows Defender n'a détecté qu'un simple adware dans le cache de Google Chrome, rien de bien important ni de bien grave, pour information le cache de Google Chrome a de nouveau été vidé par la correction FRST donc tout est OK.

Le fixlog est OK ton pc est propre, il n'y a rien de plus à faire. 



Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0
matou83 Messages postés 452 Date d'inscription   Statut Membre Dernière intervention   12
 

Merci infiniment bazfile pour ton abnégation à aider un paumé en informatique comme moi ... Sans doute à une autre fois ...

matou83

0
bazfile Messages postés 58558 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 782
 

@+ sur CCM.

0