AUTOLT ERROR

Résolu/Fermé
kardinal972 Messages postés 1 Date d'inscription jeudi 12 mai 2022 Statut Membre Dernière intervention 13 mai 2022 - 13 mai 2022 à 00:50
bazfile Messages postés 48318 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 6 juin 2023 - 13 mai 2022 à 23:46
Bonjour,
j'ai récemment eu une erreur "line 0", "error: error opening the file. J'ai suivi les instructions sur d'autres sujet similaire qui ont été malheureusement fermé. Voici donc les 3 fichiers obtenu à l'aide de FRST.

https://pjjoint.malekal.com/files.php?id=20220512_r7e15x14l11k9
https://pjjoint.malekal.com/files.php?id=FRST_20220513_w8c14q12m5y13
https://pjjoint.malekal.com/files.php?id=20220512_m6l10f9d9g9

Pouvez-vous m'aider dans l'élimination de ce TROJAN ?


Configuration: Windows / Edge 101.0.1210.39

3 réponses

bazfile Messages postés 48318 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 6 juin 2023 18 078
Modifié le 13 mai 2022 à 09:39
Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {DB716177-CA96-495B-AD0C-A28FD7DC3017} - System32\Tasks\Service\Diagnostic => C:\Users\kheop\AppData\Roaming\ServiceGet\Guharo.exe [893608 2022-04-28] (AutoIt Consulting Ltd -> AutoIt Team) -> "C:\Users\kheop\AppData\Roaming\ServiceGet\Guharo.dat"
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
Task: {13A35734-1CA3-4850-BC2D-B78073BDAF8C} - System32\Tasks\Lenovo\Vantage\Schedule\VantageTelemetryAddinTask => C:\Program Files (x86)\Lenovo\VantageService\3.6.15.0\ScheduleEventAction.exe VantageTelemetryAddinTask (Pas de fichier)
Task: {45FAB6CA-BEAA-4F05-98D7-D0B842585336} - System32\Tasks\WpsUpdateTask_andre => C:\Users\andre\AppData\Local\Kingsoft\WPS Office\11.2.0.10017\office6\wpsupdate.exe -from=task (Pas de fichier)
Task: {6ba5ba10-3c76-4d5e-b798-9a4e89214e51} - pas de chemin du fichier
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
Task: {E33CF40A-1B3C-41D2-A4F6-FA0248B30232} - System32\Tasks\VisualSubstUAC => C:\Program Files\Visual Subst\VSubst.exe /UACTASK (Pas de fichier)
Task: {EA0F89A5-FCDE-4E95-867C-85EBBA91334F} - System32\Tasks\WpsExternal_andre_20210308093722 => C:\Users\andre\AppData\Local\Kingsoft\WPS Office\11.2.0.10017\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Pas de fichier)
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Pas de fichier
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} => -> Pas de fichier
SearchScopes: HKU\S-1-5-21-1856918954-4199401612-932811434-1002 -> DefaultScope {DF7DF47C-BFC4-44CC-8CA7-7AB79FF984AF} URL =
SearchScopes: HKU\S-1-5-21-1856918954-4199401612-932811434-1002 -> {DF7DF47C-BFC4-44CC-8CA7-7AB79FF984AF} URL =
FirewallRules: [{FE74A706-DEDE-42D5-B870-400CE54FC6F7}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_21354.200.1118.3091_x64__8wekyb3d8bbwe\msteams.exe => Pas de fichier
FirewallRules: [{B1205A08-0241-4FFE-88BD-0DE9F1BAAD11}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_21354.200.1118.3091_x64__8wekyb3d8bbwe\msteams.exe => Pas de fichier
FirewallRules: [{B54A4A71-D39C-4CA0-92E4-7971872607D6}] => (Allow) C:\Users\andre\AppData\Local\Kingsoft\WPS Office\11.2.0.10017\office6\wpscloudsvr.exe => Pas de fichier
FirewallRules: [{86605719-C29E-4A12-B42A-A0E34868AE84}] => (Allow) C:\Users\andre\AppData\Local\Kingsoft\WPS Office\11.2.0.10017\office6\wps.exe => Pas de fichier
FirewallRules: [{2105EDA4-64EB-40F5-BC70-8D213883FFE6}] => (Allow) C:\Ross-Tech\VCDS\VCDS.EXE => Pas de fichier
FirewallRules: [{BDAD6F33-B59B-4086-A924-F4AC214C7396}] => (Allow) C:\Users\kheop\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{29A21783-DA37-48BF-9CB8-6533718DC014}] => (Allow) C:\Users\kheop\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
C:\Users\kheop\AppData\Roaming\ServiceGet
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Change tes mots de passe en ligne ils ont pu être dérobés.

.

bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
0
Bonjour, alors malheureusement le site conseillé pour la transmission du document ne fonctionne pas donc j'ai fait avec malekal et voici le fichier :
https://pjjoint.malekal.com/files.php?id=20220513_o12j7h12c5o5

Apparement mon problème est résolu puisque je n'ai plus de message d'erreur.
Par ailleur, j'aimerais savoir dans l'éventuaité où aucun de mes mots de passes en lignes et enregistré nulpart, puisque je les tapes toujours et refuse la mémorisation, faut-il quand-même les changer?
0
bazfile Messages postés 48318 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 6 juin 2023 18 078
13 mai 2022 à 22:55
Le fixlog est OK.

Pour tes mots de passe à toi de voir, mais je pense que la prudence est tout de même de mise.

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0
kardinal972
13 mai 2022 à 23:26
Désinstallation effectué avec succès. Concernant les mots de passe je vais suivre tes recommandations.
Merci pour l'aide apporté.
0
bazfile Messages postés 48318 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 6 juin 2023 18 078
13 mai 2022 à 23:46
De rien.
@+ sur CCM.
0