Infection "Autolt Error"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

roda13

Infection "Autolt Error"

par roda13 »

Bonsoir,
Et merci de votre aide, je me suis aperçu cet après-midi d'une probable infection caractérisée sous windows 10, de l'affichage d'erreur depuis le bureau s'intitulant : Autolt Error Line 0 Error opening the file.
J'ai vu sur google que ce genre de message a déjà été à maintes reprises rencontré et qu'il résulterait d'une infection.
J'ai donc effectué un scan par FRST et voici les résultats au moyen des liens suivants :
http://pjjoint.malekal.com/files.php?id ... 7z13j8i6u7
http://pjjoint.malekal.com/files.php?id ... 12g6i7e7b6
http://pjjoint.malekal.com/files.php?id ... x1412e13x6
Pourriez-vous établir le fichier fixlist.txt afin de procéder à une désinfection ?
Merci d'avance de votre réponse et de votre aide.
Roland
Avatar de l’utilisateur
angelique
Messages : 31330
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection "Autolt Error"

par angelique »

Bonjour,


désinstalle via programmes et fonctionnalités:

IObit Uninstaller (HKLM-x32\...\IObitUninstall) (Version: 6.1.0.510 - IObit)

TNod User & Password Finder (HKLM\...\TNod) (Version: 1.6.1.0 - Tukero[X]Team)
  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
    Copie/colle dedans ce qui suit :

    Code : Tout sélectionner

    Task: {147F4C54-A2CC-4CCB-98F1-A12DF685E2A8} - System32\Tasks\wmzf => C:\Users\Roland\wmzf\esktdvb.exe [2016-10-09] (AutoIt Team)
    Task: {2664C02A-CBAA-4236-A349-DC3CBC1859BB} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2017-05-14] (Reimage®) <==== ATTENTION
    Task: {56C2ED74-4B0A-4C93-BB9E-CCCE7DCF1DF9} - System32\Tasks\Driver Booster SkipUAC (Roland) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe 
    Task: {8A7B6DCD-60E8-4EF4-9B54-37C1F2DEAEA1} - System32\Tasks\Uninstaller_SkipUac_Roland => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2016-12-15] (IObit)
    Task: {8DDC728C-08CE-46C7-8510-101680F4CC83} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe 
    HKLM\...\Run: [TNOD UP] => C:\Program Files (x86)\TNod\TNODUP.exe [6729728 2016-11-20] (Tukero[X]Team)
    HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare)
    R2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [360736 2016-10-28] (IObit)
    R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [8515952 2017-05-14] (Reimage®)
    S3 WsDrvInst; C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe [115856 2016-04-26] (Wondershare)
    S2 AdvancedSystemCareService10; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [X]
    2017-05-29 16:24 - 2017-05-29 16:26 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare
    2017-05-29 15:56 - 2017-05-29 16:28 - 00000000 ____D C:\Program Files\Reimage
    2017-05-29 15:56 - 2017-05-29 16:02 - 00000000 ____D C:\ProgramData\Reimage Protector
    2017-05-29 15:56 - 2017-05-29 15:56 - 00004336 _____ C:\Windows\System32\Tasks\ReimageUpdater
    2017-05-29 15:55 - 2017-05-29 16:02 - 00000140 _____ C:\Windows\Reimage.ini
    2017-05-29 13:50 - 2017-05-29 13:50 - 00003630 _____ C:\Windows\System32\Tasks\wmzf
    2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 __SHD C:\Users\Roland\wmzf
    2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 ____D C:\Windows\System32\Tasks\SmartFTP
    2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 ____D C:\Users\Roland\AppData\Roaming\SmartFTP
    2017-05-29 13:49 - 2017-05-29 13:58 - 00000000 ____D C:\Program Files (x86)\SmartFTP Enterprise
    2017-05-05 14:42 - 2017-05-05 14:42 - 00000000 ____D C:\Users\Roland\AppData\Roaming\HMYGSetting
    2017-05-05 14:42 - 2017-05-05 14:42 - 00000000 ____D C:\ProgramData\Wondershare
    2017-05-05 14:41 - 2017-05-06 09:07 - 00001326 _____ C:\Users\Public\Desktop\Wondershare MobileTrans.lnk
    2017-05-05 14:41 - 2017-05-05 14:43 - 00000000 ____D C:\Users\Roland\.android
    2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\Users\Roland\AppData\Roaming\Wondershare
    2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
    2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\Program Files (x86)\Wondershare
    2017-05-19 22:37 - 2016-09-28 17:51 - 00000000 ___HD C:\.Trashes
    C:\Users\Roland\wmzf
    C:\Program Files (x86)\IObit
    C:\Program Files\CleanMyPC
    Hosts:
    RemoveProxy:
    EmptyTemp:
    
    
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
roda13

Re: Infection soudaine

par roda13 »

Bonjour,
Miracle ! la procédure a très bien fonctionné et pour l'instant plus de message quelconque, en tout cas plus celui à l'origine de mon appel.
Je joins donc le résultat (contenue du fichier fixlog.txt) :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-05-2017
Exécuté par Roland (30-05-2017 11:58:28) Run:1
Exécuté depuis C:\Users\Roland\Desktop
Profils chargés: Roland (Profils disponibles: Roland)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {147F4C54-A2CC-4CCB-98F1-A12DF685E2A8} - System32\Tasks\wmzf => C:\Users\Roland\wmzf\esktdvb.exe [2016-10-09] (AutoIt Team)
Task: {2664C02A-CBAA-4236-A349-DC3CBC1859BB} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2017-05-14] (Reimage�) <==== ATTENTION
Task: {56C2ED74-4B0A-4C93-BB9E-CCCE7DCF1DF9} - System32\Tasks\Driver Booster SkipUAC (Roland) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe
Task: {8A7B6DCD-60E8-4EF4-9B54-37C1F2DEAEA1} - System32\Tasks\Uninstaller_SkipUac_Roland => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2016-12-15] (IObit)
Task: {8DDC728C-08CE-46C7-8510-101680F4CC83} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe
HKLM\...\Run: [TNOD UP] => C:\Program Files (x86)\TNod\TNODUP.exe [6729728 2016-11-20] (Tukero[X]Team)
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare)
R2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [360736 2016-10-28] (IObit)
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [8515952 2017-05-14] (Reimage�)
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe [115856 2016-04-26] (Wondershare)
S2 AdvancedSystemCareService10; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [X]
2017-05-29 16:24 - 2017-05-29 16:26 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare
2017-05-29 15:56 - 2017-05-29 16:28 - 00000000 ____D C:\Program Files\Reimage
2017-05-29 15:56 - 2017-05-29 16:02 - 00000000 ____D C:\ProgramData\Reimage Protector
2017-05-29 15:56 - 2017-05-29 15:56 - 00004336 _____ C:\Windows\System32\Tasks\ReimageUpdater
2017-05-29 15:55 - 2017-05-29 16:02 - 00000140 _____ C:\Windows\Reimage.ini
2017-05-29 13:50 - 2017-05-29 13:50 - 00003630 _____ C:\Windows\System32\Tasks\wmzf
2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 __SHD C:\Users\Roland\wmzf
2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 ____D C:\Windows\System32\Tasks\SmartFTP
2017-05-29 13:50 - 2017-05-29 13:50 - 00000000 ____D C:\Users\Roland\AppData\Roaming\SmartFTP
2017-05-29 13:49 - 2017-05-29 13:58 - 00000000 ____D C:\Program Files (x86)\SmartFTP Enterprise
2017-05-05 14:42 - 2017-05-05 14:42 - 00000000 ____D C:\Users\Roland\AppData\Roaming\HMYGSetting
2017-05-05 14:42 - 2017-05-05 14:42 - 00000000 ____D C:\ProgramData\Wondershare
2017-05-05 14:41 - 2017-05-06 09:07 - 00001326 _____ C:\Users\Public\Desktop\Wondershare MobileTrans.lnk
2017-05-05 14:41 - 2017-05-05 14:43 - 00000000 ____D C:\Users\Roland\.android
2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\Users\Roland\AppData\Roaming\Wondershare
2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2017-05-05 14:41 - 2017-05-05 14:41 - 00000000 ____D C:\Program Files (x86)\Wondershare
2017-05-19 22:37 - 2016-09-28 17:51 - 00000000 ___HD C:\.Trashes
C:\Users\Roland\wmzf
C:\Program Files (x86)\IObit
C:\Program Files\CleanMyPC
Hosts:
RemoveProxy:
EmptyTemp:


*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{147F4C54-A2CC-4CCB-98F1-A12DF685E2A8} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{147F4C54-A2CC-4CCB-98F1-A12DF685E2A8} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\wmzf => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\wmzf => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2664C02A-CBAA-4236-A349-DC3CBC1859BB} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2664C02A-CBAA-4236-A349-DC3CBC1859BB} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\ReimageUpdater => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56C2ED74-4B0A-4C93-BB9E-CCCE7DCF1DF9} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56C2ED74-4B0A-4C93-BB9E-CCCE7DCF1DF9} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Driver Booster SkipUAC (Roland) => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster SkipUAC (Roland) => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A7B6DCD-60E8-4EF4-9B54-37C1F2DEAEA1} => clé non trouvé(e).
C:\Windows\System32\Tasks\Uninstaller_SkipUac_Roland => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Uninstaller_SkipUac_Roland => clé non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8DDC728C-08CE-46C7-8510-101680F4CC83} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8DDC728C-08CE-46C7-8510-101680F4CC83} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\CMPCUAC => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CMPCUAC => clé supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\TNOD UP => valeur non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => valeur supprimé(es) avec succès
IObitUnSvr => service non trouvé(e).
ReimageRealTimeProtector => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\ReimageRealTimeProtector => clé supprimé(es) avec succès
ReimageRealTimeProtector => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\WsDrvInst => clé supprimé(es) avec succès
WsDrvInst => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\AdvancedSystemCareService10 => clé supprimé(es) avec succès
AdvancedSystemCareService10 => service supprimé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare => déplacé(es) avec succès
C:\Program Files\Reimage => déplacé(es) avec succès
C:\ProgramData\Reimage Protector => déplacé(es) avec succès
"C:\Windows\System32\Tasks\ReimageUpdater" => non trouvé(e).
C:\Windows\Reimage.ini => déplacé(es) avec succès
"C:\Windows\System32\Tasks\wmzf" => non trouvé(e).
C:\Users\Roland\wmzf => déplacé(es) avec succès
C:\Windows\System32\Tasks\SmartFTP => déplacé(es) avec succès
C:\Users\Roland\AppData\Roaming\SmartFTP => déplacé(es) avec succès
C:\Program Files (x86)\SmartFTP Enterprise => déplacé(es) avec succès
C:\Users\Roland\AppData\Roaming\HMYGSetting => déplacé(es) avec succès
C:\ProgramData\Wondershare => déplacé(es) avec succès
C:\Users\Public\Desktop\Wondershare MobileTrans.lnk => déplacé(es) avec succès
C:\Users\Roland\.android => déplacé(es) avec succès
C:\Users\Roland\AppData\Roaming\Wondershare => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare => déplacé(es) avec succès
C:\Program Files (x86)\Wondershare => déplacé(es) avec succès
C:\.Trashes => déplacé(es) avec succès
"C:\Users\Roland\wmzf" => non trouvé(e).
C:\Program Files (x86)\IObit => déplacé(es) avec succès
"C:\Program Files\CleanMyPC" => non trouvé(e).
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-277845798-2625698902-2484228774-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-277845798-2625698902-2484228774-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 32768 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8663514 B
Java, Flash, Steam htmlcache => 23226939 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 11656816 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 0 B
Roland => 5518472 B

RecycleBin => 0 B
EmptyTemp: => 46.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:58:41 ====

Et encore merci de m'indiquer si je dois exécuter d'autres manipulations.
A plus tard.
Cordialement.
Roland
Malekal_morte
Messages : 111436
Inscription : 10 sept. 2005 13:57

Re: Infection "Autolt Error"

par Malekal_morte »

Salut,

Il s'agit d'un Trojan RAT.... tes mots de passe ont pu être volés
il convient de changer les mots de passe par sécurité.
Attention à ce que tu télécharges.

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
angelique
Messages : 31330
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection "Autolt Error"

par angelique »

... et supprime frst, ses rapports et C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
roda13

Re: Infection "Autolt Error"

par roda13 »

Vraiment encore merci à vous tous pour votre réactivité.
@+tard.
Roland
Malekal_morte
Messages : 111436
Inscription : 10 sept. 2005 13:57

Re: Infection "Autolt Error"

par Malekal_morte »

de rien et bonne journée =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Fabrice1968

Re: Infection "Autolt Error"

par Fabrice1968 »

Bonjour,
Je ne sais si je peux continuer cette discussion ici.
Mais j'ai exactement le même souci.
J'ai testé divers antivirus.
Spybot, malwarebyte, nod32 en ligne etc....
Mais la fenêtre réapparaît inexorablement.
Si vous pouvez m'expliquer la procédure je vous serai gré :)
Malekal_morte
Messages : 111436
Inscription : 10 sept. 2005 13:57

Re: Infection "Autolt Error"

par Malekal_morte »

Salut,

Pour désinfecter ton ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »