Message erreur AUTOLT ERROR

mikamiteru Messages postés 60 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
depuis quelque jours j'ai le message derreur suivant
AUTOLT ERROR
line -1:
error:unable to execute the external program
aprés un truc on chinois ou je sais pas quoi comme dans limage suivante
https://www.cjoint.com/?dxuA0AoXhq
merci de me repondre rapidement svp
Configuration: Windows XP
Firefox 2.0.0.20

23 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    remplace ton firefox par la version 3!

    puis

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. mikamiteru Messages postés 60 Statut Membre 3
     
    j'ai fai ce que tu ma dit et jai eu c 2 rapports

    RAPPORT 01
    Logfile of random's system information tool 1.05 (written by random/random)
    Run by ali at 2009-03-21 21:05:29
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 140 MB (1%) free of 20 GB
    Total RAM: 383 MB (27% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:05:33, on 21/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\FixCamera.exe
    C:\WINDOWS\tsnpstd3.exe
    C:\WINDOWS\vsnpstd3.exe
    C:\Windows\System32\bycool1\windo.exe
    C:\Windows\System32\bycool\winacces.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\SpeedFan\speedfan.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\ali\Mes documents\Downloads\Compressed\WLM.Lite.8.5.r7\WLM Lite 8.5.exe
    C:\WINDOWS\System32\WScript.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\ali\Mes documents\Downloads\Programs\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\ali.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
    O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
    O4 - HKLM\..\Run: [EPSON Stylus C79 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGP.EXE /FU "C:\WINDOWS\TEMP\E_S12E.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [DRIVESYS1] C:\Windows\System32\bycool1\windo.exe
    O4 - HKLM\..\Run: [DRIVESYS] C:\Windows\System32\bycool\winacces.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
    O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\ADOBE\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" -"http://www.habbo.fr/client?wide=false"
    O4 - HKLM\..\Policies\Explorer\Run: [UNICORNI-C74DB5] .vbe
    O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O17 - HKLM\System\CCS\Services\Tcpip\..\{44A44BD1-F93B-4E4C-9144-9B324812F3A6}: NameServer = 208.67.222.222 193.55.10.102
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok tu es gavé!

    branche tes supports externes (clés usb ...) car elles sont touchées et si tu les a mis dans d'autre pc ils sont infectés aussi!

    analyse ces deux fichiers sur virus total et colle les rapports https://www.virustotal.com/gui/

    C:\Windows\System32\bycool1\windo.exe
    C:\Windows\System32\bycool\winacces.exe
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    je me mets ceci de coté:

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "DRIVESYS1"=C:\Windows\System32\bycool1\windo.exe [2008-08-13 1393777]
    "DRIVESYS"=C:\Windows\System32\bycool\winacces.exe [2008-08-13 1133622]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "UNICORNI-C74DB5"=C:\WINDOWS\system32\.vbe [2009-02-24 10000]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "kamsoft"=C:\WINDOWS\system32\ckvo.exe [2008-10-30 105096]
    "cdoosoft"=C:\WINDOWS\system32\olhrwef.exe [2009-03-18 110053]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ec5a2af-08e3-11de-b6e8-00e020a0134f}]
    shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
    shell\Ouvrir\command - G:\log.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e5ea56e-1154-11de-b6f1-00e020a0134f}]
    shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
    shell\Ouvrir\command - G:\log.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{549c0933-df4b-11dd-b6bf-00e020a0134f}]
    shell\AutoRun\command - G:\autorun.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cd3417c-e2f7-11dd-b6c0-000000000000}]
    shell\AutoRun\command - wscript.exe .\.vbs
    shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b67fb434-e96d-11dd-b6c3-00e020a0134f}]
    shell\AutoRun\command - wscript.exe .\.vbs
    shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8a-df31-11dd-87a8-806d6172696f}]
    shell\AutoRun\command - C:\xih9.cmd
    shell\explore\command - C:\xih9.cmd
    shell\open\command - C:\xih9.cmd

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8b-df31-11dd-87a8-806d6172696f}]
    shell\AutoRun\command - D:\xih9.cmd
    shell\explore\command - D:\xih9.cmd
    shell\open\command - D:\xih9.cmd

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7f373f8-fdf3-11dd-b6d6-00e020a0134f}]
    shell\AutoRun\command - wscript.exe .\.vbs
    shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc3-f86f-11dd-b6d5-00e020a0134f}]
    shell\AutoRun\command - wscript.exe .\.vbs
    shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc4-f86f-11dd-b6d5-000000000000}]
    shell\AutoRun\command - wscript.exe .\.vbs
    shell\open\command - wscript.exe .\.vbs

    2009-03-18 20:58:02 ----RSH---- C:\q0dhfjf.exe
    2009-03-18 20:52:02 ----RSH---- C:\xih9.cmd
    2009-03-18 20:52:02 ----RSH---- C:\uxkl0apt.bat
    2009-03-18 20:48:50 ----SHD---- C:\FOUND.000
    C:\qxty9be.cmd
    2009-03-04 18:40:40 ----SHD---- C:\WINDOWS\system32\f
    2009-03-04 18:40:40 ----SHD---- C:\WINDOWS\system32\bycool
    2009-03-04 18:40:38 ----SHD---- C:\WINDOWS\system32\bycool1
    2009-03-18 20:57:36 ----RSH---- C:\WINDOWS\system32\nmdfgds1.dll
    2009-03-18 20:57:34 ----RSH---- C:\WINDOWS\system32\olhrwef.exe
    2009-03-18 20:51:36 ----RSH---- C:\WINDOWS\system32\ckvo0.dll
    2009-03-18 20:51:36 ----N---- C:\WINDOWS\system32\nmdfgds0.dll
    S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\ali\LOCALS~1\Temp\mc22F8.tmp []
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mikamiteru Messages postés 60 Statut Membre 3
     
    scan du C:\Windows\System32\bycool1\windo.exe

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.101 2009.03.17 Trojan-Dropper.Agent!IK
    AhnLab-V3 5.0.0.2 2009.03.17 -
    AntiVir 7.9.0.116 2009.03.17 TR/Autoit.XV
    Authentium 5.1.0.4 2009.03.17 -
    Avast 4.8.1335.0 2009.03.17 Win32:AutoIt-EV
    AVG 8.0.0.237 2009.03.17 Worm/Autoit.MPG
    BitDefender 7.2 2009.03.17 Worm.Generic.44690
    CAT-QuickHeal 10.00 2009.03.17 Trojan.Agent.IRC
    ClamAV 0.94.1 2009.03.17 Trojan.Autoit-63
    Comodo 1062 2009.03.17 Unclassified Malware
    DrWeb 4.44.0.09170 2009.03.17 -
    eSafe 7.0.17.0 2009.03.17 Suspicious File
    eTrust-Vet 31.6.6388 2009.03.09 -
    F-Prot 4.4.4.56 2009.03.16 -
    F-Secure 8.0.14470.0 2009.03.17 Trojan-Dropper.Win32.Agent.afpc
    Fortinet 3.117.0.0 2009.03.17 W32/AutoIt.JO!worm
    GData 19 2009.03.17 Worm.Generic.44690
    Ikarus T3.1.1.45.0 2009.03.17 Trojan-Dropper.Agent
    K7AntiVirus 7.10.673 2009.03.16 Worm.Win32.AutoIt
    Kaspersky 7.0.0.125 2009.03.17 Worm.Win32.AutoIt.jo
    McAfee 5555 2009.03.16 Generic PWS.ap
    McAfee+Artemis 5555 2009.03.16 Generic PWS.ap
    McAfee-GW-Edition 6.7.6 2009.03.17 Trojan.Autoit.XV
    Microsoft 1.4405 2009.03.17 -
    NOD32 3942 2009.03.17 Win32/AutoRun.Autoit.X
    Norman 6.00.06 2009.03.17 -
    nProtect 2009.1.8.0 2009.03.17 Worm/W32.AutoIt.1393777
    Panda 10.0.0.10 2009.03.16 Trj/Autoit.AQ
    PCTools 4.4.2.0 2009.03.17 -
    Prevx1 V2 2009.03.17 -
    Rising 21.21.12.00 2009.03.17 -
    Sophos 4.39.0 2009.03.17 W32/Autorun-SR
    Sunbelt 3.2.1858.2 2009.03.17 Worm.Win32.AutoIt.jo
    Symantec 1.4.4.12 2009.03.17 W32.Harakit
    TheHacker 6.3.3.0.283 2009.03.16 -
    TrendMicro 8.700.0.1004 2009.03.17 WORM_AUTORUN.DKI
    VBA32 3.12.10.1 2009.03.16 Worm.Win32.AutoIt.jo
    ViRobot 2009.3.17.1652 2009.03.17 Worm.Win32.AutoIt.536576
    VirusBuster 4.6.5.0 2009.03.16 -
    Information additionnelle
    File size: 1393777 bytes
    MD5...: 5e13e8c59937866a41c533ed47ab087b
    SHA1..: 8980158a7a0419eb767770e14eb30c7b9a374342
    SHA256: 4f07ba3ea6095fc4dc01e4ab41fb3f543d227ba74079d2dbc87437ee168cb618
    SHA512: e9bd038c241c23000f8606cdf3c9c913f8cf038944a67cbf0ab93626c6b5632f
    8bf490c40051a9c23a9f933947e5061bfdc52b0a527cfa176253890862a9f5aa
    ssdeep: 24576:muGShxmS7J63cCEpshK9pDDk+ZGC4BXj89NTiRDyeu1WL/BF74:2Shxt7c
    3c8qNq149NUKA/E

    PEiD..: -
    TrID..: File type identification
    UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x98440
    timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x5f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x60000 0x39000 0x38600 7.93 646cfca0d452a6c4ea2be9f4c82162fa
    .rsrc 0x99000 0x7000 0x6600 2.65 02466e07a2059fed50a9b91fd9f6ba58

    ( 13 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
    > ADVAPI32.dll: RegCloseKey
    > COMCTL32.dll: ImageList_Create
    > comdlg32.dll: GetSaveFileNameW
    > GDI32.dll: LineTo
    > MPR.dll: WNetUseConnectionW
    > ole32.dll: CoInitialize
    > OLEAUT32.dll: -
    > SHELL32.dll: DragFinish
    > USER32.dll: GetDC
    > VERSION.dll: VerQueryValueW
    > WINMM.dll: timeGetTime
    > WSOCK32.dll: -

    ( 0 exports )

    packers (Kaspersky): PE_Patch.UPX, UPX
    packers (F-Prot): UPX

    scan du C:\Windows\System32\bycool\winacces.exe

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.101 2009.02.27 Trojan-Dropper.Delf!IK
    AhnLab-V3 5.0.0.2 2009.02.27 -
    AntiVir 7.9.0.98 2009.02.27 TR/Drop.Agent.afpc
    Authentium 5.1.0.4 2009.02.27 -
    Avast 4.8.1335.0 2009.02.26 Win32:Trojan-gen {Other}
    AVG 8.0.0.237 2009.02.27 Worm/Autoit.OQP
    BitDefender 7.2 2009.02.27 -
    CAT-QuickHeal 10.00 2009.02.27 -
    ClamAV 0.94.1 2009.02.27 Trojan.Autoit-63
    Comodo 986 2009.02.20 -
    DrWeb 4.44.0.09170 2009.02.27 -
    eSafe 7.0.17.0 2009.02.26 Suspicious File
    eTrust-Vet 31.6.6376 2009.02.27 Win32/Vxidl.EKF
    F-Prot 4.4.4.56 2009.02.26 -
    F-Secure 8.0.14470.0 2009.02.27 Trojan-Dropper.Win32.Agent.afpc
    Fortinet 3.117.0.0 2009.02.27 W32/Agent.AFPC!tr
    GData 19 2009.02.27 Win32:Trojan-gen {Other}
    Ikarus T3.1.1.45.0 2009.02.27 Trojan-Dropper.Delf
    K7AntiVirus 7.10.648 2009.02.26 Trojan-Dropper.Win32.Autoit
    Kaspersky 7.0.0.125 2009.02.27 Trojan-Dropper.Win32.Agent.afpc
    McAfee 5537 2009.02.26 Generic PWS.ap
    McAfee+Artemis 5537 2009.02.26 Generic PWS.ap
    Microsoft 1.4306 2009.02.27 TrojanDropper:AutoIt/Runner.A
    NOD32 3894 2009.02.27 Win32/Spy.Agent.NLJ
    Norman 6.00.06 2009.02.27 -
    nProtect 2009.1.8.0 2009.02.27 -
    Panda 10.0.0.10 2009.02.26 Trj/MultiDropper.ROY
    PCTools 4.4.2.0 2009.02.27 -
    Prevx1 V2 2009.02.27 Medium Risk Malware
    Rising 21.18.42.00 2009.02.27 -
    SecureWeb-Gateway 6.7.6 2009.02.27 Trojan.Drop.Agent.afpc
    Sophos 4.39.0 2009.02.27 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.02.26 Trojan-Spy.Win32.Delf.fel
    Symantec 10 2009.02.27 Infostealer
    TheHacker 6.3.2.5.267 2009.02.27 -
    TrendMicro 8.700.0.1004 2009.02.27 -
    VBA32 3.12.10.1 2009.02.26 -
    ViRobot 2009.2.27.1627 2009.02.27 -
    VirusBuster 4.5.11.0 2009.02.26 -
    Information additionnelle
    File size: 1133622 bytes
    MD5...: 7a06dff9189a0cbb23b46afed14cbc74
    SHA1..: 9aee5440c46ef20ef8ad20c7e8a6f54bffb80395
    SHA256: 0388d16dc56e5dd2091deb93ca876fb8bf06051a81122352910f117e7191ef1e
    SHA512: 99a6d847568c15fa51500adc99f406454019640e12b71408ef5756c90b16f7f8
    4ae81bf27302862e07c1e783b633dc395355de3849321108efd0bafaf06a8ac7
    ssdeep: 24576:KPatCg7EPzFokV3Mpt7K5YOyyc3QwPIC5aZxSdgJEIYaQ08F+5mUbRVwX8
    :htV7EP5VNYSc+1RYaQ0Hmke8

    PEiD..: -
    TrID..: File type identification
    UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x98ca0
    timedatestamp.....: 0x4850e379 (Thu Jun 12 08:51:05 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x60000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x61000 0x38000 0x38000 7.93 203f39ca3a4df8ddeaf319b4b3a70c07
    .rsrc 0x99000 0x7000 0x6a00 2.69 2d90f59613795ca42d2cc590ff127cd0

    ( 13 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
    > ADVAPI32.dll: RegCloseKey
    > COMCTL32.dll: ImageList_Create
    > comdlg32.dll: GetSaveFileNameW
    > GDI32.dll: LineTo
    > MPR.dll: WNetUseConnectionW
    > ole32.dll: CoInitialize
    > OLEAUT32.dll: -
    > SHELL32.dll: DragFinish
    > USER32.dll: GetDC
    > VERSION.dll: VerQueryValueW
    > WINMM.dll: timeGetTime
    > WSOCK32.dll: -

    ( 0 exports )

    CWSandbox info: http://research.sunbelt-software.com/...
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E8E176FA364343B14CF011161900EE00A18552EE
    packers (F-Prot): UPX
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as branché tous tes disques externes?
    0
  8. mikamiteru Messages postés 60 Statut Membre 3
     
    j'ai pas de disques externe !!!
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    et des gens ont mis des clés usb dans ton pc???
    0
  10. Utilisateur anonyme
     
    Bonsoir ,

    Juste pour suivre merci

    ps : merci jérome ;)
    0
  11. mikamiteru Messages postés 60 Statut Membre 3
     
    oui mais je les ouvre jamais ou je les format avant ou alors je copie les trucs directement
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    fais le message 10 :

    rq: pour tes clés, le formatage ne suffit pas forcement pour preuve ...
    0
  13. mikamiteru Messages postés 60 Statut Membre 3
     
    alors je fais comment pour ce message enervant !!!!!!! ^^
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu fais le message 10
    0
  15. mikamiteru Messages postés 60 Statut Membre 3
     
    ok merci pour tous ^^
    0
  16. mikamiteru Messages postés 60 Statut Membre 3
     
    pour le rapport je le posteré demain ++ et encore merci ^^
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    fais le ce soir svp

    cela prends peu de temps

    car demain il y aura un script a faire et je sais pas si j'aurai le temps demain

    sinon tu attendras ...

    merci
    0
  18. mikamiteru Messages postés 60 Statut Membre 3
     
    j'ai télécharger dirlook jia cocher les 2 option mais quand jappuis sur Dirlook il se passe rien c normal?
    0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faut que tu mette ce texte (les 3 lignes ) dedans (dans le rectangle blanc) puis tu appuie sur dirlook

    C:\WINDOWS\system32\f
    C:\WINDOWS\system32\bycool
    C:\WINDOWS\system32\bycool1
    0
  20. mikamiteru Messages postés 60 Statut Membre 3
     
    ok voila le rapport

    DirLook.exe v2.0 by jpshortstuff
    Log created at 21:53 on 21/03/2009
    ==================================[b]
    Contents of "C:\WINDOWS\system32\f"
    [/b]
    [b][color=blue]---FOLDERS---[/b][/color]

