Autolt Error

[tani38]

Bonjour,

Depuis ce matin j'ai une erreur qui s'affiche en plein milieu de mon écran :

---------------------------------------------------------------
Autolt Error

Line 0 (File "C\Users\thomy\gokmrf\xvgsofp.ima"):

Error: Error opening the file.
---------------------------------------------------------------

Je pense que c'est un virus mais ni mon antivirus ni Malwarebytes trouvent quelque chose...
J'aimerais savoir si vous avez des astuces pour régler ce problèmes.

J'ai essayé de faire une analyse FRST mais quand l'analyse se fini j'ai un message qui me dit "Impossible de trouver le fichier C:\Users\thomy\Desktop\Addition.txt ou C:\Users\thomy\Desktop\FRST.txt". Pourtant j'ai bien mis FRST64.exe sur mon bureau donc je ne sais vraiment pas comment faire.


Merci d'avance !

[Malekal_morte]

Salut,

oui : Trojan RAT...
Essaye l'analyse FRST en mode sans échec : Comment démarrer en mode sans échec.

[tani38]

Le mode sans échec fait fonctionner le logiciel sans problème, merci pour l'astuce .
Je me permet donc de poster les 3 fichiers textes qu'il m'a généré.

FRST.txt : https://pjjoint.malekal.com/files.php?i ... 11z65d7z12
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 9z12u12y11
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 6u12w11j10

[angelique]

Bonjour,

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {1E9369A1-259A-4F63-B948-2F72DCFF40AA} - System32\Tasks\gokmrf => C:\Users\thomy\gokmrf\ermxcz.exe [2016-10-09] (AutoIt Team)
  Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe
  HKU\S-1-5-21-3293441164-3572050482-3382046440-1001\...\Run: [AdobeBridge] => [X]
  2017-08-06 12:52 - 2017-08-06 12:53 - 000000000 __SHD C:\Users\thomy\gokmrf
  2017-08-06 12:52 - 2017-08-06 12:52 - 000003668 _____ C:\Windows\System32\Tasks\gokmrf
  2017-08-06 12:52 - 2017-08-06 12:52 - 000000000 ____D C:\Users\thomy\AppData\Roaming\IDM
  2017-08-06 12:52 - 2017-08-06 12:52 - 000000000 ____D C:\ProgramData\IDM
  2017-08-06 12:52 - 2017-03-18 23:00 - 000045216 ___SH (Microsoft Corporation) C:\Users\thomy\ermxcz.exe
  2017-08-06 12:27 - 2017-08-06 12:16 - 015770512 _____ (IObit                                                       ) C:\Users\thomy\AppData\Local\Temp\driver_booster_setup.42953,5190704282.exe
  2017-08-06 12:23 - 2017-08-06 12:23 - 003955736 _____ (Geek Unіnstaller) C:\Users\thomy\AppData\Local\Temp\geek64.exe
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
  
  
  ton Bitdefender Antivirus (Disabled) donc voit à le réactiver.
  
  Smart Defrag 5 (HKLM-x32\...\Smart Defrag_is1) (Version: 5.6.0 - IObit) ça sert à rien , désinstalle le, celui de Ѡindows est suffisant
  
  
  Vu que l'infection est un remote access tool , il va falloir changer TOUS tes mots de passe.

[tani38]

Voici donc le Fixlog.txt : https://pjjoint.malekal.com/files.php?i ... 13f10k8r10

En ce qui concerne Bitdefender Antivirus je pense que c'est à cause du mode sans échec ? Car je le vois activé quand je ne suis pas en mode sans échec.

D'accord j'ai donc désinstallé Smart Defrag 5.

Erf.. Ok je vais m'y atteler.

[angelique]

L'infection a été supprimée, tu pourras supprimer frst, ses rapports et sa quarantaine C:\FRST

[tani38]

D'accord, merci beaucoup pour l'aide !

[Malekal_morte]

Pense aussi à changer tes mots de passe, ils ont été probablement volés.