Création d'un .exe au demarrage

Résolu
Stand -  
 archet9 -
Bonjour,

J'expérimente depuis quelques jours un soucis des plus déstabilisants...

Au démarrage de mon pc, un .exe est repéré par mon antivirus/firewall, comme étant un programme suspect et me demande si son exécution doit être autorisée.

Bien évidemment, je ne l'autorise pas.

Ce fichier .exe prend différents noms, du style 823.exe, 346.exe, 741.exe.....
et est créé dans le répertoire "C:\Documents and Settings\^_^\Local Settings\Temp"

J'analyse le fichier avec l'antivirus, aucun résultat.

Je supprime le fichier, pas de problèmes.

Je redemarre le pc, un nouveau fichier arrive.

J'ai essayé de chercher par moi même les raisons de ce comportement sur le web, mais mes limites ont été vite atteintes, et c'est un dernier ressort que je viens poster ici.

J'ai lancé toutes les maj que je pouvais...elles ont été effectuées sans soucis...

J'ai lancé plusieurs analyses complètes du système. Le résultat a toujours été le même, aucune menace détectée.

Dès lors, je me pose de plus en plus de questions concernant mon anti virus, qui n'a pas été capable de détecter cette "menace".... Un fichier génère ce .exe ...mais rien ne dit qu'il ne fait pas autre chose ( ?!? dsl, un peu de parano sur les bords commence à me gagner...mais mon antivirus ne detecte rien, donc...)

Si vous avez des éléments me permettant de trouver une solution, je vous en remercie par avance.

Anti-virus firewall 9.12 build 112 / Version 7.13-2 / F-Secure Anti-Virus Copyright

26 réponses

  • 1
  • 2
Résumé de la discussion

Au démarrage, un fichier exécutable est systématiquement détecté comme suspect par l’antivirus et crée des noms variables (823.exe, 346.exe, 741.exe) dans le répertoire Temp, sans menace repérée par les analyses. Des recommandations s'orientent vers des outils de diagnostic comme HijackThis, RSIT et ZHPDiag, ainsi que Malwarebytes en analyse rapide, afin d’évaluer d’éventuelles infections et de collecter les rapports. En cas de persistance, il est conseillé des nettoyages approfondis et des rapports à examiner pour orienter les mesures, tout en notant qu’un antivirus peut ne pas détecter certains comportements. D'autres éléments indiquent qu’un rapport Malwarebytes en mode rapide n’a détecté aucune menace, soulignant la nécessité d’un suivi régulier et d’une éventuelle vérification avec d’autres outils.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. archet9
     
    Bonsoir,

    Spybot est plutot à désinstaller qu'à installer....Dépassé par les évènements !

    Stand:

    Pour voir cela:

    Télécharge RSIT (de random/random) sur le bureau :

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur "Continue" dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
    - Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
    et colle le lien généré.
    Les rapports sont dans le dossier ici C:\rsit
    a+
    1
  2. magicdave
     
    MALWAREBYTES est un excellent antispyware (en complément à spybot)
    Ensuite, mets-le à jour et envoie le rapport
    0
  3. Stand
     
    merci de la rapidité de vos réponses :)

    voici le log.txt
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijcfKg7R8.txt

    voici le info.txt
    http://www.cijoint.fr/cjlink.php?file=cj201006/cij952tRZA.txt

    merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. archet9
     
    "- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence "

    ==> Relance RSIT et accepte de télecharger hijackthis...

    Tu n'auras qu'un seul rapport cette fois c'est normal
    0
    1. Stand
       
      j'ai toujours dans le fichier log un message
      HijackThis download failed

      mais aucun message n'apparait pour me permettre ou non d'accepter le téléchargement de highjackthis

      par contre....cette fois, je n'ai qu'un seul rapport... je le poste tout de même ?
      0
  6. archet9
     
    Non pas la peine ,ça sera le même...

    On va donc essayer un autre outil de diagnostic:

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    Clique sur l'icône en forme de dossier avec une loupe " Analyse détaillée MD5 ", puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rends toi sur Cijoint:
    http://www.cijoint.fr/

    Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

    a+
    0
    1. Stand
       
      ...je n'arrive pas à lancer le téléchargement....même depuis le second lien proposé...rien ne se passe...je sens que ça va pas être simple cette affaire ;)
      0
  7. archet9
     
    "...je sens que ça va pas être simple cette affaire ;)"

    ==> T'as raison...! quand l'accès aux sites de sécu est impossible ça me rappèle
    qquechose... conficker ou qquechose ds le genre...

    On va donc faire différemment

    ---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Et renomme le en " Stand exe" comme suggéré sur ce tuto:
    http://www.bibou0007.com/outils-specifiques-f78/tutorial-pour-renommer-combofix-t854.htm

    ==> Ton probleme ne vient pas de "Bagle" mais la manip est la même...

    Ensuite

    /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

    ---> Double-clique sur "Stand exe " Un "pop-up" va apparaître qui dit que Stand exe est utilisé à vos risques et avec aucune garantie...".
    Accepte en cliquant sur "Oui"

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
    0
    1. Stand
       
      j'ai enfin reussi à DL le premier ZHP, mais pas en passant par le lien que tu as fourni...mais par un autre lien d'un autre forum ( où le lien était : ftp://zebulon.fr/ZHPDiag%201.24.37.exe) et là ça a marché...

      Mais je viens de lire ta réponse, j'attend donc tes directives :
      je tente le ZHP ?
      je tente le combofix ?

      merci
      0
  8. Stand
     
    "...En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. ..."

    par contre, là, soucis...si mon antivirus et firewall sont désactivés, et que je redémarre...resteront - ils désactivés ???

    J'ai peur que dans ce cas, l'exe qui est généré au démarrage ne puisse pas être bloqué....et du coup...il va faire....ce qu'il veut... : /

    on va voir...en attendant, je fais rien ^^'
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, si on me permet cette intrusion , au redémarrage les protections devraient se réactiver automatiquement, mais perso je te conseillerais de commencer par un zhp et puis après lecture archet9 que je salut au passage te dira si oui pour combofix en premier ou après d'autre outils selon les choses visible dans ton zhp !!
      0
    2. Stand
       
      très bien, merci jacques.gache

      Je vais donc procéder comme cela, d'abord le ZHP, comme initialement conseillé par Archet9, et pour la suite , nous verrons en fonction

      merci encore
      0
  9. archet9
     
    Continue les procédures....

    a+........
    0
  10. Stand
     
    et voici le ZHPdiag.txt

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijgvbT3Mc.txt
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      stand , perso il y a des choses qui m'interpellent sur le log.txt de RSIT , tu n'as pas autorisé l'installation de hijackthis donc le rapport n'est pas complet , mais je vois norton comme antivirus et F secure si tu n'utilises plus norton désinstalles le avec l'outil spéciphique de chez symantec http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

      après tu pourras faire combofix !!
      0
  11. Stand
     
    N'étant pas rassuré, j'ai craqué et rallumé l'ordi, histoire d'avancer...

    J'ai utilisé l'outil symantec, merci (depuis le temps....je me souviens à une époque m'être demandé...mais comment je le désinstalle ce truc... ^^')

    voici enfin le log combofix : ( à noter que la fenetre combofix me demandait de ne pas lancer de programme avant la fin de la génération du rapport, mais le gestionnaire internet se lance automatiquement à chaque démarrage et tente de se connecter...je l'ai arrêté en cours de tentative...j'espère que cela n'a eu une influence trop grave sur le résultat...d'ailleurs, il est aussi à noter que les protections ne se sont pas réactivées au redémarrage)

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijO98F1rt.txt

    merci encore

    en espérant avoir convenablement suivi les procédures...
    0
  12. Stand
     
    Bonjour,

    du nouveau depuis hier et le passage de combofix...

    Il semble que cet .exe ne soit plus généré...

    Disons que c'est un bon début ^^'...mais j'ai peur que cela ne soit pas suffisant.

    Espérons que la lecture du log de combofix vous en apprendra un peu plus et que, peut être, nous pourrons arriver à une solution :)

    merci encore pour le temps que vous m'avez déjà consacré.
    0
  13. Stand
     
    voici le nouveau ZHPdiag :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijSNOmzKO.txt
    0
  14. archet9
     
    Comment se comporte le PC ?

    Fais un scan avec cet antispyware :
    Malwarebytes + tutoriel

    Tu l'installes; mets le a jour...(onglet mise a jour)
    Click maintenant sur l'onglet recherche et coche la case :
    "Executer un examen rapide".
    Puis click sur "rechercher".
    Laisses le scanner le pc...
    A la fin du scan, clique sur Afficher les résultats
    Si des elements on ete trouvés :
    > click sur supprimer la selection
    .
    si il t'es demandé de redemarrer > click sur "oui".
    A la fin un rapport va s'ouvrir;
    sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
    Copies et colles le rapport stp.

    a+
    0
    1. Stand
       
      le pc ne semble plus présenter le comportement suspect décrit dans mon message initial...

      pour ce qui est de Malwarebytes, je lis sur le tuto...
      ....l'analyse doit être réalisée en mode sans échec ? pour l'install et la mise à jour je peux rester en mode normal ? (dsl de cette question....je ne suis pas vraiment familier avec ces notions...^^')
      0
  15. archet9
     
    Fais tout en mode normal...et surtout choisis "un examen rapide" sinon ça va prendre des heures !!!
    a+
    0
  16. Stand
     
    voici le rapport ( le pc n'a pas eu besoin de redémarrer)

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4176

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    07/06/2010 19:33:31
    mbam-log-2010-06-07 (19-33-31).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 118618
    Temps écoulé: 5 minute(s), 19 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  17. archet9
     
    "voici le rapport ( le pc n'a pas eu besoin de redémarrer)"

    ==> Normal, le fix n'a rien trouvé...c'est bien !

    Une dernière vérif..et on finira !

    * Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

    https://www.ionos.fr/?affiliate_id=77097

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Usbfix située sur ton Bureau.
    - Sur la page, clique sur le bouton :

    suppression

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
    - puis clique sur OK
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.
    le rapport se trouve sur C:\ UsbFix.txt

    a+
    0
  • 1
  • 2