Virus AUTOLT

Résolu
ELISHA -  
 Utilisateur anonyme -
Bonjour,
j'ai une fenetre Autolt Error Line -1 Error: Unable to execute the external program qui s'affiche sur mon écran et qui revient chaque fois qu'on la ferme. j'ai windows xp pack 3.
aidez moi à résoudre définitivement ce problème.
Configuration: Windows XP
Safari 530.17

11 réponses

  1. Utilisateur anonyme
     
    ! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

    • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    • Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

    • Le pc va redémarrer automatiquement ...

    ▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

    --> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
    1
    1. elisha
       
      voici le rapport de l'opération,mais je constate que après cette opération la fenêtre ne s'est pas encore affichée. Est ce à dire qu'elle est partie définitivement?

      ############################## | FindyKill V6.005 |

      # User : Administrateur (Administrateurs) # EDITION_CLASSIC
      # Update on 11/07/09 by Chiquitine29 & C_XX
      # Start at: 12:19:40 | 11/07/2009
      # Website : http://pagesperso-orange.fr/NosTools/index.html

      # Intel(R) Pentium(R) 4 CPU 2.60GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 7.0.5730.11
      # Windows Firewall Status : Enabled
      # AV : avast! antivirus 4.8.1169 [VPS 080329-0] 4.8.1169 [ Enabled | (!) Outdated ]

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 18,63 Go (13 Go free) # FAT32
      # D:\ # Disque CD-ROM

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\inetsrv\inetinfo.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE

      ################## | Fichiers # Dossiers infectieux |

      Supprimé ! "C:\WINDOWS\system32\bycool"
      Supprimé ! "C:\WINDOWS\system32\f"

      ################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |

      Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ocznobvj.tmp\cijc3mJIqz\FindyKill.exe

      ################## | All Drives ... |

      ################## | Autres ... |


      ################## | Registre # Clés Run infectieuses |

      Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "DRIVESYS"
      # HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
      # HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !

      ################## | Registre # Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\{baa9a757-689b-11de-afcd-00142237206d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{baa9a758-689b-11de-afcd-00142237206d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{baa9a759-689b-11de-afcd-00142237206d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{baa9a75a-689b-11de-afcd-00142237206d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{bd1709ff-689e-11de-afce-00142237206d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{bd170a00-689e-11de-afce-00142237206d}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [?|?|?] - C:\PAGEFILE.SYS
      [28/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
      [13/04/2008 11:31|-rahs----|252240] - C:\ntldr
      [13/04/2008 09:43|-rahs----|47564] - C:\NTDETECT.COM
      [02/07/2009 10:58|---hs----|212] - C:\boot.ini
      [02/07/2009 11:04|--a------|0] - C:\CONFIG.SYS
      [02/07/2009 11:04|--a------|0] - C:\AUTOEXEC.BAT
      [02/07/2009 11:04|-rahs----|0] - C:\IO.SYS
      [02/07/2009 11:04|-rahs----|0] - C:\MSDOS.SYS
      [02/07/2009 11:29|--ah-----|244] - C:\sqmnoopt00.sqm
      [02/07/2009 11:29|--ah-----|268] - C:\sqmdata00.sqm
      [02/07/2009 11:41|--ah-----|244] - C:\sqmnoopt01.sqm
      [02/07/2009 11:41|--ah-----|268] - C:\sqmdata01.sqm
      [02/07/2009 11:54|--ah-----|244] - C:\sqmnoopt02.sqm
      [02/07/2009 11:54|--ah-----|268] - C:\sqmdata02.sqm
      [02/07/2009 11:56|--ah-----|244] - C:\sqmnoopt03.sqm
      [02/07/2009 11:56|--ah-----|268] - C:\sqmdata03.sqm
      [11/07/2009 12:28|--a------|4135] - C:\FindyKill.txt

      ################## | Vaccination |

      # C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

      ################## | Etat / Services / Informations |

      # Mode sans echec : OK


      # Affichage des fichiers cachés : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

      ################## | PEH ... |


      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # FindyKill V6.005 ! |
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt tu n'as que cela qui s'affiche?

    scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

    ______________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. elisha
       
      slt! merci pour le coup de main.
      voici les deux rapports que j'ai eu:
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Administrateur at 2009-07-10 23:50:29
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 13 GB (70%) free of 19 GB
      Total RAM: 254 MB (30% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 23:52:17, on 10/07/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.20661)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\inetsrv\inetinfo.exe
      C:\Windows\System32\bycool\winacces.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\Windows\System32\bycool\myapp.exe
      C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\Program Files\Safari\Safari.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\22da7hr8.tmp\RSIT.exe
      C:\Program Files\trend micro\Administrateur.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://esimo.c.la/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows XP Edition Classic Plus
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
      O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
      O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\YTSingleInstance.dll
      O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [DRIVESYS] C:\Windows\System32\bycool\winacces.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      O4 - HKCU\..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
      O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1A1C7520-D7A1-427D-B7CC-D345C0EFD8DC}: NameServer = 212.31.224.2,212.31.224.3
      O17 - HKLM\System\CS1\Services\Tcpip\..\{1A1C7520-D7A1-427D-B7CC-D345C0EFD8DC}: NameServer = 212.31.224.2,212.31.224.3
      O17 - HKLM\System\CS2\Services\Tcpip\..\{1A1C7520-D7A1-427D-B7CC-D345C0EFD8DC}: NameServer = 212.31.224.2,212.31.224.3
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
      0
  3. Utilisateur anonyme
     
    Salut Elisha ,

    j vais prendre la suite , effectivement tu es infecté .

    Ton infection se transmet par les supports amovibles , pour etre clair toutes tes clé usb sont infectées .

    ▶ Télécharge FindyKill sur ton bureau :

    http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    • Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    • Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. elisha
       
      Slt Chiquitine29! merci de prendre la relève mais je n'arrive pas à acceder à http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe ». est ce qu'il y a une autre voie?
      a +
      0
  4. Utilisateur anonyme
     
    réessai et dis moi car il a été indisponible 5 minute .. il est dispo maintenant
    0
    1. elisha
       
      J'ai essayé plusieurs fois, c'est pareil, mais je continu.
      a +
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    prend le ici : http://www.cijoint.fr/cj200907/cijc3mJIqz.zip par contre il est zippé
    0
    1. elisha
       
      J'ai pu le télécharger voici le rapport

      ############################## | FindyKill V6.005 |

      # User : Administrateur (Administrateurs) # EDITION_CLASSIC
      # Update on 11/07/09 by Chiquitine29 & C_XX
      # Start at: 23:36:39 | 11/07/2009
      # Website : http://pagesperso-orange.fr/NosTools/index.html

      # Intel(R) Pentium(R) 4 CPU 2.60GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 7.0.5730.11
      # Windows Firewall Status : Enabled
      # AV : avast! antivirus 4.8.1169 [VPS 080329-0] 4.8.1169 [ Enabled | (!) Outdated ]

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 18,63 Go (13,02 Go free) # FAT32
      # D:\ # Disque CD-ROM

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Windows\System32\bycool\winacces.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\inetsrv\inetinfo.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\Windows\System32\bycool\myapp.exe
      C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Registre Startup |

      HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      HKCU_Main: "Search Page"="http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/"
      HKCU_Main: "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
      HKCU_Main: "Window Title"="Windows XP Edition Classic Plus"
      HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      HKLM_logon: "DefaultUserName"="Administrateur"
      HKLM_logon: "AltDefaultUserName"="Administrateur"
      HKLM_logon: "LegalNoticeCaption"=""
      HKLM_logon: "LegalNoticeText"=""
      HKLM_Run: Apoint=C:\Program Files\Apoint2K\Apoint.exe
      HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      HKLM_Run: DRIVESYS=C:\Windows\System32\bycool\winacces.exe
      HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
      HKCU_Run: Skype="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      HKCU_Run: swg="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      HKCU_Run: Messenger (Yahoo!)="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      HKCU_Run: Search Protection=C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe

      ################## | Fichiers # Dossiers infectieux |

      Présent ! "C:\WINDOWS\system32\bycool"
      Présent ! "C:\WINDOWS\system32\f"

      ################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |

      Présent ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ocznobvj.tmp\cijc3mJIqz\FindyKill.exe

      ################## | All Drives ... |


      ################## | Registre # Clés Run infectieuses |

      Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "DRIVESYS"
      Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
      Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )

      ################## | Registre # Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{baa9a757-689b-11de-afcd-00142237206d}
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
      Shell\Ouvrir\command =E:\log.exe

      HKCU\..\..\Explorer\MountPoints2\{baa9a758-689b-11de-afcd-00142237206d}
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
      Shell\Ouvrir\command =G:\log.exe

      HKCU\..\..\Explorer\MountPoints2\{baa9a759-689b-11de-afcd-00142237206d}
      Shell\AutoRun\command =H:\d9c.bat
      Shell\open\Command =H:\d9c.bat

      HKCU\..\..\Explorer\MountPoints2\{baa9a75a-689b-11de-afcd-00142237206d}
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
      Shell\Ouvrir\command =E:\log.exe

      HKCU\..\..\Explorer\MountPoints2\{bd1709ff-689e-11de-afce-00142237206d}
      Shell\AutoRun\command =F:\d9c.bat
      Shell\open\Command =F:\d9c.bat

      HKCU\..\..\Explorer\MountPoints2\{bd170a00-689e-11de-afce-00142237206d}
      Shell\AutoRun\command =E:\d9c.bat
      Shell\open\Command =E:\d9c.bat

      ################## | Etat / Services / Informations |

      # Affichage des fichiers cachés : OK
      # Mode sans echec : OK
      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # FindyKill V6.005 ! |
      0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt chiki je te laisse bien sûr finir. Bonne suite à tous les deux
    0
  8. Utilisateur anonyme
     
    oui ,

    fais ce scan pour verif :

    Telecharge malwarebytes
    https://www.malwarebytes.com/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    0
    1. elisha
       
      j'ai fait l'opération et voici le rapport ci joint, mais comment faire pour ne plus se réinfecter et est ce que je garde les 2 logiciels sur le bureau? si oui est ce qu'il me protège contre ce même virus.

      Malwarebytes' Anti-Malware 1.38
      Version de la base de données: 2406
      Windows 5.1.2600 Service Pack 3

      11/07/2009 14:19:35
      mbam-log-2009-07-11 (14-19-35).txt

      Type de recherche: Examen rapide
      Eléments examinés: 85569
      Temps écoulé: 4 minute(s), 39 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun (Hijack.Run) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  9. Utilisateur anonyme
     
    Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé.
    En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas.
    De plus ils sont mis régulièrement à jours.

    → Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

    → Double clique sur ToolsCleaner2.exe
    → Clique sur .Recherche
    → puis sur Suppression quand la liste est trouvée.
    Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

    #############

    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

    Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
    0
    1. elisha
       
      voici le rapport de l'opération toolscleaner2


      [ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\FindyKill.txt: trouvé !
      C:\FindyKill: trouvé !
      C:\Rsit: trouvé !
      C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: trouvé !
      C:\Program Files\trend micro\HijackThis.exe: trouvé !
      C:\Program Files\trend micro\hijackthis.log: trouvé !

      ---------------------------------
      --> Suppression:

      C:\Program Files\trend micro\HijackThis.exe: supprimé !
      C:\FindyKill.txt: supprimé !
      C:\Program Files\trend micro\hijackthis.log: supprimé !
      C:\FindyKill: supprimé !
      C:\Rsit: supprimé !
      C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: supprimé !
      0
  10. elisha
     
    merci à vous Chiquitine29 et Jlpjlp mais si vous pouvez m'aider à cocher comme résolu. Je n'arrive pas à le faire.
    0
  11. Utilisateur anonyme
     
    De rien elisha , je m occupe de mettre en resolu

    bon week end
    0