0i763f66bz.exe Résolu/Fermé

Question

Bonjour,

J'ai vu quelques sujets évoquant mon problème mais apparemment chaque solution est personnalisée donc je crée mon propre sujet.
Comme indiqué dans le titre, j'ai ce fichier 0i763f66bz.exe qui est apparu dans mon dossier utilisateur et qui en plus essaie de se lancer tout seul en permanence (Vista me demande de l'autoriser et j'annule à chaque fois).
Quelqu'un saurait-il comment me débarrasser de ce truc ?

Merci.


Configuration: Windows Vista

g3n-h@ckm@n · Answer

salut

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

ok je pense que zeroAccess a bloqué l'outil et des fonctions 

donc il faut que tu ouvres internet explorer (c:\programmes\internet explorer\iexplore.exe , puis mets ceci dans la barre d'adresse et exeecute-le  : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

g3n-h@ckm@n · Answer

ok :)

il est dans C:\ alors le rapport...

pb · Answer

Bon, finalement j'ai encore cinq minutes :)
Désolé, je n'avais pas vu ton message de 21h15.
Effectivement, le rapport était dans C:\
Le voici: http://pjjoint.malekal.com/files.php?id=20120710_m6m13r8d11s8

g3n-h@ckm@n · Answer

installe internet explorer 9
va dans demarrer/programmes/windows updates , et recherche les mises à jour et prend tout ce qu on te propose

===========

desinstalle µtorrentBar_FR
desinstalle adobe reader 8
desinstalle spotify
desinstalle conduit/ConduitEngine

===========


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGkw02qoLKV

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

pb · Answer

Bonjour,

Je viens d'essayer de suivre ces dernières instructions mais je n'ai pas d'option "script" quand je relance Pre_scan.
Je clique sur le fichier winlogon.exe (avec l'icône biohazard) et ça lance immédiatement le programme.
Y a-t-il un truc que je n'ai pas compris dans l'utilisation de Pre_scan ?

Merci pour toute cette aide.

g3n-h@ckm@n · Answer

tu as supprimé le dossier C:\Pre_scan ?

pb · Answer

Je ne l'avais pas fait. Je l'ai fait. J'ai relancé Pre_scan et toujours pareil, il scan, il redémarre mais il ne me demande rien.

g3n-h@ckm@n · Answer

ok retelcharge la version .pif et reessaie il a pu etre corrompu

pb · Answer

Ça marché. Voici le lien du Pre_script.txt: http://pjjoint.malekal.com/files.php?id=20120711_s13c11c15t13e6

g3n-h@ckm@n · Answer

magnifique


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

pb · Answer

Et voilà le rapport de Malwarebytes:


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.11.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
pb :: TOSHIB [administrateur]

11/07/2012 19:46:02
mbam-log-2012-07-11 (19-46-02).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 417232
Temps écoulé: 1 heure(s), 43 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Mis en quarantaine et supprimé avec succès.

(fin)


Tout ça semble assez rassurant.

g3n-h@ckm@n · Answer

et ben ca a l'air bon tout ca...tu ressens encore des soucis  ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pb · Answer

Non, tout semble rentré dans l'ordre. Le fameux fichier .exe a disparu et Avira a cessé de s'exciter tout seul.
Le seul mystère c'est ou est ce que j'ai chopé ce truc.

En tout cas, merci encore pour ton aide et ta disponibilité.

g3n-h@ckm@n · Answer

mmmm.....attends voir un truc...

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

pb · Answer

OK, bien reçu. Je ferai tout ça demain matin et je posterai le résultat ici.

Merci ! ;-)

g3n-h@ckm@n · Answer

pas de soucis :)

pb · Answer

Et un rapport Gmer, un !
http://pjjoint.malekal.com/files.php?id=20120712_g11c6c12t15n7

g3n-h@ckm@n · Answer

selectionne juste ceci avec ta souris et "copier" :

Extra::

relance Pre_scan , clique sur script , colle dans la page blanche qui s'ouvre , ferme , laisse bosser , puis heberge le rapport

pb · Answer

Done:

http://pjjoint.malekal.com/files.php?id=20120712_t5j12y8b15v7

g3n-h@ckm@n · Answer

c'est propre on peut faire le menage

https://gen-hackman.kanak.fr/

pb · Answer

OK, je vais faire tout ça !

:-p

pb · Answer

Bonjour !

J'ai un petit soucis avec WIGI.
Je clique sur les lignes en rouge, je mets ce qu'il faut à jour et quand je re-scan, les lignes sont toujours rouges.
J'ai refait les mises à jours dans le doute et ça retélécharge exactement les mêmes trucs.
Voilà le rapport (j'ai que le deuxième, je crois qu'il a écrasé le premier...)

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 13/07/2012 12:28:29 [Normal Mode]
Machine : TOSHIB (2 CPUs) [pb : ADMIN]
OS: Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
OUTDATED [Adobe Flash] Current : 11.3.300.265 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash ActiveX] Current : 11.3.300.265 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash FF Plugin] Current : 11.3.300.265 -- Latest : 11.3.300.262


Finished
<C:\Users\pb\Desktop\WIGIReport[1].txt>
WIGIReport[1].txt 


Les trois trucs "outdated" ne veulent pas se mettre à jour...

g3n-h@ckm@n · Answer

c'est bon c'est wigi qui est pas à jour

pb · Answer

ok, j'en suis à la défragmentation, donc je pense qu'on peut clore le sujet.
Voici la dernière ligne du rapport de PureRa : Total space cleaned: 351.09 MB

Et le rapport DelFix :

# DelFix v8.8 - Rapport créé le 13/07/2012 à 14:54:49
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : pb - TOSHIB (Administrateur)
# Exécuté depuis : C:\Users\pb\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\pb\Desktop\Defogger.exe
Supprimé : C:\Users\pb\Desktop\defogger_disable.log
Supprimé : C:\Users\pb\Desktop\Pre_Scan.pif
Supprimé : C:\Users\pb\Desktop\Pre_Scan_10_07_2012_20_04_29.txt
Supprimé : C:\Users\pb\Desktop\Pre_Scan_11_07_2012_16_38_30.txt
Supprimé : C:\Users\pb\Desktop\Pre_script.txt
Supprimé : C:\Users\pb\Desktop\WhyIGotInfected.exe
Supprimé : C:\Users\pb\Downloads\Pre_Scan.pif

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [956 octets] - [13/07/2012 14:54:49]

########## EOF - C:\DelFix[S1].txt - [1079 octets] ##########

pb · Answer

Et je profite de l'opportunité pour te poser une petite question: faut-il envisager de formater complètement son PC de temps à autre (le mien a 4 ans) ?
Je comptais le faire mais après tout ce nettoyage je me dis qu'il est clean et opérationnel pour un moment.

Et de nouveau, merci infiniment pour ton aide précieuse et ta disponibilité.

g3n-h@ckm@n · Answer

bah tant que tu installes pas n importe quoi et que tu cliques pas n importe où....

tu as lu mes liens informatifs plus bas ?

pb · Answer

J'ai pas encore tout lu, mais je garde ta page en favori.

Je suis pourtant pas du genre à cliquer n'importe ou, du coup je me posais la question: est-ce qu'en cliquant sur un pop-up pour le fermer on peut en fait accepter sans le vouloir un truc malveillant ?

g3n-h@ckm@n · Answer

ca arrrive mieux avoir adblockPlus d installé et je crois que le meme editeur a fait un module ...Adblockpopup un truc comme ca...

pb · Answer

Bon, je ne sais pas comment ça se passe mais je pense que le sujet peut-être noté comme "résolu".

Merci et à bientôt (enfin à bien y réfléchir, j'espère pas ;-) )

g3n-h@ckm@n · Answer

ok au plaisir ;)