TR/Dropper.MSIL : rs.exe et cwres.exe

quentinbosco Messages postés 27 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Depuis hier, à chaque allumage de Windows 8, deux .exe tentent de s'exécuter (je ne donne pas l'autorisation car "éditeur inconnu"). Il s'agit de :
rs.exe
cwres.exe
J'ai tenté de trouver l'emplacement de ces .exe dans mon ordinateur, en vain.
Je ne sais pas de quoi il retourne... J'ai exécuté un scan Malwarebytes, il m'a trouvé deux "Stolen Data" que j'ai supprimés, mais les deux .exe tentent toujours de se lancer à chaque démarrage.
Quelqu'un pourrait-il m'aider à comprendre ce que c'est ? Et comment me débarrasser de ces deux .exe ?
D'avance merci.

6 réponses

Résumé de la discussion

Un utilisateur de Windows 8 signale que deux fichiers .exe, rs.exe et cwres.exe, tentent de s'exécuter au démarrage et ne reçoivent pas l'autorisation lorsque l'éditeur est inconnu. Malwarebytes a détecté des éléments intitulés Stolen Data et ils ont été supprimés, mais les deux .exe continuent de se lancer, ce qui pousse à investiguer leur emplacement et leur provenance. D'autres échanges évoquent l'exécution d'un scan Avast, des avertissements lors de tentatives d'installation et une procédure FRST, sans identification claire ni solution immédiate. Certains conseils proposés évoquent d'autres outils et l'usage de FRST pour extraire les logs, tout en signalant que les fichiers et emplacements peuvent rester invisibles sans privilèges administratifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis le tutoriel FRST.
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
    1. quentinbosco Messages postés 27 Statut Membre 2
       
      Merci, je vais suivre les instructions et je reviens avec les liens des rapports. Mais comme je viens de lancer un scan Avast, je dois patienter jusqu'à son terme.
      0
    2. quentinbosco Messages postés 27 Statut Membre 2
       
      Ça commence mal, je suis x86, donc j'ai choisi comme indiqué le programme x32, et l'installation échoue car "ce programme est incompatible avec votre ordinateur"...
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      y a pas d'installation, tu as un FRST.exe qui lance le programme directement.
      0
    4. quentinbosco Messages postés 27 Statut Membre 2
       
      oui, et au lancement, ça dit "ce programme est incompatible avec votre ordinateur"
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Donne le message en entier ou fais une capture d'écran.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Envoie ces fichiers :
    C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
    C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
    sur http://upload.malekal.com

    puis ensuite :

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    2015-09-09 18:41 - 2015-09-09 18:41 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\EB0D4E4A-072C-487A-877E-7E3CCA6B1140
    2015-09-09 18:23 - 2015-09-09 18:23 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\Imminent
    C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
    C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
    Task: {0D9BA51F-3297-4A0B-A67D-CADBDBB93883} - System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09] () <==== ATTENTION
    Task: {7C530EAA-0C4D-485C-9DF7-A51A9AE75710} - System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09] () <==== ATTENTION

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Ensuite Ouvre Mon Ordinateur
    puis le disque C
    Ouvre le dossier FRST.
    Dedans se trouve, le dossier Quarantine
    Fais un clic droit dessus puis envoyer vers le dossier compressé.
    Envoie le zip sur http://upload.malekal.com

    0
    1. quentinbosco Messages postés 27 Statut Membre 2
       
      Les 2 fichiers indiqués (rs.exe et cwres.exe) n'apparaissent pas dans le dossier que tu indiques. D'ailleurs, en faisant une recherche de fichiers, je ne les avais pas trouvés. En revanche, je vois dans ce dossier AppData\Local\Temp l'application Dacty6SU qui est à l'origine de toute l'histoire, car c'est en tentant d'installer ce petit programme que c'est arrivé hier (l'heure correspond). Si je me contentais de supprimer cette merde ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Envoyer les déjà pour voir sur http://upload.malekal.com
      après tu peux faire la correction FRST.
      0
    3. quentinbosco Messages postés 27 Statut Membre 2
       
      Je ne peux pas les envoyer : ils n'apparaissent pas !
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je parle de ceux que tu vois.
      0
    5. quentinbosco Messages postés 27 Statut Membre 2
       
      Je viens de supprimer le fichier que je voyais, la petite application Dacty6SU. J'ai redémarré et les deux exe se lancent encore au démarrage. Mais ils n'apparaissent pas dans AppData\Local\Temp.
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux tout supprimer, et change tous tes mots de passe, ils ont été récupérés.
    0
    1. quentinbosco Messages postés 27 Statut Membre 2
       
