Cbkwzxp.exe méchant?

bernard -  
 bernard -
Bonjour,

>Un mystérieux fichier cbkwzxp.exe présent dans Documents and Settings/Temp déclenche subitement ce soir des demandes d'accès au net en série tant que je ne donne pas mon accord au parefeu.
Point distant varie en voici un: 216.239.59.101 [216.239.59.101], port https [443]
>les pages internet sont longues à charger depuis quelque temps, la vitesse tombe de 54Mbits/s à 11 ou 5 voire 2 pendant l'actualisation mais il n'y a pas forcément de rapport.

N'étant pas très doué et un peu perdu ma question est :
Est-ce que je peux faire confiance à ce fichier et donner l'accord pour l'accès au net, ou refuser et désinfecter le pc? Merci de vos conseils.

Ps1 : Voici une copie du "détail" dans la fenêtre du parefeu : (pas de nom facile à reconnaitre pour moi)
[04/11/2009 20:15:59]

Direction: sortant
Point local: 192.168.1.10, port 4025
Matériel: Connexion réseau sans fil 5
Point distant: 216.239.59.100 [216.239.59.100], port http [80]
Protocole: [6] TCP

Fichier: c:\Documents and Settings\Moi\Local Settings\TEMP\dc63849994\cbkwzxp.exe
Description: cbkwzxp
Version:
Créé le: N/A
Modifié le: N/A
Accédé le: N/A

RuleId = 134218037


Ps2 : à tout hasard en attendant une réponse je lance un scan rapide avec Malwarebytes présent sur mon pc.
Configuration: Windows XP sp3
Firefox 3.5.4

9 réponses

  1. eZula Messages postés 3509 Statut Contributeur 392
     
    Bonjour,

    télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

    dézippe le dossier, double-clique sur GenProc.bat [img]http://forum.telecharger.01net.com/forum/[/img] et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    1
  2. bernard
     
    Bonsoir

    Merci de ta réponse rapide. Je me lance à plus.
    0
  3. bernard
     
    Bonjour

    le rapport Malwarebytes qui trouve rien:

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3101
    Windows 5.1.2600 Service Pack 3

    04/11/2009 21:40:13
    mbam-log-2009-11-04 (21-40-13).txt

    Type de recherche: Examen rapide
    Eléments examinés: 112811
    Temps écoulé: 7 minute(s), 22 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Puis grosse difficulté : pas moyen de trouver GenProc.bat décompressé alors que l'archive semblait bien le contenir. Une mise à jour windows a trouvé le moyen de se faire à ce moment avec le bouclier jaune près de l'horloge> reboot du pc.
    (Suite au reboot plus de fenêtres du parefeu pour ce fameux fichier qui voulait sortir sur internet.)

    tout effacer GenProc et recommencer. idem mais avec la "recherche GenProc.bat" je l'ai trouvé et j'ai cliqué dessus dans la fenêtre "résultat de la recherche".
    J'ai autorisé trendMicro et Hijackthis mais je n'ai pas vu passer de demande pour "CM" dont le rapport dit échec de téléchargement.

    Le rapport GenProc:

    Rapport GenProc 2.646 [1] - 04/11/2009 à 22:46:52
    @ Windows XP Service Pack 3 - Mode normal
    @ Mozilla Firefox (3.5.4) [Navigateur par défaut]

    ~~ ECHEC DU TELECHARGEMENT DE CM ~~

    GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

    Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
    - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
    C:\Program Files\EsetOnlineScanner\log.txt

    ~~~~ INFORMATION COMPLEMENTAIRE ~~~~

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:51:17, on 04/11/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\abelhadigital.com\HostsMan\hm.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\Unlocker\UnlockerAssistant.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\Folding send wus ex 504-2\Folding@home-Win32-x86.exe
    C:\WINDOWS\system32\SearchIndexer.exe
    D:\Folding send wus ex 504-2\FahCore_a0.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cmd.exe
    D:\Bureau\GenProc\Outil\ xxxxx_GenProc.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [HostsMan] C:\Program Files\abelhadigital.com\HostsMan\hm.exe -s
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Program Files\Unlocker\UnlockerAssistant.exe" -H
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Folding@home-Win32-x86 ex504-2.lnk = D:\Folding send wus ex 504-2\Folding@home-Win32-x86.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) -
    O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. bernard
     
    Bonjour

    Je n'avais pas donné l'autorisation à cbkwzxp.exe de se connecter au net et la recherche ne trouve pas ce fichier. (il était dans un répertoire Temp il a peut-être été vidé depuis la mise à jour/reboot ???)

    Le scan nod32 a tourné cette nuit il a supprimé un adware eBay dans Unlocker et aussi Process.exe un outil .

    Le rapport de nod32

    D:\Program Files\Unlocker\eBay_shortcuts_1016.exe une variante de Win32/Adware.ADON application supprimé - mis en quarantaine
    D:\Moi\Copie de MSNFix\incl\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
    D:\Moi\MSNFix\incl\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
    D:\Moi\Téléchargement\GenProc\GenProc\MSNFix.zip Win32/PrcView application supprimé - mis en quarantaine
    D:\Moi\Téléchargement\GenProc\GenProc\MSNFix\incl\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
    0
  6. eZula Messages postés 3509 Statut Contributeur 392
     
    et tu as toujours des problèmes ?
    0
  7. bernard
     
    Bonjour

    Les demandes de connexion ne se sont pas reproduites depuis hier non.

    Les pages sont toujours lentes à se charger je ne sais pas si c'est une infection.
    Est-il possible de désinstaller searchindexer, Windows Search (je clique toujours pour utiliser la recherche classique de windows) msn et outlook express que j'ai du installer par erreur un jour pendant une mise à jour du pc? Les ralentissements datent peut-être de cette époque déjà lointaine mais j'avais laissé tomber de peur de casser en plein le pc.
    0
  8. eZula Messages postés 3509 Statut Contributeur 392
     
    oui tu peux les désinstaller (pour OE et msn c'est un peu particulier, fais quelques recherches)

    * Pour terminer, utilise ToolsCleaner! (de A.Rothstein et Dj Quiou) http://pc-system.fr/ pour nettoyer les utilitaires téléchargés,
    * Désactive la restauration système, redémarre l'ordinateur, puis réactive-la, en procédant comme indiqué ici http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

    * Lance le nettoyage avec CCleaner régulièrement

    * Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
    * Utilise hebdomadairement ce petit programme http://alt-shift-return.org/Info/Update_Checker.html pour effectuer tes mises à jour logicielles.

    à+
    0
  9. bernard
     
    Bonsoir

    Ce soir je vois GenProc.bat sur mon bureau alors que je ne veux plus m'en servir.

    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
    --> Recherche:
    C:\WINDOWS\Downloaded Program Files\*.msnfix: trouvé !
    ---------------------------------
    --> Suppression:
    C:\WINDOWS\Downloaded Program Files\*.msnfix: ERREUR DE SUPPRESSION !!

    Je vais voir dans ce dossier : https://www.casimages.com/i/091105103810648388.png.html
    Et mon bureau : https://www.casimages.com/i/091105105644242335.png.html

    Bah je vais les enlever a la main. Merci.
    0