Votre question
Résolu

Win7: Emotet / Artemis tenace

Tags :
  • Windows
  • Malware
  • Emotet
  • Trojan
  • Artemis
Dernière réponse : dans Sécurité et virus
13 Décembre 2017 11:05:00

Bonjour,

Je travaille dans une école et plusieurs PC Win 7 sont signalés infectés. Certains ont été ré-installés en window 10, mais certains autres contiennent des données utilisateur et doivent être nettoyés. Nous avons un McAfee présent, mais les malware ne sont pas détectés dans les répertoires où ils se trouvent (c:\windows pour Artemis et c:\Windows\SysWOW64 pour Emotet).

Nous n'arrivons pas à nettoyer ces postes de manière permanente. Il semble, en premier lieu, que le nettoyage marche, mais le malware revient en partie dans le fichier:

c:\Windows\SysWOW64\logonsystem.exe

qui est lancé comme un service et fait des connexions sur des serveurs C&C externes sur les ports 8080 et 7080.

Nous avons utilisé MalwareByte Anti-Rootkit et Anti-Malware, puis AdwCleaner. Nous ne trouvons pas comment a lieu la réinstallation du malware.

Voici les fichiers de diagnostique de FRST:

FRST.txt

https://up.security-x.fr/file.php?h=Rbbf9ad36a2084b7115...

Addition.txt

https://up.security-x.fr/file.php?h=Rf98177552d2fe14d6d...

Merci pour votre aide bienvenue si vous avez un peu de temps.

Bien cordialement.

Autres pages sur : win7 emotet artemis tenace

13 Décembre 2017 11:58:43

Bonjour ,

Je regardes les rapports et t'indique la suite
m
0
l
13 Décembre 2017 12:51:40

Re_

Est ce que vous avez bien les droits sur ce PC ? , les outils sont puissants et peuvent avoir des
effets inattendus .

Avez vous était suivi ailleurs ?

Citation :
2017-12-01 18:08 - 2017-12-01 18:09 - 000003272 _____ C:\Users\admincdi\Downloads\Fixlog.txt
2017-12-01 18:03 - 2017-12-01 18:08 - 000000551 _____ C:\Users\admincdi\Downloads\Fixlist.txt


Pouvez vous transmettre le fixlog ?
m
0
l
13 Décembre 2017 14:30:59

Hello,

Oui. admincdi est un admin local. Le pc est normalement dans un domaine. Je l'ai rapatrié dans mon bureau et je ne l'ai pas connecté au réseau pour éviter la contagion transversale constatée là où il se trouvait avant (un autre bâtiment de l'école).

Je n'étais pas déjà "suivi". J'ai composé un Fixlist.txt minimum en espérant ne rien démonter de définitif, en me basant sur des exemples. Il est vrai que c'était téméraire.

Fixlog.txt:

https://up.security-x.fr/file.php?h=Rfd9e31ed58338b6cb0...


Fixlist.txt:

https://up.security-x.fr/file.php?h=Re7fa1a849542c93515...
m
0
l
13 Décembre 2017 14:32:34

Le Fixlist que j'ai composé se contentait d'enlever les entrées du Registry services pointant sur les trojans Artemis.
m
0
l
13 Décembre 2017 16:23:55

Re_

Désactive McAfee avant la correction

Correction FRST



  • Copie la totalité du contenu, de Start:: à End:: (clic-droit -> Copier) de ce correctif hébergé ici ->http://textup.fr/235424wR
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST.exe (clic droit et exécuter en tant qu'administrateur)
  • Attends que l'outil indique "Prêt à fonctionner" comme sur l'image
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  • NOTE : L'outil va chercher automatiquement le correctif dans le presse-papier.

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt sur le bureau. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il n'est pas compatible avec un autre système/utilisateur et ne
    doit pas être utilisé même pour des symptômes identiques /!\


    *******************************************

    AdwCleaner - Recherche : /!\ Mode recherche uniquement
    • Télécharge AdwCleaner de Malwarebytes et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
    • Un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(Sx)


  • *******************************************

    Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware, en bas, clique sur Télécharger et enregistre le sur le Bureau.
    • Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8,
      il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
    • mettre à jour le logiciel avant le scan.
    • Lance la détection par Analyser Maintenant
    • A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
    • Le PC va redémarrer
    • Après le redémarrage, ouvres à nouveau MBAM.
    • Clique sur l'onglet Compte-rendu
    • Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
    • Clique sur exporter --> Fichier Texte (TXT)
    • La boîte de dialogue Enregistrer le fichier s'ouvre
    • Donne un nom et enregistre le sur le Bureau
    • Héberge le rapport et poste le lien dans ta prochaine réponse.

      Rapports attendus :
      --> Fixlog.txt
      --> Adwcleaner Cx
      --> Malwarebytes




    m
    0
    l
    14 Décembre 2017 12:51:42

    Bonjour,

    Citation :
    Malwarebyte a signalé un exploit de manière asynchrone dont voici un rapport:


    Apparemment il s'agit d'un bug malwarebytes qui peut être en relation avec McAfee (BHO scriptproxy) et IE :

    https://blogs.windows.com/msedgedev/2017/04/12/disablin...
    https://forums.malwarebytes.com/topic/170206-solved-blo...
    https://www.techwalla.com/articles/what-is-scriptproxy-...

    **********

    Citation :
    ATTENTION: La Restauration système est désactivée
    Erreur: (0) Impossible de créer un point de restauration.

    --> Il faut réactiver la restauration .

    **********

    AdwCleaner - Suppression :

    • Relance AdwCleaner de Malwarebytes
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(C).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(Cx).txt


  • **********

    Comment se comporte le PC ?
    m
    0
    l
    14 Décembre 2017 14:40:27

    Voilà:

    Adwcleaner:
    https://up.security-x.fr/file.php?h=Ra419c608d01d74caae...

    Le PC se comporte bien. La mesure est constituée par les connexions autrefois constatées vers des serveurs C&C sur le port 8080. Ce n'est plus le cas actuellement. Le processus associé à ces connexions à été enlevé par FRST dans le Fixlist que tu m'as transmis (logonsystem.exe).

    Nuos étions déjà passé par un cycle mbar, mbam et adwcleaner au point de rendre le poste sillencieux sur notre mesure pendant un court moment. Sais-tu ce qui a permi la réinfection permi les malware détectés dans les logs ?

    Je te prie d'accepter mes plus vifs remerciements pour ton aide si précieuse. Je te félicite pour ton action exemplaire sur ce forum.

    Bien cordialement.
    m
    0
    l

    Meilleure solution

    14 Décembre 2017 15:32:38

    Re_

    Citation :
    Sais-tu ce qui a permi la réinfection permi les malware détectés dans les logs ?

    Je ne saurais dire exactement , vu que je n'ai pas tout les tenants et les aboutissants de la
    désinfection , mais il semble qu'il était relancé grâce à un service :

    Citation :
    S2 logonsystem; C:\Windows\SysWOW64\logonsystem.exe [99328 2017-12-08] (Styx Germany) [Fichier non signé]


    Citation :
    "HKLM\System\CurrentControlSet\Services\logonsystem" => supprimé(es) avec succès
    logonsystem => service supprimé(es) avec succès


    Après , les Flash player ne sont pas à jour (IE / firefox) , cela peut être la porte d'entrée du malware:
    http://get.adobe.com/fr/flashplayer/about/
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-461/
    https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-413/

    **********

    Si tout est OK , on peut conclure :

    Télécharge Delfix (de Xplode) sur ton bureau.


    • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
      (Sous Vista et ultèrieur faire clic droit -> "Exécuter en tant qu'administrateur")
    • Cochez les cases :
    • Supprimer les outils de désinfection
    • Purger la restauration système

    • Clique sur le bouton "Exécuter"
    • Laisse travailler l'outil.
    • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.


  • Rapport attendu : Delfix.txt


    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution
    (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu
    partage
    15 Décembre 2017 11:24:14

    Bonjour,

    Voilà le Delfix.txt. J'avais enlevé des outils avant à la main (appwiz.cpl).

    https://up.security-x.fr/file.php?h=R81c49f2a6181ad6589...

    Il me reste à nettoyer les quelques autres postes infectés au même moments !

    En comparant leurs FRST, croyez-vous que je pourrais composer un Fixlist adapté ? Je ne pense qu'insérer le nettoyage du fichier/service pointant sur logonsystem.exe dedans.

    Plus généralement, comment commencer à acquérir des connaissances sur la translation des logs FRST en un Fixlist plausible ?

    Le service logonsystem.exe possède des dates plus récentes que le début de l'infection et à mon avis renouvelées. Ceci me laisse à penser qu'un mécanisme en amont et non encore mis en évidence l'installe à plusieurs reprise. Je vais surveiller s'il paraît à nouveau.

    "2017-12-08 10:55 - 2017-12-08 10:55 - 000099328 _____ (Styx Germany) C:\Windows\SysWOW64\logonsystem.exe"


    Bien cordialement votre avec mes plus vifs remerciements renouvelés.
    m
    0
    l
    15 Décembre 2017 11:50:42

    Re_

    Citation :
    En comparant leurs FRST, croyez-vous que je pourrais composer un Fixlist adapté ? Je ne pense qu'insérer le nettoyage du fichier/service pointant sur logonsystem.exe dedans.


    Pas forcément , il peut y avoir d'autres fichiers à supprimer , mais , vous pouvez déjà tester sur un PC
    et mettre les rapports FRST et Addition + le Fixlist pour confirmer .

    Après , comme dit , le plus important est de tenir les programmes à jour , car , le site le plus anodin peut être piégé et profiter de la faille d'un programme (flash , java , etc...).

    Citation :
    Plus généralement, comment commencer à acquérir des connaissances sur la translation des logs FRST en un Fixlist plausible ?


    Pour ma part , je suis autodidacte concernant l'informatique , et un jour , j'ai été dans votre cas , impossible de me débarrasser d'une infection et j'ai connu les forums d'entraide.
    J'ai ensuite suivi une formation ici https://forum.security-x.fr/ pour devenir Helper et aider à mon tour.

    Il y a de temps en temps des sessions ouvertes pour peu d'élève car les formateurs sont tous bénévoles.

    En fonction du niveau de départ , la formation dure de 8 mois à 2 ans voire plus et il faut avoir du temps à consacrer à la formation .

    :) 
    m
    0
    l
    15 Décembre 2017 12:41:35

    ...
    Et bien je vais suivre vos conseils judicieux et reposterais dans ce sujet ou dans un nouveau au besoin mes FRST, Addition et Fixlist pour consultation.

    Pour la formation Security-X, je viens de lire la charte et le thread des messages associés: c'est du sérieux ! Il y a très peu de formations ouvertes et très, très peu d'heureux élus. C'est aussi tout à votre honneur. Je comprends qu'étant bénévole, la formation est rare et prenante. Je dois considérer le temps que je pourrais y mettre.

    Cordialement

    m
    0
    l
    21 Décembre 2017 17:42:49

    Bonjour Misterybean,

    Je me suis fais transmettre les FRST.txt et Addition.txt de deux machines situées dans le bâtiment où l'infection a été constatée au même moment que le premier et avec les même caractéristiques sur le réseau (sortie sur les serveurs C&C et les ports 8080 et 7080).

    HEPIA-WS-8393
    ----------------------
    FRST.txt
    https://up.security-x.fr/file.php?h=R2c91662e48b9398f3a...
    Addition.txt
    https://up.security-x.fr/file.php?h=Rcf8d76182a8ebed4ce...

    LUL66811
    --------------
    FRST.txt
    https://up.security-x.fr/file.php?h=R7d5a38225596d343a9...
    Addition.txt
    https://up.security-x.fr/file.php?h=R8b22978226400f18c5...


    A par les services <xxxxxxxx>.exe ou x=0,...,9 du répertoire C:\Windows, je n'arrive pas à trouver l'exécutable qui prend un nom plus plausible et différent à chaque infection (dans le premier cas c'était .\System32\logonsystem.exe, mais à la soumission à JoeSandbox, les sous-process ont d'autres noms), cet exe qui est aussi à trouver et à enlever. Pour les services et les fichiers correspondants les FRST.txt de mon collègue donnent ceci que je peux mettre dans un Fixlist.txt:

    Pour hepia-ws-8393:
    S2 1039278; %SystemRoot%\19786200.exe [X]
    S2 11098425; %SystemRoot%\18737624.exe [X]
    S2 11545009; %SystemRoot%\26864088.exe [X]
    S2 13779037; %SystemRoot%\23063000.exe [X]
    S2 14168322; %SystemRoot%\26993744.exe [X]
    S2 1422027; %SystemRoot%\15786888.exe [X]
    S2 14413618; %SystemRoot%\35711448.exe [X]
    S2 14682533; %SystemRoot%\47638408.exe [X]
    S2 18552762; %SystemRoot%\21359064.exe [X]
    S2 18695378; %SystemRoot%\31713752.exe [X]
    S2 1914475; %SystemRoot%\17033688.exe [X]
    S2 21222594; %SystemRoot%\23194072.exe [X]
    S2 218089; %SystemRoot%\55634392.exe [X]
    S2 22142828; %SystemRoot%\19589592.exe [X]
    S2 22452849; %SystemRoot%\28174808.exe [X]
    S2 22843366; %SystemRoot%\19982808.exe [X]
    S2 25261819; %SystemRoot%\28371416.exe [X]
    S2 26077345; %SystemRoot%\30663920.exe [X]
    S2 26758180; %SystemRoot%\29682136.exe [X]
    S2 277447; %SystemRoot%\26601944.exe [X]
    S2 2845099; %SystemRoot%\27847128.exe [X]
    S2 3066839; %SystemRoot%\13625816.exe [X]
    S2 34781873; %SystemRoot%\33285912.exe [X]
    S2 37404203; %SystemRoot%\38462472.exe [X]
    S2 44991795; %SystemRoot%\19915688.exe [X]
    S2 47308691; %SystemRoot%\13297768.exe [X]
    S2 55603607; %SystemRoot%\28830168.exe [X]
    S2 6388677; %SystemRoot%\15460824.exe [X]
    S2 6622710; %SystemRoot%\25749976.exe [X]
    S2 693580; %SystemRoot%\13691352.exe [X]
    S2 71920064; %SystemRoot%\13822424.exe [X]
    S2 80079197; %SystemRoot%\15919576.exe [X]
    S2 8251516; %SystemRoot%\16771544.exe [X]
    S2 86411044; %SystemRoot%\15919576.exe [X]
    S2 9306848; %SystemRoot%\19917272.exe [X]

    Pour le PC: LUL66811:
    S2 14211223; %SystemRoot%\26993744.exe [X]
    S2 14621256; %SystemRoot%\14150104.exe [X]
    S2 1745729; %SystemRoot%\20769240.exe [X]
    S2 26131602; %SystemRoot%\30663920.exe [X]
    S2 28700876; %SystemRoot%\17885656.exe [X]
    S2 29520490; %SystemRoot%\16116184.exe [X]
    S2 32223972; %SystemRoot%\15133144.exe [X]
    S2 33361344; %SystemRoot%\20638168.exe [X]
    S2 3495998; %SystemRoot%\13953496.exe [X]
    S2 3660345; %SystemRoot%\13625816.exe [X]
    S2 45034680; %SystemRoot%\19915688.exe [X]
    S2 47787801; %SystemRoot%\22669784.exe [X]
    S2 80121957; %SystemRoot%\15919576.exe [X]
    S2 86453601; %SystemRoot%\15919576.exe [X]
    S2 89356733; %SystemRoot%\28568024.exe [X]

    Mon collègue à mal compris ma demande et a lancé, en plus du scan, un nettoyage FRST avec le fixlist présent dans ce thread. Qui n'est évidemment pas adapté. La liste de fichiers modifiés est trop courte car elle n'est que sur un mois et cela est juste à la limite du début de l'infection.

    Je propose un Fixlist contenant les lignes "S2...%SystemRoot%\xxxxxxxx.exe [X] correspondant à chaque machine. Mais il manque la partie sise dans un exe portant un nom composé de lettre et non de chiffres.

    Bien cordialement
    m
    0
    l
    21 Décembre 2017 20:40:15

    Bonjour,

    Pour HEPIA-WS-8393 , pas bon , il s'agît d'un trojan banker

    Voir ICI : https://forum.malekal.com/viewtopic.php?t=57392#p440194
    Et cette partie pour le EXE : https://forum.malekal.com/viewtopic.php?t=57392#p440194
    Dans le fixlist en plus des <xxxxxxxx>.exe:
    closeprocesses:
    createrestorepoint:
    emptytemp
    S3 TechnicalSvc; C:\techsvc.exe [106233 2017-12-07] () [Fichier non signé]
    2017-12-07 14:23 - 2017-12-07 14:59 - 000106233 _____ C:\techsvc.exe


    Trop d'antivirus : Mcafee / MSE

    ***********************************************************

    Pour LUL66811 , je ne vois rien de flagrant , peut être qu'il a été dégagé .

    Virer les <xxxxxxxx>.exe , et voir s'il sont recréés au démarrage

    Trop d'antivirus : Avast / MSE / traces de Mcafee (utiliser MCPR )

    Tiens moi au courant

    m
    0
    l
    22 Décembre 2017 16:11:43

    Merci.

    Bien vu pour le trojan sur 8393.


    Je compose les Fixlist.txt correspondants et les envoie à mon collègue pour exécution. Le trojan banker qui utilise le nom techsvc.exe peut aussi se trouver dans c:\windows\system32.

    En principe, le McAfee est notre AV pour l'école. Il ne s'installe pas pour les portables qui ne sont pas mis dans notre Domain AD, mais pour les autres et pour les stations, il devrait.

    Bonnes fêtes.
    m
    0
    l
    22 Décembre 2017 16:20:14

    Re_

    Citation :
    techsvc.exe peut aussi se trouver dans c:\windows\system32.


    Effectivement , mais je ne le voyais pas dans le rapport , dans le doute , tu peux mettre
    c:\windows\system32\techsvc.exe dans le fixlist

    PS : bien penser à lancer FRST en administrateur (clic droit)

    Pour l'antivirus , l'essentiel c'est qu'il y en ai qu'un sur le PC , les multiplier ne sert à rien ,
    la preuve ... ;) 

    Bonnes fêtes à toi aussi
    m
    0
    l
    22 Janvier 2018 14:40:46

    Bonjour,

    Je te souhaite une très bonne année 2018 ! En tout cas sans la grippe qui m'a un peu occupé: virus dans le monde virtuel -> monde réel: aïe.

    Il reste quelques postes qui ne peuvent pas être réinstallés et où l'on doit tenter la désinfection. Comme l'infection date de fin novembre, peut-on demander à FRST de montrer des fichiers plus vieux que un mois ? Voici le premier poste:

    FRST.txt
    https://up.security-x.fr/file.php?h=R170499f470f80dfbc8...

    Addition.txt
    https://up.security-x.fr/file.php?h=R9b750d32c3db0c9b2f...

