Yd1.exe processus normal?

Question

Configuration: Windows XP / Firefox 3.6.3

Bonjour, j'ai récemment découvert un processus que je n'ai jamais vu auparavant se nommant Yd1.exe, quelqu'un sait si il est nuisible à mon ordinateur?

Si oui comment s'en débarrasser?

Merci d'avance pour vos réponses

Diabloss · Accepted Answer

Bon ben finalement il a trouvé 5 fichiers infectés j'ai fait "cure" puis "delete" pour les fichiers incurables

J'ai redémarré dans l'espoir que Windows remarche... Et ça n'a pas marché... 

J'ai finalement craqué et j'ai installé Ubuntu en éradiquant toute trace de Windows sur mon PC ^^

gen-hackman · Answer

salut :

il a quel chemin ton fichier ?

Diabloss · Answer

Désolé mais je n'ai pas compris la question ><

Diabloss · Answer

Il y a aussi un autre processus sous le nom de Ywukya.exe

gen-hackman · Answer

ok fais une recherche sur ton pc d'ou ce trouve Yd1.exe

jalobservateur · Answer

Salut :)
 Hey Gen à sent le virus au riz son truc tu trouves pas ;)

Diabloss · Answer

J'ai lancé une recherche, j'ai aussi commencé un scan avec Avira

gen-hackman · Answer

oui Jal' j ai pas vu le deuxieme nom lol ^^ Bonjour tu es très infecté : ▶ Sauver les Docs sans les fichichiers cible. il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé. toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable). Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime) _______________________________________________ ▶ Désactive la restauration système, pour cela , suis les instructions des liens: Lien XP Lien Vista _________________________________________________ ▶ Télécharge ToolsCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista). * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). _________________________________________________ ▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement et afin qu'il ne soit pas infecté lui-même) ___________________________________________________ ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

gen-hackman · Answer

tu as redemarré le pc en mode sans echec ?

gen-hackman · Answer

non retire ton cable internet le temps du scan , la connection est deconseillée

Diabloss · Answer

Toolscleaner2 est bloqué sur recherche

gen-hackman · Answer

tu me parles avec le pc malade là ?

Diabloss · Answer

Oui, je n'ai pas d'autre PC

trot · Answer

sur http://fo 
xspm.ifrance.com 
tu trouvera la liste  
des processus normaux  
de windows et comment 
réparer ton problème 

a+

Diabloss · Answer

ToolsCleaner ne répond pas, c'est pas grave si je passe à l'étape suivante directement?

gen-hackman · Answer

pase à l'etape suivante mais deconnecte-toi du net (en retirant le cable pendant tout le scan sinon les suppressions ne pourront pas s'effectuer correctemment et c'est un coup dans l'eau

Diabloss · Answer

Bonjour, j'ai trouvé un autre Pc depuis lequel poster, j'ai lancé l'analyse rapide en mode sans échec, ça fait maintenant 5 heures que cela analyse (en rapide), un seul fichier infecté a été trouvé pour l'instant.

Il y a un processus du nom de 2k4w5xp.exe en marche, j'ai fait une recherche sur internet mais aucun résultat...

Diabloss · Answer

Ah, j'ai oublié de dire que je n'ai pas désactivé la Restauration système, je n'ai pas trouvé d'onglet "Restauration du système" (XP), C'est pas trop grave j'espère? ê_é

gen-hackman · Answer

tu as cliqué sur le lien bleu pour XP dans mon enoncé ?

Diabloss · Answer

Oui, dans l'étape 3 il est dit : Dans l'onglet Restauration du système, sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
Si vous ne voyez pas l'onglet Restauration du système, vous n'êtes pas connecté sous Windows comme Administrateur.


Or je ne trouve pas d'onglet restauration du système, et j'ai cherché dans tous les autres onglets, aucune trace de Restauration du système

gen-hackman · Answer

oui certaines fois elle met 12h

Utilisateur anonyme · Answer

Yep ,

ça sent Renos a plein nez :

%windir%\Ywukya.exe
%temp%\Yd1.exe

pluche's

Diabloss · Answer

Renos? c'est quoi?

gen-hackman · Answer

bonsoir DrWeb jarte Renos

Diabloss · Answer

Toujours entrain de scanner et je suis pas encore passé au deuxième scan :'(

Diabloss · Answer

J'ai lu ce qu'était un Renos et ce que j'avais ne ressemblait pas à ça, ce n'était pas des "faux antivirus" qui s'ouvraient tout seul mais des pages publicitaires avec Internet Explorer

gen-hackman · Answer

bien j'attends le rapport ^^

Diabloss · Answer

J'en suis toujours au scan "rapide" ça fait maintenant 11H30 qu'il analyse


Devrais-je quand même faire le deuxième scan ? T_T

gen-hackman · Answer

mais il avance au moins ?

Diabloss · Answer

Oui mais extrêmement lentement 


Objets scannés : 4636
Infecté : 1
Durée : 11:27:40
Vitesse : 17 Ko/s

gen-hackman · Answer

lol !!  3xLOL !! ...il date de l'an pèbre ton pc ?

Diabloss · Answer

Non pourquoi?

Je pense que le problème vient du logiciel...

J'arrive à jouer à des jeux comme Civilization 4 ou Mount & Blade donc je pense pas que mon PC soit lent ê_é

Diabloss · Answer

Alors conseilles moi s'il te plait :'(

Dois-je arrêter le scan rapide et m'attaque au normal ou j'arrête tout et je vois si les processus s'ouvrent toujours ou je laisse le scan continuer?

gen-hackman · Answer

tant qu'il toune laisse tourner on en verra le resultat...

Diabloss · Answer

Si c'est pas fini demain matin je pense que je vais stopper u_u

gen-hackman · Answer

regarde dans le gestionnaire des taches à combien tourne le proccesseur

Diabloss · Answer

100 %

Les processus sont :
---------------------------------------CPU------MEM USAGE
explorer.exe------------------------00--------54272K
2k4w5xp.exe-----------------------00--------53136K
svchost.exe-------------------------00---------41464K
svchost.exe-------------------------00---------29476K
drweb-cureit.exe-------------------00---------28520K
services.exe-------------------------00----------27844K
svchost.exe--------------------------00----------27476K
njmd3x.exe--------------------------00----------21308K
csrss.exe-----------------------------00----------19300K
wmiprvse.exe------------------------00----------5804K
taskmgr.exe--------------------------00-----------3376K
smss.exe------------------------------00-----------1060K
lsass.exe------------------------------00-----------1012K
System---------------------------------00-----------884K
winlogon.exe-------------------------00-----------708K
System Idle Process SYSTEM------99-----------16K

gen-hackman · Answer

lol heureusement sinon ton pc serait eteint ^^

c'est le seul "processus" qui peut tourner à  100% (et qui doit !!!!)quant aucun programme ne tourne

enfin.....99 quoi.......

Diabloss · Answer

Et pour les autres choses =) ?

gen-hackman · Answer

bon j'ai besoin d'en savoir un peu plus sur ton systeme :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Diabloss · Answer

Hum d'accord donc pour faire ça j'arrete le scan, rebranche le tout à internet et redemarre en mode "avec echec" ( :o) ) ?

gen-hackman · Answer

ouais DrWeb aurait deja trouvé...

jalobservateur · Answer

Salut les zamis :)
 Gen, je pense que des tools ont été utilisés avant le passage de DR"Web alors si je me souviens bien, toolscleaner avait planté au début ? Ou j'ai vu ailleurs...
Mais si c"est le cas, alors les fichus fix délivrent au compte-gouttes les fichier que DR"Web veut analyser et il en résulte des lenteurs pénibles...
Donc comme je suggère toujours, l'avantage de Dr.Web en Live CD est aussi axée sur cet aspect.
Windows étant dans un sommeil durant le scan Live c'est hautement plus réactif et efficace avec le bureau Linux de DR.Web.
Si les tools ont préalablement été nettoyés, normalement un scan Dr.Web sur 200.000 fichier et une machine récente ne dépasse pas beaucoup 4 à 6 heures.
Lâchez pas les amigo :)

Diabloss · Answer

Je parle depuis le PC infecté, Yd1.exe est toujours présent, Ywukya.exe est présent 2 fois.

Le scan de OTL est en cours.

Je peux fermer les processus Ywukya.exe et Yd1.exe ou ça va énerver le hacker? :o)

Diabloss · Answer

Voila Otl.txt :  http://www.cijoint.fr/cjlink.php?file=cj201004/cij6qbC0MG.txt




et voila l'extra: http://www.cijoint.fr/cjlink.php?file=cj201004/cijoL32iUL.txt

Diabloss · Answer

Ah il y a PnkBstrA.exe qui m'a l'air bien louche aussi

gen-hackman · Answer

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
Yd1.exe
Ywukya.exe

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O20 - AppInit_DLLs: (AVGRSSTX.DLL) -  File not found
IE - HKU\S-1-5-21-3401201922-2016041916-3065024147-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=15446&l=dis
IE - HKU\S-1-5-21-3401201922-2016041916-3065024147-500\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010/04/23 00:32:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profilesijpcjxi.default\extensions
[2010/02/28 16:52:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profilesijpcjxi.default\extensions\autofillForms@blueimp.net
[2010/03/12 18:37:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profilesijpcjxi.default\extensions\illimitux@illimitux.net
[2010/04/23 00:31:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profilesijpcjxi.default\extensions	oolbar@ask.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-3401201922-2016041916-3065024147-500\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O3 - HKU\S-1-5-21-3401201922-2016041916-3065024147-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKLM..\Run: [WinXP] c:\WINDOWS\WinXPupdate.vbs ()
O4 - HKU\S-1-5-21-3401201922-2016041916-3065024147-500..\Run: [YVIBBBHA8C] C:\Documents and Settings\Administrator\Local Settings\Temp\Yd1.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.)
O33 - MountPoints2\{1fcffdf8-01f1-11df-8544-00166f15bdfb}\Shell\AutoRun\command - "" = G:\start.exe -- File not found
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\WinXPupdate.vbs:FoldedSections
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\WinXPupdate.vbs:Breakpoints
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\WinXPupdate.vbs:Bookmarks
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\postghost.old:Bookmarks
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\MDAC_Ver.vbs:Bookmarks
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\InterwovenUpdate.vbs:FoldedSections
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\InterwovenUpdate.vbs:Breakpoints
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\InterwovenUpdate.vbs:Bookmarks
@Alternate Data Stream - 8 bytes -> C:\WINDOWS\gpresult.bat:Bookmarks
@Alternate Data Stream - 6848 bytes -> C:\WINDOWS\postghost.old:Undo
@Alternate Data Stream - 670 bytes -> C:\WINDOWS\MDAC_Ver.vbs:Undo
@Alternate Data Stream - 2632 bytes -> C:\WINDOWS\gpresult.bat:Undo
@Alternate Data Stream - 22576 bytes -> C:\WINDOWS\InterwovenUpdate.vbs:Undo
@Alternate Data Stream - 152 bytes -> C:\WINDOWS\WinXPupdate.vbs:Undo
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8CE646EE


:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=1
"FirewallOverride"=1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\Workshare\Modules\ADT\Bin\BBXCOMServer.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Warrior Epic\Warrior Epic\Log\FTP.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]

:Files
C:\Documents and Settings\Administrator\Local Settings\Temp\Yd1.exe
C:\WINDOWS\Ywukya.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\AskToolbar
C:\Documents and Settings\Administrator\.idlerc
C:\WINDOWS	asks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Documents and Settings\Administrator\ipc.bat
C:\WINDOWS	asks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS	asks\Scheduled Update for Ask Toolbar.job


:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

gen-hackman · Answer

oui pardon..

Diabloss · Answer

Le PC a redémarré, il n'y a aucun rapport qui s'affiche, Mon bureau ne s'affiche plus, j'ai ouvert Firefox via le gestionnaire de taches.

Je suis dans la mouise :'(

Diabloss · Answer

J'ai réussi à remettre l'affichage de mon bureau en fermant quelques processus explorer.exe, mais aucun rapport qui s'ouvre et Yd1 et Ywukya sont toujours présents

gen-hackman · Answer

il est à toi le pc ?

Diabloss · Answer

Oui.


J'ai réussi la correction, mais au redémarrage il y a un gros problème le PC ne démarre plus.

Voici les messages d'erreur:

winlogon.exe - Unable To Locate Component

   This application has failed to start because SHELL32.dll was not found. Re-installing the application may fix this problem

Je clique sur ok (la seule proposition), ensuite apparait:

services.exe - Unable To Locate Component

   This application has failed to start because SHELL32.dll was not found. Re-installing the application may fix this problem


Je clique encore sur ok (la seule proposition):

lsass.exe - Unable To Locate Component

   This application has failed to start because SHELL32.dll was not found. Re-installing the application may fix this problem

Je clique encore sur ok(la seule proposition):

User Interface Failure

    The Logon User Interface DLL msgina.dll failed to load

    Contact your system administrator to replace the DLL, or restore the original DLL.

Et la je ne peux cliquer que sur restart et ça recommence tout

gen-hackman · Answer

oui si le pc demarre plus....

gen-hackman · Answer

il fallait graver avec l'option "graver un cd image"

gen-hackman · Answer

tu as quel logiciel pour graver ?

gen-hackman · Answer

tu as eu la possibilité de faire des mises  a jour ?

diabloss · Answer

Ah c'est bon j'ai reboot et ça remarche

gen-hackman · Answer

ok ;)

diabloss · Answer

Je vois que Dr.Web désinfecte l'ordinateur mais le répare-t-il en réinstallant les DLLs manquants?

gen-hackman · Answer

il desinfecte de quelles infections pour le moment ?

s'il desinfecte il ne supprime pas hormis les fichiers dont il est sûr que c'est impossible de faire autrement (pour les fichiers/virus ou qui craignent pour la securité du pc)

diabloss · Answer

Pour l'instant il n'a rien trouvé

gen-hackman · Answer

ah....ben on verrra ce qu il dit à la fin ^^...

gen-hackman · Answer

lol :)

ok ben bonne suite et attention aux virus ^^

jalobservateur · Answer

Ça c'est la meilleure décision Fini les virus ! 
Bienvenue sur la banquise et la liberté ! :)

gen-hackman · Answer

bonsoir je me doutais que tu allais apparaitre !! ^^

Yd1.exe processus normal?

65 réponses

Votre réponse

Discussions similaires

Newsletters