Votre question

des .exe bizarre

Tags :
  • Avast
  • Sécurité
  • Scan
Dernière réponse : dans Sécurité et virus
31 Mars 2013 15:47:22

salut

je crée un sujet pour savoir à quoi correspond "A0343241 exe"

j'ai fait un scan avec malwarebyte qui ma trouver plusieurs "A0343241 exe"
mais avec des chiffres différent, j'ai tout supprimer

après j'ai fait un scan avast au démarrage du PC qui ma retrouver les "A0343241 exe" mais ils n'a pas les mêmes chiffres un virus qui se multiplie ?

je vous mets un screen d'avast

Autres pages sur : exe bizarre

31 Mars 2013 17:19:52

Bonjour
Mbam les a supprimé puis avast les retrouve dans la restauration de windows.
Ils sont donc inactifs, on va quand même regarder ce qui se passe:


Passe moi le rapport Mbam stp.
Tutoriel MalwareByte's Anti-Malware


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En cas de problème, voir cette aide à l'utilisation ici.


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    31 Mars 2013 19:04:41

    Hello ;) 

    Je laisse Sham pour la suite, mais juste pour te "rassurer", La restauration système Windows renomme les fichier de cette manière, ce n'est pas les "vrais" nom de fichier sur le système.

    Ces noms aléatoires peuvent donc être légitime comme infectieux ;)  (ce qu'on voit par ailleurs dans les résultats MBAM)

    :jap: 
    m
    0
    l
    31 Mars 2013 19:09:38

    ok je n'avait jamais fait gaffe
    le PC est tellement blinder de merde que j'ai pas chercher plus loin :D 
    rien que pour ouvrir mes document, il a fallu remettre l'utilisateur ...
    m
    0
    l
    1 Avril 2013 21:21:02

    re
    quelques bricoles, rien de bien méchant apparemment...

    étape 1

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    MOD - C:\Documents and Settings\ADMIN\Local Settings\Temp\nst35.tmp\registry.dll ()
    MOD - C:\Documents and Settings\ADMIN\Local Settings\Temp\nst35.tmp\System.dll ()
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mywwwsites.com
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O33 - MountPoints2\{beb17ced-2137-11df-a371-0013d3c1b32c}\Shell - "" = AutoRun
    O33 - MountPoints2\{beb17ced-2137-11df-a371-0013d3c1b32c}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
    O33 - MountPoints2\{beb17cee-2137-11df-a371-0013d3c1b32c}\Shell\Auto\command - "" = G:\AdobeR.exe e
    O33 - MountPoints2\{beb17cee-2137-11df-a371-0013d3c1b32c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.

  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure de la correction.


    étape 2



    Télécharge USbFix de El Desaparecido sur ton bureau.


    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)



  • Clique sur "Recherche" pour lancer le scan.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse




    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

    +++++++++++++
    m
    0
    l
    3 Avril 2013 23:24:48

    ok je lui demanderait tout c’est cle
    et je te poste les .txt apres ;) 

    non pas d'autre prob
    m
    0
    l
    4 Avril 2013 21:01:30

    dac
    Elle peut aussi finir toute seule en postant sur ce fil. La fin sera automatisée (si on trouve un truc sur ses clés car sinon, il n'y aura plus rien à faire), il n'y aura pas de manipulations trop compliquées :) 
    m
    0
    l
    4 Avril 2013 21:06:58

    :lol:  le macho

    c'est pas une femme :D 

    PS: femme au volant ..........
    m
    0
    l
    4 Avril 2013 23:07:56

    c'est Yama :D 
    et n’essaye pas de te rattraper
    m
    0
    l
    5 Avril 2013 21:22:21

    Yama est une femme :D 
    Mais ça, seules les "personnes" qui l'on approché pourront te le dire ;O)))))))))))
    m
    0
    l
    5 Avril 2013 21:40:04

    approché de tres tres tres près :D 
    m
    0
    l
    5 Avril 2013 21:48:30

    CameleonBOND a dit :
    approché de tres tres tres près :D 


    La première fois, elle envoie toujours son frère :o 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS