application w22BYaX.exe ?Résolu/Fermé

Question

Bonjour, 

Savez-vous à quoi correspond l'application w22BYaX.exe ? Elle apparait dans le task manager. La recherche Google ne donne aucune réponse...

Merci et bonne journée

Configuration: Windows XP / Firefox 13.0

Destrio5 · Answer

Bonjour,

Peut-être une infection.

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

dukduk · Answer

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_v14d9d13i15g5

Destrio5 · Answer

"C:\Arquivos de programas\AdhxfxX\TtthjcJ\QamjgkM.exe 
C:\Arquivos de programas\EmitcnX\KoaifnW\WymcnfW.exe
D:\Documents and Settings\All Users\u78fLkbnuFVH\xaSEJ0qEE4zIAv3q\uzky2gfGYhLnxc\BWmAaP4T4sG7\EgdYOUnfGmaWUAc\wjIrCRF9sImje2\w22BYaX.exe"

--> A part ce fichier w22BYaX.exe, tu n'as rien remarqué d'autre ?

Fais ceci :

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

dukduk2 · Answer

les noms de répertoire sont en espagnol??!

--> A part ce fichier w22BYaX.exe, tu n'as rien remarqué d'autre ? 

si, récemment Antivir a détecté quelques trojan, éliminés sur le champ.



# AdwCleaner v1.609 - Logfile created 06/16/2012 at 10:10:05
# Updated 10/06/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : vincent - SIB-B63808CE51B
# Running from : D:\Documents and Settings\vincent\My Documents\Téléchargements\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : D:\Program Files\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Deleted : D:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
Deleted on reboot : D:\WINDOWS\system32\prncnfgd
File Deleted : D:\Documents and Settings\vincent\errorlog.tmp
File Deleted : D:\Documents and Settings\vincent\F_ajour.jar
File Deleted : D:\Documents and Settings\vincent\Start Menu\QuickStores.url
File Deleted : D:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registry] *****

Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]

***** [Internet Browsers] *****

-\ Internet Explorer v7.0.5730.13

Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=56d41459000000000000001c252e8ba1&tlver=1.4.23.10&affID=19591 --> hxxp://www.google.com
Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.cherche.us --> hxxp://www.google.com
Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = cherche.us --> hxxp://www.google.com
Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms} --> hxxp://www.google.com
Replaced : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=56d41459000000000000001c252e8ba1&tlver=1.4.23.10&affID=19591 --> hxxp://www.google.com

-\ Mozilla Firefox v13.0 (fr)

Profile name : default 
File : D:\Documents and Settings\vincent\Application Data\Mozilla\Firefox\Profiles\bso8lsow.default\prefs.js

Deleted : user_pref("extensions.BabylonToolbar.bbDpng", 14);
Deleted : user_pref("extensions.BabylonToolbar.firstRun", false);
Deleted : user_pref("extensions.BabylonToolbar.lastDP", 14);
Deleted : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=toolbar2&q=");
Deleted : user_pref("quickstores.toolbar.affid", "2017");
Deleted : user_pref("quickstores.toolbar.guid", "{931B52F4-3798-F84C-94F8-8DC758C2558B}");

Profile name : default 
File : D:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\q8zu3vek.default\prefs.js

[OK] File is clean.

-\ Google Chrome v19.0.1084.56

File : D:\Documents and Settings\vincent\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Deleted :       "homepage": "hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=56d41459000000000000001c252e8ba1&t[...]
Deleted :    "homepage": "hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=56d41459000000000000001c252e8ba1&tlve[...]

*************************

AdwCleaner[S1].txt - [4809 octets] - [16/06/2012 10:10:05]

########## EOF - D:\AdwCleaner[S1].txt - [4937 octets] ##########

Destrio5 · Answer

"les noms de répertoire sont en espagnol??!"

--> Je dirais plutôt du portugais. Il y a quoi dans ce dossier "Arquivos de programas" ?

--> Relance AdwCleaner et choisis "Désinstallation".

--> Je voudrais un nouveau rapport ZHPDiag.

dukduk2 · Answer

--> Je dirais plutôt du portugais. Il y a quoi dans ce dossier "Arquivos de programas" ? 

2 dossiers cachés, avec 3dossiers dans chacun.
Il a entre autre des images BMP de barre des tâches Explorer en portugais...


https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_i15u12y5m1111

Destrio5 · Answer

Est-ce que tu peux faire analyser les 3 fichiers .exe que j'ai cité sur VirusTotal puis me donner les résultats des analyses ?

https://www.virustotal.com/gui/

dukduk2 · Answer

https://www.virustotal.com/gui/file/9c314c08447b585831ea81fa0e08c0856d7c7137eaf7d93234529051ec1a9b49


https://www.virustotal.com/gui/file/9c314c08447b585831ea81fa0e08c0856d7c7137eaf7d93234529051ec1a9b49

je ne retrouve pas celui-ci:
D:\Documents and Settings\All Users\u78fLkbnuFVH\xaSEJ0qEE4zIAv3q\uzky2gfGYhLnxc\BWmAaP4T4sG7\EgdYOUnfGmaWUAc\wjIrCRF9sImje2\w22BYaX.exe" 


sinon j'ai reçu ce message sur mon mail, mais il n'apparait pas ici!
(et je ne connais pas OTL)

ok,

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

== == == == == == == == == == == == == == == == == == == == == ==

Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

== == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

? Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
? Clique sur le bouton Correction.
? Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
? Accepte en cliquant sur OK.
? Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

2. Lance un examen rapide avec Malwarebytes qui est déjà installé sur ton pc (effectue sa mise à jour avant), supprime ce qu'il trouve.

3. Héberge les rapports et poste les liens.

A +

-- 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

dukduk2 · Answer

oups:

https://www.virustotal.com/gui/file/df2ac49a9c4afa0707b67c86bdd800265b7dca743e27ef280d8430fa5e23927c

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified    
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline 
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- D:\Program Files\QuickTime\qttask.exe 
O4 - HKCU\..\Run: [QamjgkM] . (.PhedexbFileDescription - Thumbnail Surface Application.) -- C:\Arquivos de programas\AdhxfxX\TtthjcJ\QamjgkM.exe      
O4 - HKCU\..\Run: [ruqMNdabjO] . (...) -- D:\Documents and Settings\All Users\u78fLkbnuFVH\xaSEJ0qEE4zIAv3q\uzky2gfGYhLnxc\BWmAaP4T4sG7\EgdYOUnfGmaWUAc\wjIrCRF9sImje2\w22BYaX.exe   
O4 - HKUS\S-1-5-18\..\Run: [WymcnfW] . (.PhedexbFileDescription - Thumbnail Surface Application.) -- C:\Arquivos de programas\EmitcnX\KoaifnW\WymcnfW.exe      
O4 - HKUS\S-1-5-18\..\Run: [WymcnfW] . (.PhedexbFileDescription - Thumbnail Surface Application.) -- C:\Arquivos de programas\EmitcnX\KoaifnW\WymcnfW.exe      
O4 - HKUS\S-1-5-21-1801674531-1229272821-2146553785-1004\..\Run: [QamjgkM] . (.PhedexbFileDescription - Thumbnail Surface Application.) -- C:\Arquivos de programas\AdhxfxX\TtthjcJ\QamjgkM.exe      
O4 - HKUS\S-1-5-21-1801674531-1229272821-2146553785-1004\..\Run: [ruqMNdabjO] . (...) -- D:\Documents and Settings\All Users\u78fLkbnuFVH\xaSEJ0qEE4zIAv3q\uzky2gfGYhLnxc\BWmAaP4T4sG7\EgdYOUnfGmaWUAc\wjIrCRF9sImje2\w22BYaX.exe      
[MD5.00000000000000000000000000000000] [APT] [RealUpgradeLogonTaskS-1-5-21-1801674531-1229272821-2146553785-1004] (...) -- D:\Program Files\Real\RealUpgrade\realupgrade.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [RealUpgradeScheduledTaskS-1-5-21-1801674531-1229272821-2146553785-1004] (...) -- D:\Program Files\Real\RealUpgrade\realupgrade.exe (.not file.)    
[HKLM\Software\SeekappSrch]   
O43 - CFD: 15/06/2012 - 19:53:54 - [29,104] -SH-D D:\Documents and Settings\All Users\u78fLkbnuFVH
O43 - CFD: 14/07/2011 - 12:44:06 - [0,002] ----D D:\Documents and Settings\vincent\Application Data\Media Get LLC   
O43 - CFD: 10/12/2009 - 03:19:06 - [0] --HAD D:\Documents and Settings\vincent\Local Settings\Application Data\a1vM2WOmZ   
O43 - CFD: 14/07/2011 - 12:43:11 - [1,485] ----D D:\Documents and Settings\vincent\Local Settings\Application Data\Media Get LLC 
O43 - CFD: 14/07/2011 - 12:44:16 - [0,000] ----D D:\Documents and Settings\vincent\Local Settings\Application Data\MediaGet2 
O43 - CFD: 18/11/2010 - 09:36:16 - [0,004] --H-D D:\Documents and Settings\vincent\Local Settings\Application Data\QZooaw6zZr3Msm      
O51 - MPSK:{011cf5e1-4a33-11de-9222-00173392e3a5}\AutoRun\command - Clé orpheline  
O51 - MPSK:{157dbf23-c3e2-11de-933b-00173392e3a5}\AutoRun\command - Clé orpheline  
O51 - MPSK:{5f5e024e-2431-11de-a9d6-806d6172696f}\AutoRun\command - Clé orpheline 
O53 - SMSR:HKLM\...\startupreg\SpybotSD TeaTimer  [Key] . (...) -- D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (.not file.)
C:\Arquivos de programas\EmitcnX
C:\Arquivos de programas\AdhxfxX
ProxyFix 
EmptyCLSID
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

dukduk2 · Answer

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : D:\ZHP\ZHPExportRegistry-16-06-2012-11-49-45.txt
Run by vincent at 16/06/2012 11:49:45
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKLM\Software\SeekappSrch
SUPPRIME CLSID MPSK: {011cf5e1-4a33-11de-9222-00173392e3a5}
SUPPRIME CLSID MPSK: {157dbf23-c3e2-11de-933b-00173392e3a5}
SUPPRIME CLSID MPSK: {5f5e024e-2431-11de-a9d6-806d6172696f}
SUPPRIME Key*:  StartupReg: SpybotSD TeaTimer

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: KernelFaultCheck
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: QamjgkM
SUPPRIME RunValue: ruqMNdabjO
SUPPRIME RunValue: WymcnfW
ABSENT RunValue: QamjgkM
ABSENT RunValue: ruqMNdabjO
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIME ProxyServer Value
SUPPRIME ProxyEnable Value
SUPPRIME EnableHttp1_1 Value
SUPPRIME ProxyHttp1.1 Value
SUPPRIME ProxyOverride Value

========== Elément(s) de donnée du Registre ==========
SUPPRIME Explorer Association Data Application: http://www.filefacts.net/redirect.php?lang=%04x&ext=%s

========== Dossier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\arquivos de programas\adhxfxx	tthjcj\qamjgkm.exe
SUPPRIME File: d:\documents and settings\all users\u78flkbnufvh\xasej0qee4ziav3q\uzky2gfgyhlnxc\bwmaap4t4sg7\egdyounfgmawuac\wjircrf9simje2\w22byax.exe
SUPPRIME File: c:\arquivos de programas\emitcnx\koaifnw\wymcnfw.exe
ABSENT File: c:\arquivos de programas\adhxfxx	tthjcj\qamjgkm.exe
ABSENT File: d:\documents and settings\all users\u78flkbnufvh\xasej0qee4ziav3q\uzky2gfgyhlnxc\bwmaap4t4sg7\egdyounfgmawuac\wjircrf9simje2\w22byax.exe
ABSENT File: d:\program files\spybot - search & destroy	eatimer.exe
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: RealUpgradeLogonTaskS-1-5-21-1801674531-1229272821-2146553785-1004
SUPPRIME Task: RealUpgradeScheduledTaskS-1-5-21-1801674531-1229272821-2146553785-1004

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
13 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
8 : Fichier(s)
2 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
D:\ZHP\ZHPFix[R1].txt - 16/06/2012 11:49:45 [2607]

Destrio5 · Answer

As-tu remarqué des changements après cette manip' ?

Je voudrais un nouveau rapport ZHPDiag.

dukduk2 · Answer

"As-tu remarqué des changements après cette manip' ? "
oui, le dossier C:\ Arquivos de Programa est toutjours là, mais vide.

celui-ci a disparu:
D:\Documents and Settings\All Users\u78fLkbnuFVH\xaSEJ0qEE4zIAv3q\uzky2gfGYhLnxc\BWmAaP4T4sG7\EgdYOUnfGmaWUAc\wjIrCRF9sImje2\w22BYaX.exe"



https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_t13j5e15z7y14

Destrio5 · Answer

Supprime le dossier "arquivos de programas".

http://www.01net.com/operations/avira/

Si pendant l'installation, il te propose une barre d'outils, décoche.

dukduk2 · Answer

ok, dossier supprimé.
Un coup de CCleaner derrière.

J'ai déja Avira sinon.


Merci beaucoup pour votre aide et votre forum d'utilité publique! ;)

Destrio5 · Answer

"D:\Program Files\x86"

--> Il y a quoi dans ce dossier ?

"O43 - CFD: 12/02/2010 - 20:04:54 - [0,001] --H-D D:\Documents and Settings\vincent\Local Settings\Application Data\DPyxAGv4z5Nb162"

--> Supprime ce dossier manuellement ou avec ZHPFix.

"Avira AntiVir Personal"

--> C'est écrit Avira Free Antivirus avec la dernière version.

Application w22BYaX.exe ?

16 réponses

Discussions similaires

Newsletters