    [b]d[/b] (Created on 04/03/2009 at 17:40) d-----

    [b][color=blue]---FILES---[/b][/color]

    (none found)

    ==================================[b]
    Contents of "C:\WINDOWS\system32\bycool"
    [/b]
    [b][color=blue]---FOLDERS---[/b][/color]

    (none found)

    [b][color=blue]---FILES---[/b][/color]

    [b]compilateur_auto.exe[/b] (685646 bytes - created on 13/08/2008 at 10:18, modified on 08/03/2008 at 15:07) --a---
    [b]my.dll[/b] (144384 bytes - created on 13/08/2008 at 10:18, modified on 02/03/2008 at 23:35) --a---
    [b]myapp.exe[/b] (161792 bytes - created on 13/08/2008 at 10:18, modified on 04/03/2008 at 15:50) --a---
    [b]winacces.exe[/b] (1133622 bytes - created on 04/03/2009 at 17:40, modified on 13/08/2008 at 10:54) --a---

    ==================================[b]
    Contents of "C:\WINDOWS\system32\bycool1"
    [/b]
    [b][color=blue]---FOLDERS---[/b][/color]

    (none found)

    [b][color=blue]---FILES---[/b][/color]

    [b]log.exe[/b] (1133622 bytes - created on 13/08/2008 at 10:57, modified on 13/08/2008 at 10:54) --a---
    [b]windo.exe[/b] (1393777 bytes - created on 04/03/2009 at 17:40, modified on 13/08/2008 at 11:58) -rahs-

    ==================================
    [b][color=blue]=EOF=[/b][/color]

    merci pour ta patiente ^^
    0
  21. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver ::
    mchInjDrv
    File::
    C:\Windows\System32\bycool\winacces.exe
    C:\WINDOWS\system32\.vbe
    C:\Windows\System32\bycool1\windo.exe
    C:\WINDOWS\system32\olhrwef.exe
    G:\log.exe
    G:\autorun.exe
    C:\xih9.cmd
    D:\xih9.cmd
    C:\q0dhfjf.exe
    C:\xih9.cmd
    C:\uxkl0apt.bat
    C:\FOUND.000
    C:\qxty9be.cmd
    C:\WINDOWS\system32\f
    C:\WINDOWS\system32\bycool
    C:\WINDOWS\system32\bycool1
    C:\WINDOWS\system32\nmdfgds1.dll
    C:\WINDOWS\system32\olhrwef.exe
    C:\WINDOWS\system32\ckvo0.dll
    C:\WINDOWS\system32\nmdfgds0.dll
    C:\WINDOWS\system32\ckvo.exe
    C:\DOCUME~1\ali\LOCALS~1\Temp\mc22F8.tmp
    Registry::
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio­n\Run]
    "DRIVESYS1"=-
    "DRIVESYS"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "UNICORNI-C74DB5"= -
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "kamsoft"=-
    "cdoosoft"=-
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ec5a2af-08e3-11de-b6e8-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e5ea56e-1154-11de-b6f1-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{549c0933-df4b-11dd-b6bf-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cd3417c-e2f7-11dd-b6c0-000000000000}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b67fb434-e96d-11dd-b6c3-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8a-df31-11dd-87a8-806d6172696f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc48ad8b-df31-11dd-87a8-806d6172696f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7f373f8-fdf3-11dd-b6d6-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc3-f86f-11dd-b6d5-00e020a0134f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff9d0cc4-f86f-11dd-b6d5-000000000000}]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    _______________________

    mets a jour adobe reader avec la version 9 puis vire ta version d'adobe ancienne la 7

    https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

    _______________________

    Mettre a jour java:
    https://javara.fr.malavida.com/

    Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
    Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    Double-clique sur le répertoire JavaRa obtenu.
    Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    Clique sur Search For Updates.
    Sélectionne Update Using jucheck.exe puis clique sur Search.
    Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
    Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
    Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
    Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
    (c:\JavaRa.log)
    Ferme l'application.

    si cela ne fonctionne pas

    https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

    tu peux désinstaller les vieilles versions.
    _______________________

    mets a jour internet explorer avec la version 8
    https://support.microsoft.com/fr-fr/allproducts

    http://download.microsoft.com/...
    _______________________

    ensuite fais le message que je t'ai mis en privé

    merci
    0
  • 1
  • 2