TR/Dropper.MSIL : rs.exe et cwres.exe
quentinbosco
Messages postés
27
Statut
Membre
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis hier, à chaque allumage de Windows 8, deux .exe tentent de s'exécuter (je ne donne pas l'autorisation car "éditeur inconnu"). Il s'agit de :
rs.exe
cwres.exe
J'ai tenté de trouver l'emplacement de ces .exe dans mon ordinateur, en vain.
Je ne sais pas de quoi il retourne... J'ai exécuté un scan Malwarebytes, il m'a trouvé deux "Stolen Data" que j'ai supprimés, mais les deux .exe tentent toujours de se lancer à chaque démarrage.
Quelqu'un pourrait-il m'aider à comprendre ce que c'est ? Et comment me débarrasser de ces deux .exe ?
D'avance merci.
Depuis hier, à chaque allumage de Windows 8, deux .exe tentent de s'exécuter (je ne donne pas l'autorisation car "éditeur inconnu"). Il s'agit de :
rs.exe
cwres.exe
J'ai tenté de trouver l'emplacement de ces .exe dans mon ordinateur, en vain.
Je ne sais pas de quoi il retourne... J'ai exécuté un scan Malwarebytes, il m'a trouvé deux "Stolen Data" que j'ai supprimés, mais les deux .exe tentent toujours de se lancer à chaque démarrage.
Quelqu'un pourrait-il m'aider à comprendre ce que c'est ? Et comment me débarrasser de ces deux .exe ?
D'avance merci.
A voir également:
- Bmoc.aspx?xid=
- Sennheiser tr 4200 problème - Forum TV & Vidéo
- Sennheiser tr 120 mode d'emploi - Forum TV & Vidéo
- Gogle tr - Télécharger - Traduction
- SENNHEISER Casque sans fil RS 120 - Forum TV & Vidéo
- Triax tr 43 - Forum TNT / Satellite / Réception
6 réponses
Résumé de la discussion
Un utilisateur de Windows 8 signale que deux fichiers .exe, rs.exe et cwres.exe, tentent de s'exécuter au démarrage et ne reçoivent pas l'autorisation lorsque l'éditeur est inconnu. Malwarebytes a détecté des éléments intitulés Stolen Data et ils ont été supprimés, mais les deux .exe continuent de se lancer, ce qui pousse à investiguer leur emplacement et leur provenance. D'autres échanges évoquent l'exécution d'un scan Avast, des avertissements lors de tentatives d'installation et une procédure FRST, sans identification claire ni solution immédiate. Certains conseils proposés évoquent d'autres outils et l'usage de FRST pour extraire les logs, tout en signalant que les fichiers et emplacements peuvent rester invisibles sans privilèges administratifs.
Salut,
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
quentinbosco
Messages postés
27
Statut
Membre
2
Merci, je vais suivre les instructions et je reviens avec les liens des rapports. Mais comme je viens de lancer un scan Avast, je dois patienter jusqu'à son terme.
quentinbosco
Messages postés
27
Statut
Membre
2
Ça commence mal, je suis x86, donc j'ai choisi comme indiqué le programme x32, et l'installation échoue car "ce programme est incompatible avec votre ordinateur"...
Malekal_morte-
Messages postés
178136
Date d'inscription
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 711
y a pas d'installation, tu as un FRST.exe qui lance le programme directement.
quentinbosco
Messages postés
27
Statut
Membre
2
oui, et au lancement, ça dit "ce programme est incompatible avec votre ordinateur"
Malekal_morte-
Messages postés
178136
Date d'inscription
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 711
Donne le message en entier ou fais une capture d'écran.
Envoie ces fichiers :
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
sur http://upload.malekal.com
puis ensuite :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2015-09-09 18:41 - 2015-09-09 18:41 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\EB0D4E4A-072C-487A-877E-7E3CCA6B1140
2015-09-09 18:23 - 2015-09-09 18:23 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\Imminent
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
Task: {0D9BA51F-3297-4A0B-A67D-CADBDBB93883} - System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09] () <==== ATTENTION
Task: {7C530EAA-0C4D-485C-9DF7-A51A9AE75710} - System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09] () <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
sur http://upload.malekal.com
puis ensuite :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2015-09-09 18:41 - 2015-09-09 18:41 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\EB0D4E4A-072C-487A-877E-7E3CCA6B1140
2015-09-09 18:23 - 2015-09-09 18:23 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\Imminent
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
Task: {0D9BA51F-3297-4A0B-A67D-CADBDBB93883} - System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09] () <==== ATTENTION
Task: {7C530EAA-0C4D-485C-9DF7-A51A9AE75710} - System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09] () <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Les 2 fichiers indiqués (rs.exe et cwres.exe) n'apparaissent pas dans le dossier que tu indiques. D'ailleurs, en faisant une recherche de fichiers, je ne les avais pas trouvés. En revanche, je vois dans ce dossier AppData\Local\Temp l'application Dacty6SU qui est à l'origine de toute l'histoire, car c'est en tentant d'installer ce petit programme que c'est arrivé hier (l'heure correspond). Si je me contentais de supprimer cette merde ?
Pas terribles les détections, on va arranger cela :
SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910
izilife.zapto.org has address 185.19.85.151
inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH
SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910
izilife.zapto.org has address 185.19.85.151
inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour quentinbosco,
J'ai exactement le même souci que vous sur le même fichier(cwres.exe), le même jour et à part votre message, personne d'autre n'en parle sur le net donc il y a peut être une explication simple de comment on a choper ce fichier.
Pour ma part je suspecte fortement un logiciel de dactylographie que j'ai du installer pour faire un test pour un job. Hormis ça, je n'ai rien fait d'autre ce jour-ci.
Si c'est le même cas pour vous, faites-le moi savoir.
Cordialement
J'ai exactement le même souci que vous sur le même fichier(cwres.exe), le même jour et à part votre message, personne d'autre n'en parle sur le net donc il y a peut être une explication simple de comment on a choper ce fichier.
Pour ma part je suspecte fortement un logiciel de dactylographie que j'ai du installer pour faire un test pour un job. Hormis ça, je n'ai rien fait d'autre ce jour-ci.
Si c'est le même cas pour vous, faites-le moi savoir.
Cordialement
Vous êtes allés sur quel site de téléchargement ?
Il est relativement mal détecté, mais j'ai envoyé aux antivirus ça devrait s'améliorer.
Aussi j'ai contacté Dydns pour faire fermer le DNS.
Il semblerait que le serveur où sont envoyées les requêtes soit déjà fermé.
Inophage, si tu veux désinfecter ton ordinateur, fais le scan FRST, je te donnerai le script de correction.
Il est relativement mal détecté, mais j'ai envoyé aux antivirus ça devrait s'améliorer.
Aussi j'ai contacté Dydns pour faire fermer le DNS.
Il semblerait que le serveur où sont envoyées les requêtes soit déjà fermé.
Inophage, si tu veux désinfecter ton ordinateur, fais le scan FRST, je te donnerai le script de correction.
Le lien que le pseudo employeur nous a demandé de suivre était : https://up2.1fichier.com/end.pl?xid=IiFr7CYnKA
J'avais un doute mais c'est difficile à croire ! La vache ! Se servir de Pôle Emploi pour hameçonner des chômeurs, ça je n'avais jamais vu !!!
J'avais un doute mais c'est difficile à croire ! La vache ! Se servir de Pôle Emploi pour hameçonner des chômeurs, ça je n'avais jamais vu !!!
Bonsoir Malekal_morte,
Je suis Windows 10 Pro 64bits et j'ai désactivé Avast.
Quand je lance FRST64.exe, il plante avec l'erreur suivante :
AutoIt Error
Line 9051 (File "C:\Users\ME\Desktop\FRST64.exe"):
Error: Subscript used on non-accessible variable.
Je suis Windows 10 Pro 64bits et j'ai désactivé Avast.
Quand je lance FRST64.exe, il plante avec l'erreur suivante :
AutoIt Error
Line 9051 (File "C:\Users\ME\Desktop\FRST64.exe"):
Error: Subscript used on non-accessible variable.
Je pense qu'ils ont mis une nouvelle version bugguée.
Ca sera surement corrigé demain.
Si tu te sens capables, tu peux utiliser Process Explorer, tu le lances par un clic droit puis executer en tant qu'administrateur.
Tu pourras arrêter les deux fichiers.
Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Touche Windows + R
tape : %TEMP% et OK.
et tu supprimes les deux en question.
Etant donné que le serveur est HS, ça ne craint rien si tu attends demain que Malwarebytes soit à jour et traite cette infection ou que FRST soit corrigé.
Ca sera surement corrigé demain.
Si tu te sens capables, tu peux utiliser Process Explorer, tu le lances par un clic droit puis executer en tant qu'administrateur.
Tu pourras arrêter les deux fichiers.
Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Touche Windows + R
tape : %TEMP% et OK.
et tu supprimes les deux en question.
Etant donné que le serveur est HS, ça ne craint rien si tu attends demain que Malwarebytes soit à jour et traite cette infection ou que FRST soit corrigé.
J'ai lancé Malwarebytes tout à l'heure et m'a supprimé deux truc de type stolen.data qu'il n'avait pas trouvé hier donc il est peut-être déjà a jour et m'a peut-être déjà détruit le nécessaire.
Sinon j'ai trouvé un autre lien pour process explorer : https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Sinon j'ai trouvé un autre lien pour process explorer : https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
