Problème bycool myapp
Fermé
cartapus
Messages postés
1
Date d'inscription
lundi 29 décembre 2008
Statut
Membre
Dernière intervention
29 décembre 2008
-
29 déc. 2008 à 10:14
tux - 12 mars 2009 à 12:20
tux - 12 mars 2009 à 12:20
9 réponses
Illimi
Messages postés
15
Date d'inscription
mercredi 27 février 2008
Statut
Membre
Dernière intervention
9 septembre 2010
3
13 janv. 2009 à 17:06
13 janv. 2009 à 17:06
Je crois bien qu'il s'agit d'un virus, il a infecté mes clés USB et mon portable. J'ai pu l'éliminer avec KAPSPERSKY antivirus, j'ai PANDA sur une autre machine qui ne le détecte pas encore.
Il est devenu plus vicieux parce que quand tu affiches le répertoire system32, même avec affichage des fichiers cachés, les répertoires bycool / bycool1 n'apparaissent pas! Il faut taper c:\windows\system32\bycool dans la barre d'adresse et supprimer les fichiers contenus dans le repertoire.
S'il est impossible de les supprimer, il faut exécuter msconfig et décocher les fichiers du répertoire bycool dans démarrage.
Après redémarrage de windows, tu refais la manip ci-dessus
Il est devenu plus vicieux parce que quand tu affiches le répertoire system32, même avec affichage des fichiers cachés, les répertoires bycool / bycool1 n'apparaissent pas! Il faut taper c:\windows\system32\bycool dans la barre d'adresse et supprimer les fichiers contenus dans le repertoire.
S'il est impossible de les supprimer, il faut exécuter msconfig et décocher les fichiers du répertoire bycool dans démarrage.
Après redémarrage de windows, tu refais la manip ci-dessus
Hugson
Messages postés
1
Date d'inscription
jeudi 15 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
15 janv. 2009 à 19:32
15 janv. 2009 à 19:32
Une fois de plus merci MoseNG, j'ai suivi à la lettre vos recommendation et je pense pouvoir dormir enfin en paix cette nuit car mon portable ne présente plus de signe de mauvais fonctionnement, je profite aussi pour remercier toute l'équipe de Comment çamarche.
merciiii !
j'avais repéré qu'il y avait un souci avec mes circonflexes ^^ et qu'il y avait des nouveaux process inquiétants sur mon ordi depuis quelques jours... et ESET NOD32 n'a rien détecté ! moi qui pensait que j'étais tranquille à vie avec cet anti-virus :-(
j'avais repéré qu'il y avait un souci avec mes circonflexes ^^ et qu'il y avait des nouveaux process inquiétants sur mon ordi depuis quelques jours... et ESET NOD32 n'a rien détecté ! moi qui pensait que j'étais tranquille à vie avec cet anti-virus :-(
Pour le supprimer, il faut aller dans "Outils / options des dossiers.../ affichage"
et permettre l'affichage des fichiers cachés ET celui des fichiers système.
Pour la suppression, faire ce qui a été dit (désactiver le démarrage de winaccess.., redémarrer ) +
supprimer un dossier "f" ici : "C:\WINDOWS\system32\f" qui semble sauvegarder ce qui a été tapé dans le pc, à diverses daters, depuis l'install du virus...
;-)
AM
et permettre l'affichage des fichiers cachés ET celui des fichiers système.
Pour la suppression, faire ce qui a été dit (désactiver le démarrage de winaccess.., redémarrer ) +
supprimer un dossier "f" ici : "C:\WINDOWS\system32\f" qui semble sauvegarder ce qui a été tapé dans le pc, à diverses daters, depuis l'install du virus...
;-)
AM
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Finalement j'ai réussi à résoudre mon problème il y a quelques semaines mais j'ai complètement oublié que j'avais posé ce problème sur le forum.
Dans l'ensemble ma solution correspond à celles proposées dans les messages précédents.
J'ai eu le virus (j'ai pu constater sur le net que l'impossibilité d'écrire l'accent circonflexe est un symptôme d'un keylogger, en espérant qu'il ne soit pas aussi vicieux comme virus) sur un portable au sein de mon entreprise. Je l'ai supprimé. Mais en connectant une clé je me suis rendu compte que c'était celle-ci qui était infectée à l'origine.
Le portable a de nouveau été contaminé rien qu'en connectant la clé.
Si vous êtes dans le même cas que moi (il doit y en avoir vu que ce virus contamine beaucoup de clé USB), il est nécessaire de désinfecté l'ordinateur et la clé en même temps, sinon la réinfection est automatique même sans enlever la clé.
C'est le problème que j'ai eu, peut être que ça ne concerne pas tout le monde. Pour ceux qui ont eu le virus que sur leur PC, il faut se poser la question de savoir si une clé n'a pas été connectée, il à l'air d'être inconnu pour le moment mais adore les clé USB :)
Donc moi, j'ai tout d'abord lancé le logiciel Ravantivirus, qui permet apparemment de scanner la flash de la clé. C'est le seul outil que j'ai trouvé qui détecte le virus. J'ai essayé un formatage de bas niveau de ma clé, ça n'a pas suffi étant donné que le PC réaffecte automatiquement la clé. Ainsi que plusieurs antivirus, sans succès.
Il faut exécuter en continu Ravantivirus tant que le virus n'est pas désinfecté sur l'ordinateur. On remarque le message "Votre ordinateur est infecté". Etant donné que la réinfection est automatique, ce message s'affiche continuellement.
Ravantivirus toujours exécuté, il faut supprimer les processus concernés (myapp, windo, et winaccess) et ensuite supprimer les dossiers bycool et bycool1. Cela devrait suffire. Mais le plus simple est encore est de lancer Hijackthis qui va détecter et supprimer lui même les processus. Vérifier ensuite que les dossier ne sont plus présents dans C:\windows\system32\bycool.
Ensuite Ravantivirus passe de "Votre ordinateur est infecté" à "Votre ordinateur est sain".
Cela devrait supprimer complètement le virus.
Finalement j'ai réussi à résoudre mon problème il y a quelques semaines mais j'ai complètement oublié que j'avais posé ce problème sur le forum.
Dans l'ensemble ma solution correspond à celles proposées dans les messages précédents.
J'ai eu le virus (j'ai pu constater sur le net que l'impossibilité d'écrire l'accent circonflexe est un symptôme d'un keylogger, en espérant qu'il ne soit pas aussi vicieux comme virus) sur un portable au sein de mon entreprise. Je l'ai supprimé. Mais en connectant une clé je me suis rendu compte que c'était celle-ci qui était infectée à l'origine.
Le portable a de nouveau été contaminé rien qu'en connectant la clé.
Si vous êtes dans le même cas que moi (il doit y en avoir vu que ce virus contamine beaucoup de clé USB), il est nécessaire de désinfecté l'ordinateur et la clé en même temps, sinon la réinfection est automatique même sans enlever la clé.
C'est le problème que j'ai eu, peut être que ça ne concerne pas tout le monde. Pour ceux qui ont eu le virus que sur leur PC, il faut se poser la question de savoir si une clé n'a pas été connectée, il à l'air d'être inconnu pour le moment mais adore les clé USB :)
Donc moi, j'ai tout d'abord lancé le logiciel Ravantivirus, qui permet apparemment de scanner la flash de la clé. C'est le seul outil que j'ai trouvé qui détecte le virus. J'ai essayé un formatage de bas niveau de ma clé, ça n'a pas suffi étant donné que le PC réaffecte automatiquement la clé. Ainsi que plusieurs antivirus, sans succès.
Il faut exécuter en continu Ravantivirus tant que le virus n'est pas désinfecté sur l'ordinateur. On remarque le message "Votre ordinateur est infecté". Etant donné que la réinfection est automatique, ce message s'affiche continuellement.
Ravantivirus toujours exécuté, il faut supprimer les processus concernés (myapp, windo, et winaccess) et ensuite supprimer les dossiers bycool et bycool1. Cela devrait suffire. Mais le plus simple est encore est de lancer Hijackthis qui va détecter et supprimer lui même les processus. Vérifier ensuite que les dossier ne sont plus présents dans C:\windows\system32\bycool.
Ensuite Ravantivirus passe de "Votre ordinateur est infecté" à "Votre ordinateur est sain".
Cela devrait supprimer complètement le virus.
Bonjour,
Encore moi :
sur la clé usb, il y a 2 fichiers cachés qui servent à installer le virus sur tous les pc où la clé est branchée et où le virus n'est pas actif,
autorun.inf (qui lance le programme d'installation du virus dès la clé branchée)
log.exe (fichier d'installation du virus),
une fois les manipulations pour éliminer le virus du pc effectuées :
- redémarrer le pc,
- brancher la clé usb incriminée,
- ne pas accepter que quoi que ce soit se lance automatiquement à partir de la clé
- et l'ouvrir à partir de l'Explorateur
- éliminer ces 2 fichiers (cachés) sur la clé pour résoudre le problème définitivement.
Il se peut que vous ne puissiez "voir" les 2 fichiers d'installation, ce qui ne veut pas dire qu'ils ne sont pas là...
Pour atteindre les fichiers cachés, il faut ouvrir un dossier (n'importe lequel), et dans le menu
- cliquer sur "Outils / Options des dossiers... / onglet Affichage / Fichiers et dossiers cachés / cocher l'option "Afficher les fichiers et dossiers cachés""
- cliquer sur "Outils / Options des dossiers... / onglet Affichage / décocher l'option "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Rétablir ces options quand l'élimination a été effectuée.
Voilà, bonne chance.
Encore moi :
sur la clé usb, il y a 2 fichiers cachés qui servent à installer le virus sur tous les pc où la clé est branchée et où le virus n'est pas actif,
autorun.inf (qui lance le programme d'installation du virus dès la clé branchée)
log.exe (fichier d'installation du virus),
une fois les manipulations pour éliminer le virus du pc effectuées :
- redémarrer le pc,
- brancher la clé usb incriminée,
- ne pas accepter que quoi que ce soit se lance automatiquement à partir de la clé
- et l'ouvrir à partir de l'Explorateur
- éliminer ces 2 fichiers (cachés) sur la clé pour résoudre le problème définitivement.
Il se peut que vous ne puissiez "voir" les 2 fichiers d'installation, ce qui ne veut pas dire qu'ils ne sont pas là...
Pour atteindre les fichiers cachés, il faut ouvrir un dossier (n'importe lequel), et dans le menu
- cliquer sur "Outils / Options des dossiers... / onglet Affichage / Fichiers et dossiers cachés / cocher l'option "Afficher les fichiers et dossiers cachés""
- cliquer sur "Outils / Options des dossiers... / onglet Affichage / décocher l'option "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Rétablir ces options quand l'élimination a été effectuée.
Voilà, bonne chance.
vous pouvez effacer les repertoires bycool et bycool1 a l aide de winrar . il faut d'abord utiliser msconfig pour desactiver les processus myapp.exe, winaccess.exe et windo.exe et redemarrer le pc. winrar contient un explorateur de fichier puissant qui permet de voir tous les dossier invisibles, ainsi vous pouvez effacer les repertoires bycool et bycool1 sans aucun problème.
Bonjour NMB,
Je ne sais pas si tu le sais déjà ou pas, mais ton keylogger est déjà utilisé comme spyware.
Il y a 3 jours, mon PC a été infecté par un spyware (log.exe) qui se transmet par clés USB.
Comment j'ai su que c'est ton code qui est incriminé. Simple! Voici un aperçu tiré de fichier de log écrit sur le dossier %system%\system32\f
portant le nom <nom_user>_<date>.K :
-------------------------------------
Process : myapp.exe
Fenetre : NMB KeyLogger
Date Heure : 27/01/2009 16:46:05
-------------------------------------
dir /A:H c:
(Justement je visualisais les fichiers cachés)
Ce virus crée deux sous dossiers dans system32 appelés bycool et bycool1, ajoute des entrées dans les programmes auto-démarrant.
Il est indétectable pour le moment par Avast et Nod32, et quelques autres antivirus.
Je ne sais pas si tu le sais déjà ou pas, mais ton keylogger est déjà utilisé comme spyware.
Il y a 3 jours, mon PC a été infecté par un spyware (log.exe) qui se transmet par clés USB.
Comment j'ai su que c'est ton code qui est incriminé. Simple! Voici un aperçu tiré de fichier de log écrit sur le dossier %system%\system32\f
portant le nom <nom_user>_<date>.K :
-------------------------------------
Process : myapp.exe
Fenetre : NMB KeyLogger
Date Heure : 27/01/2009 16:46:05
-------------------------------------
dir /A:H c:
(Justement je visualisais les fichiers cachés)
Ce virus crée deux sous dossiers dans system32 appelés bycool et bycool1, ajoute des entrées dans les programmes auto-démarrant.
Il est indétectable pour le moment par Avast et Nod32, et quelques autres antivirus.
15 janv. 2009 à 13:39
15 janv. 2009 à 19:10
Comme les autres ont dit il faut arreter les processus myapp.exe windo.exe et winaccess.exe puis supprimer le contenu des rep bycool et bycool1.
Cependant le rep bycool1 contient contient un fichier caché qui pourrai faire revenir le virus.Il faut donc pour faire propre supprimer les rep bycool et bycool1 via dos.Il n y a pas d incovénient a les supprimer car il ne contiennent rien de bon.
Pour supprimer via dos
1 Demarrer-Executer puis tapez cmd et OK
2 La console dos est ouverte Tapez la commande suivante
rd /s c:\windows\system32\bycool
puis
rd /s c:\windows\system32\bycool1
3 Une confirmation vous sera demandée car cela permet de supprimer des fichiers systemes. Vous pouvez confirmer la suppression car ces rep sont nuisibles pour votre systeme.
Et c 'est fini il ne reste plus qu a les eliminer du demarrage par msconfig-demarrage.
4Toutefois ce virus infecte systematiquement les clés usb donc le votre est probablement infecté.
Avant de faire tout ce que j ai dit précédemment pensez a sauvegarder toutes vos données qui se trouvent dans la clé puis la formater
12 mars 2009 à 12:20
[IMG]http://s53.radikal.ru/i141/0903/77/7e138b73614et.jpg[/IMG]
[IMG]http://s57.radikal.ru/i156/0903/46/32653695a17bt.jpg[/IMG]
[IMG]http://s51.radikal.ru/i132/0903/64/0f6333fd2e54t.jpg[/IMG]