    Il y a en tout cas les services sous le format maintenant habituel:
    S2 1268119647; %SystemRoot%\12118488.exe [X]
    S2 1335749387; %SystemRoot%\9759192.exe [X]
    S2 1343007381; %SystemRoot%\9431512.exe [X]
    S2 995021; %SystemRoot%\27322840.exe [X]

    Mais où est le fichier supplémentaire habituellement dans c:\windows ou dans c:\windows\system32 ? Peut-être:
    S3 akshasp; System32\DRIVERS\akshasp.sys [X]
    S3 aksusb; System32\DRIVERS\aksusb.sys [X]

    Qu'en penses-tu ?


    Avec mes plus vifs remerciements et mes meilleures salutations.
    m
    0
    l
    22 Janvier 2018 15:20:03

    Bonjour,

    Citation :
    peut-on demander à FRST de montrer des fichiers plus vieux que un mois ?


    Il suffit de cocher Fichiers 90 jours dans analyse facultative donc 3 mois.

    Citation :
    S3 akshasp; System32\DRIVERS\akshasp.sys [X]
    S3 aksusb; System32\DRIVERS\aksusb.sys [X]


    Il n'apparait pas dans ton rapport de pilote nuisible , il a peut être était supprimé .
    S3 akshasp; System32\DRIVERS\akshasp.sys : http://www.runscanner.net/lib/akshasp.sys.html
    aksusb; System32\DRIVERS\aksusb.sys : http://www.runscanner.net/lib/aksusb.sys.html

    Tu peux les mettre dans ton fix vu que le pilote vers lequel il pointent n'existe plus = [ X ]

    ***********************************************************

    Par contre , je suppose que tu es courant et que tu ne peux pas y faire grand chose , mais
    Windows XP est complètement obsolète et ouvert à toutes les attaques ? , plus de support
    par Microsoft : https://support.microsoft.com/fr-fr/help/14223/windows-...

    Ensuite , tu as des programmes obsolète :

    Spybot - Search & Destroy --> Obsolète
    QuickTime --> Plus tenu à jour par Apple donc failles de sécurité
    J2SE Runtime Environment 5.0 Update 4 --> Devrait être en update 22 http://www.oracle.com/technetwork/java/javasebusiness/d...
    Mozilla Firefox 49.0.2 (x86 fr) --> Version obsolète .

    :) 
    m
    0
    l
    22 Janvier 2018 15:55:43

    Aïe ! XP sur le réseau, ça fait mal. L'administrateur du site de l'école distant infecté et qui m'aide et m'envoie les FRST, m'a bien dit qu'il y avait des XP. Heureusement, ils sont détachés du réseau maintenant. Il s'agit de pc liés à des appareillages d'analyse divers: spectromètre, séquenceur, etc..., par une interface dédiée avec un logiciel dédié. Evidemment, on ne peut pas mettre à jour l'OS et le logiciel. Ou pas facilement. Je pense que je ne vais pas trop t'ennuyer à chercher les éventuelles traces, alors qu'il y a tant de failles que l'on ne peut pas patcher, non ?
    m
    0
    l
    il y a 8 minutes

    RE_

    Emsisoft Anti-Malware --> Risque de conflit avec McAfee

    Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin --> Très très obsolète , une porte ouverte aux attaques : http://get.adobe.com/fr/flashplayer/about/

    Java 7 Update 17 --> Idem flash

    Mozilla Firefox 36.0.4 (x86 en-US) --> Version ancienne , à désinstaller car ne sert pas.


    **************************************************************************

    Pour le fix , pas de pilote nuisible . Reste comme à chaque fois : (un scan 3 mois serait pet être utile ici)
    Citation :
    S2 14620554; %SystemRoot%\14150104.exe [X]
    S2 1744278; %SystemRoot%\20769240.exe [X]
    S2 3495296; %SystemRoot%\13953496.exe [X]
    S2 3659799; %SystemRoot%\13625816.exe [X]
    S2 89262180; %SystemRoot%\28568024.exe [X]


    Pour en être sur , il faut relancer un scan FRST pour vérifier qu'ils ne reviennent pas après le fix

    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS