Partager vos
astuces Déco
Posez votre question Signaler

Supprimer b.exe

pi123 - Dernière réponse le 18 oct. 2009 à 14:03
Bonjour,
J' ai B.exe et MSA.EXE qui appraisent dans le gestionnaire des taches.
J'ai beau arreter les processus ils revienent.
Je vous donne un raport hijackthis.
Merci de votre aide
---------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:17, on 06/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\msa.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\MARC\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\MARC\LOCALS~1\Temp\b.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Google Update (gupdate1c99f2af179434e) (gupdate1c99f2af179434e) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
Lire la suite 

Supprimer b.exe »

7 réponses
Réponse
+0
moins plus
wolf.clement 42Messages postés 9 décembre 2007Date d'inscription 6 juin 2009 à 17:39
Démarrer > Exécuter > "msconfig.msc"
Onglet Démarrage > Décocher b.exe et MSA.exe

Si ça revient, scanne les dossiers dans lequels se trouvent les fichiers.
Et, le plus idiot de tous les virus, se trouve peut-être dans Démarrer > Tous les programmes > Démarrage.

Je ne regarderai plus ce post. Merci de m'en informer par mail (attention à l'anti-spam) :
wolf.clement [A_T] yahoo.fr

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
franfou 12Messages postés 10 août 2009Date d'inscription 10 août 2009 à 20:59
bonjour,

je n,arrive pas a enlever se fameux b.exe en utilisant msconfig!!!

il reviens toujours.

quelqu'un peu m,aider??

merci

 Ajouter un commentaire
anthony5151 - 10 août 2009 à 21:11
Bonjour,


Reste sur ton sujet

Je t'ai répondu là bas ;)

Ajouter un commentaire
Réponse
+4
moins plus
utilisateur 24 sept. 2009 à 20:54
b.exe est un fichier virus trojan exécutable "cheval de troie téléchargeur" (très coriace, dangereux potentiel, critique, application exécutable) à modifier votre système de registres de données et fait donc appel à d'autres applications extérieures de son script.

Sachez qu'il est impossible de supprimer ce fichier manuellement car il revient constamment dans votre gestionnaire Windows Explorer

Une fois ce fichier b.exe se développe, cela donnera vie à une série de véritables fichiers inconnus bien cachés
et visiblement prêt à s'implanter dans votre système de démarrage de programmes

b.exe devient alors
c.exe
d.exe
tandis que le reste se propagent vers votre windows/système32 en extensions *.dll vers votre registre système (regedit)
HKCU sous forme de msxml71.dll
dans c:\windows\sysWOW64\msxml71.dll->(UPX) et dans containerfile

et sous forme de poprock
dans users (utilisateurs) et dans la racine suivante
c:\windows\tasks {BB65B0FB-5712-401b-B616-E69AC55E2757}.job qui se trouve dans taskscheduler et containerfile


Voici à quoi ressemble ce virus trojan [ b.exe ] alias [ TrojanDownloader:Win32/Renos.JI ] identifié récemment par microsoft
http://www.microsoft.com/...

REPONSE :
mettez à jour votre PC avec update windows Vista
utiliser le scan WINDOWS DEFENDER de Windows Vista pour éradiquer ce fichier "b.exe" dangereux

configuration avant le lancement du scan

-> dans options de l'outil

activer analyse automatique sur [ complet ]

activer éléments d'alerte élevée : [ supprimer ]
activer éléments d'alerte moyenne: [ supprimer ]
activer éléments d'alerte faible : [ basée sur les définitions ]

-> cocher donc toutes les options avancées

-> cocher les deux options de l'administrateur (en fin de page) puis

-> Enregistrer

dans l'outil " joindre microsoft spynet "
activer [ prendre un abonnement avancé ] au lieu de de prendre un abonnement de base

-> Enregistrer


PREPAREZ-VOUS A DEGOMMER CE FICHIER b.exe avec Windows Defender (sous Vista)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
utilisateur 24 sept. 2009 à 21:20
le fichier b.exe se nomme: TrojanDownloader:Win32/Renos.JM sous le scan de Windows Defender (Windows Vista)

Encyclopedia entry
Updated: Aug 13, 2009 | Published: Aug 13, 2009 (publié et identifié récemment août 2009)

Aliases

*
Win32/TrojanDownloader.FakeAlert.AFQ (ESET) infos sur
http://go.microsoft.com/...


Ce même fichier b.exe se nomme également : Trj/CI.A (Trojan CIA cheval de troie)
sous le scan de Panda Security active 2.0 (on line) infos sur :
http://www.pandasecurity.com/...

le fichier mxmldl71.dll est un adware logiciel publicitaire potentiel (latent)

le fichier b.exe s'implante aussi dans le répertoire sous forme de fichier d'extension upgrade[1].cab


C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M5M8VNOQ\upgrade[1].cab[upgrade.exe]


N'oublier pas de neutraliser aussi ce fichier upgrape [1].exe et tous les contenus qui se trouvent dans Content.IE.5 car Windows Defender n'a pas tout identifié son trojan donc ça laisse comme même des traces.

le fichier TrojanDownloader:Win32/Renos.JM (identifié sous la forme d'application dangereuseb.exe) se nomme également
le trojan cia Trj/CI.A

ELIMINER TOUS LES ESPIONS-ADWARE-SPYWARE-VIRUES-KEYLOGGER-FICHIER NO LICENCE SUR VOTRE MACHINE

 Ajouter un commentaire
utilisateur-technicien - 11 oct. 2009 à 13:28
Detecter avec spyware doctor 2009

1) Supprimer manuellement:
c.exe
d.exe

2) Supprimer manuellement :
Adware.180Solutions File C:\Windows\UA000107.DLL
qui est une trace de l'application

3) Supprimer dans le registre (utilisation regedit pour identifier et rechercher les traces d'origines de ces virus trojans téléchargeurs):
dans
HKEY_USERS\S-1-5-21-3775301447-4271542073-1800163430-1000\Software
supprimer les traces suivantes:
norbull
XML

HKCU sous forme de msxml71.dll
dans c:\windows\sysWOW64\msxml71.dll->(UPX) et dans containerfile

4) La suppression manuellement fonctionnera ensuite pour b.exe et msa.exe, après les étapes précédentes 1,2,3 d'éliminations de leurs traces d'origines.

b.exe
msa.exe

les plus dangereux fichiers sont ces deux là !

Les sécurité de firewall et d'antivirus 2010: mcafee, norton et d'autres ne pas distinguent pas car ce sont des spyware.
Microsoft defender, microsoft esentiel security et spyware doctor et autre anti-spyware efficace récemment peuvent éradiquer ce genre de virus-trojans d'espions
Ajouter un commentaire
Réponse
+0
moins plus
utilisateur-technicien 18 oct. 2009 à 14:03
A supprimer également :
{A228B137-OFED-416D-1D77-FE42E7ED437F}-msa.exe dans le registre et dans le répertoire
Appdata\Local\Microsoft\Windows\WER\ReportArchive\Report0384a190\report.cab {A228B137-OFED-416D-1D77-FE42E7ED437F}-msa.exe

b.exe fait partie de msa.exe qui développe un keylogger dangereux

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Supprimer b.exe » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook