création d'un .exe au demarrage Résolu

Question

Bonjour, 

J'expérimente depuis quelques jours un soucis des plus déstabilisants...

Au démarrage de mon pc, un .exe est repéré par mon antivirus/firewall, comme étant un programme suspect et me demande si son exécution doit être autorisée.

Bien évidemment, je ne l'autorise pas.

Ce fichier .exe prend différents noms, du style 823.exe, 346.exe, 741.exe.....
et est créé dans le répertoire "C:\Documents and Settings\^_^\Local Settings\Temp"

J'analyse le fichier avec l'antivirus, aucun résultat.

Je supprime le fichier, pas de problèmes.

Je redemarre le pc, un nouveau fichier arrive.

J'ai essayé de chercher par moi même les raisons de ce comportement sur le web, mais mes limites ont été vite atteintes, et c'est un dernier ressort que je viens poster ici.

J'ai lancé toutes les  maj que je pouvais...elles ont été effectuées sans soucis...

J'ai lancé plusieurs analyses complètes du système. Le résultat a toujours été le même, aucune menace détectée.

Dès lors, je me pose de plus en plus de questions concernant mon anti virus, qui n'a pas été capable de détecter cette "menace".... Un fichier génère ce .exe ...mais rien ne dit qu'il ne fait pas autre chose ( ?!? dsl, un peu de parano sur les bords commence à me gagner...mais mon antivirus ne detecte rien, donc...)

Si vous avez des éléments me permettant de trouver une solution, je vous en remercie par avance.

Anti-virus firewall 9.12 build 112 / Version 7.13-2 / F-Secure Anti-Virus Copyright

Configuration: Windows XP / Internet Explorer 8.0

cddu33 · Answer

vous pouvez essayer spybot qui detecte des chose que ne voyent pas les antivirus (https://www.safer-networking.org/download/

magicdave · Answer

MALWAREBYTES est un excellent antispyware (en complément à spybot)
Ensuite, mets-le à jour et envoie le rapport

archet9 · Answer

Bonsoir,

Spybot est plutot à désinstaller qu'à installer....Dépassé par les évènements !


Stand:


Pour voir cela:

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+

Stand · Answer

merci de la rapidité de vos réponses :)

voici le log.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijcfKg7R8.txt 


voici le info.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cij952tRZA.txt 

merci

archet9 · Answer

"- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence "

==> Relance RSIT et accepte de télecharger hijackthis...

Tu n'auras qu'un seul rapport cette fois c'est normal

archet9 · Answer

Non pas la peine ,ça sera le même...

On va donc essayer un autre outil de diagnostic:

Télécharge ZHPDiag ( de Nicolas coolman ). 
 https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

 Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau 

 Clique sur l'icône en forme de dossier avec une loupe " Analyse détaillée MD5 ", puis laisse l'outil scanner. 

 Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

 Rends toi sur Cijoint:
 http://www.cijoint.fr/

 Clique sur " Parcourir " dans la partie " Joindre un fichier[...] " 

 Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

 Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

a+

archet9 · Answer

"...je sens que ça va pas être simple cette affaire ;)"

==> T'as raison...! quand l'accès aux sites de sécu est impossible ça me rappèle 
qquechose... conficker ou qquechose ds le genre...

On va donc faire différemment

---> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Et renomme le en " Stand exe" comme suggéré sur ce tuto:
http://www.bibou0007.com/outils-specifiques-f78/tutorial-pour-renommer-combofix-t854.htm

==> Ton probleme ne vient pas de "Bagle" mais la manip est la même...

Ensuite

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur "Stand exe " Un "pop-up" va apparaître qui dit que Stand exe est utilisé à vos risques et avec aucune garantie...". 
Accepte en cliquant sur "Oui" 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Stand · Answer

"...En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. ..."

par contre, là, soucis...si mon antivirus et firewall sont désactivés, et que je redémarre...resteront - ils désactivés ??? 

J'ai peur que dans ce cas, l'exe qui est généré au démarrage ne puisse pas être bloqué....et du coup...il va faire....ce qu'il veut... : /

on va voir...en attendant, je fais rien ^^'

archet9 · Answer

Continue les procédures....

a+........

Stand · Answer

et voici le ZHPdiag.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijgvbT3Mc.txt

archet9 · Answer

Salut à tous...

https://forums.commentcamarche.net/forum/affich-18051586-creation-d-un-exe-au-demarrage#10

Je bosse demain donc dodo ds peu de temps ,  si jacques gache veut bien poursuivre, il est le bien venu...

a+

archet9 · Answer

Fais ceci tout de même :
https://forums.commentcamarche.net/forum/affich-18051586-creation-d-un-exe-au-demarrage#10a+

Stand · Answer

N'étant pas rassuré, j'ai craqué et rallumé l'ordi, histoire d'avancer... 

J'ai utilisé l'outil symantec, merci (depuis le temps....je me souviens à une époque m'être demandé...mais comment je le désinstalle ce truc... ^^') 

voici enfin le log combofix : ( à noter que la fenetre combofix me demandait de ne pas lancer de programme avant la fin de la génération du rapport, mais le gestionnaire internet se lance automatiquement à chaque démarrage et tente de se connecter...je l'ai arrêté en cours de tentative...j'espère que cela n'a eu une influence trop grave sur le résultat...d'ailleurs, il est aussi à noter que les protections ne se sont pas réactivées au redémarrage) 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijO98F1rt.txt  

merci encore 

en espérant avoir convenablement suivi les procédures...

Stand · Answer

Bonjour, 

du nouveau depuis hier et le passage de combofix... 

Il semble que cet .exe ne soit plus généré... 

Disons que c'est un bon début ^^'...mais j'ai peur que cela ne soit pas suffisant. 

Espérons que la lecture du log de combofix vous en apprendra un peu plus et que, peut être, nous pourrons arriver à une solution :) 

merci encore pour le temps que vous m'avez déjà consacré.

archet9 · Answer

Refais un ZHPdiag stp...

a+

Stand · Answer

voici le nouveau ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijSNOmzKO.txt

archet9 · Answer

Comment se comporte le PC ?



Fais un scan avec cet antispyware : 
Malwarebytes + tutoriel 
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.  

a+

archet9 · Answer

Fais tout en mode normal...et surtout choisis "un examen rapide" sinon ça va prendre des heures !!!
a+

Stand · Answer

voici le rapport ( le pc n'a pas eu besoin de redémarrer)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4176

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/06/2010 19:33:31
mbam-log-2010-06-07 (19-33-31).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118618
Temps écoulé: 5 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

archet9 · Answer

"voici le rapport ( le pc n'a pas eu besoin de redémarrer)" 

==> Normal, le fix n'a rien trouvé...c'est bien !

Une dernière vérif..et on finira !

* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX) 

https://www.ionos.fr/?affiliate_id=77097 

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton : 

 
suppression 


/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir 
- puis clique sur OK 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt 

a+

Stand · Answer

voici le log usbfix : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cij9kjd2iW.txt 

voila voila...

archet9 · Answer

Impec tout ça....

Si tu n'as plus d'autres soucis:

Pour desinstaller les outils utilisés

Telecharge ToolsCleaner2--> http://pc-system.fr/ 
-Une fois téléchargé, installe-le et lance-le 
-Clique sur Recherche et laisse le scan se terminer 
-Clique sur SUPPRESSION 
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt 


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

 * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).  
* Décoche la case plus vieux que 24 h 

TRES IMPORTANT: 

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger : 
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
VISTA:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista 

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème : 
https://www.vulgarisation-informatique.com/creer-point-restauration.php

  
---> Changes le statut de ce topic :
et mets le en "résolu"
https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

a+

archet9 · Answer

Pas tres grave !!! continue....

archet9 · Answer

Hello jacques..et merci pour tes interventions...

Ps: Je te MP ds qques secondes...

a+

Stand · Answer

Voilà, 

J'ai effectué toutes les opérations, créé un pt de restauration et tout et tout...

Alors pour finir, je voudrais sincèrement vous remercier pour tous ces conseils et tous ces tests...

merci de m'avoir permis de récupérer une configuration saine, je n'y croyais plus !!

Donc un grand merci à vous !!!

mais je ne peux pas m'empêcher de vous poser une dernière question...

Je sais bien que, comme sur la route, la sécurité dépend du véhicule mais aussi du conducteur.....mais tout de même, que faire pour m'assurer que ma config restera saine, j'essaye déjà d'avoir une conduite "sans risques" mais cela n'a pas suffit...sachant que mon antivirus a laissé passé un truc...devrais je faire des scans réguliers avec certains outils ? où autre ?...

merci à vous !

bonne continuation

( et comme je ne peux pas le faire autrement =>

>>>RESOLU !!!!!!!!!!)

^_^

archet9 · Answer

Bah....c'est quoi une attitude responsable ?

==> C'est je pense, l'attitude de tous les helpers de ce forum qui ont expérimentés la bande et qui en sont revenus.....

a+

Création d'un .exe au demarrage - Page 2

Discussions similaires

Newsletters