      OK merci.
      0
    2. Inophage
       
      De quels mots de passe parlez-vous ?
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas terribles les détections, on va arranger cela :

    SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
    Nom du fichier : cwres.exe.xBAD
    Ratio de détection : 3 / 56
    Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)

    Antivirus Résultat Mise à jour
    Avira TR/Dropper.MSIL.197232 20150910
    ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
    Kaspersky HEUR:Trojan.Win32.Generic 20150910


    izilife.zapto.org has address 185.19.85.151

    inetnum: 185.19.84.0 - 185.19.85.255
    netname: DATAWIRE-DATACENTERS
    descr: CUSTOMERS ZG01
    country: CH


    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Inophage
     
    Bonjour quentinbosco,

    J'ai exactement le même souci que vous sur le même fichier(cwres.exe), le même jour et à part votre message, personne d'autre n'en parle sur le net donc il y a peut être une explication simple de comment on a choper ce fichier.

    Pour ma part je suspecte fortement un logiciel de dactylographie que j'ai du installer pour faire un test pour un job. Hormis ça, je n'ai rien fait d'autre ce jour-ci.

    Si c'est le même cas pour vous, faites-le moi savoir.

    Cordialement
    0
    1. quentinbosco Messages postés 27 Statut Membre 2
       
      C'est exactement dans ces conditions qu'hier soir j'ai chopé ce virus. Je viens d'ailleurs d'alerter Pôle Emploi. Tu devrais faire pareil. Tu es dans quelle ville ? Moi Montpellier.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Vous êtes allés sur quel site de téléchargement ?
      Il est relativement mal détecté, mais j'ai envoyé aux antivirus ça devrait s'améliorer.
      Aussi j'ai contacté Dydns pour faire fermer le DNS.
      Il semblerait que le serveur où sont envoyées les requêtes soit déjà fermé.

      Inophage, si tu veux désinfecter ton ordinateur, fais le scan FRST, je te donnerai le script de correction.
      0
    3. quentinbosco Messages postés 27 Statut Membre 2
       
      Le lien que le pseudo employeur nous a demandé de suivre était : https://up2.1fichier.com/end.pl?xid=IiFr7CYnKA
      J'avais un doute mais c'est difficile à croire ! La vache ! Se servir de Pôle Emploi pour hameçonner des chômeurs, ça je n'avais jamais vu !!!
      0
    4. quentinbosco Messages postés 27 Statut Membre 2
       
      En tout cas merci pour ton aide Malekal.
      0
    5. Inophage > quentinbosco Messages postés 27 Statut Membre
       
      Montpellier également via pole emploi. Donc ce doit être pour la même annonce car le lien 1fichier est identique.
      0
  7. Inophage
     
    Bonsoir Malekal_morte,
    Je suis Windows 10 Pro 64bits et j'ai désactivé Avast.
    Quand je lance FRST64.exe, il plante avec l'erreur suivante :

    AutoIt Error
    Line 9051 (File "C:\Users\ME\Desktop\FRST64.exe"):

    Error: Subscript used on non-accessible variable.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je pense qu'ils ont mis une nouvelle version bugguée.
      Ca sera surement corrigé demain.

      Si tu te sens capables, tu peux utiliser Process Explorer, tu le lances par un clic droit puis executer en tant qu'administrateur.
      Tu pourras arrêter les deux fichiers.


      Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

      Touche Windows + R
      tape : %TEMP% et OK.
      et tu supprimes les deux en question.

      Etant donné que le serveur est HS, ça ne craint rien si tu attends demain que Malwarebytes soit à jour et traite cette infection ou que FRST soit corrigé.
      0
    2. Inophage > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      J'ai lancé Malwarebytes tout à l'heure et m'a supprimé deux truc de type stolen.data qu'il n'avait pas trouvé hier donc il est peut-être déjà a jour et m'a peut-être déjà détruit le nécessaire.

      Sinon j'ai trouvé un autre lien pour process explorer : https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      FRST doit refonctionner.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Malwarebytes le gère en Trojan.Kryptik.MSIL
      0
    5. Inophage
       
      Pour info, compte Paypal déjà piraté hier. 210€ de commande via le net dont une avec l'adresse postale du gars pour la livraison (trop doué le gars). Je pars au commissariat porter plainte avec les preuves.
      0