TR/Dropper.MSIL : rs.exe et cwres.exe
Fermé
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
-
10 sept. 2015 à 12:05
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2015 à 13:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2015 à 13:47
A voir également:
- Bmoc.aspx?xid=
- Google tr - Télécharger - Traduction
- We tr - Télécharger - Téléchargement & Transfert
- Sennheiser tr 4200 problème - Forum TV & Vidéo
- Problème casque sennheiser 4200 - Forum Casque et écouteurs
- Tr/dropper.gen ✓ - Forum Virus
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 12:11
10 sept. 2015 à 12:11
Salut,
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 13:31
10 sept. 2015 à 13:31
Envoie ces fichiers :
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
sur http://upload.malekal.com
puis ensuite :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2015-09-09 18:41 - 2015-09-09 18:41 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\EB0D4E4A-072C-487A-877E-7E3CCA6B1140
2015-09-09 18:23 - 2015-09-09 18:23 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\Imminent
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
Task: {0D9BA51F-3297-4A0B-A67D-CADBDBB93883} - System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09] () <==== ATTENTION
Task: {7C530EAA-0C4D-485C-9DF7-A51A9AE75710} - System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09] () <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
sur http://upload.malekal.com
puis ensuite :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2015-09-09 18:41 - 2015-09-09 18:41 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\EB0D4E4A-072C-487A-877E-7E3CCA6B1140
2015-09-09 18:23 - 2015-09-09 18:23 - 00000000 ____D C:\Users\Thierry Tuborg\AppData\Roaming\Imminent
C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe
C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe
Task: {0D9BA51F-3297-4A0B-A67D-CADBDBB93883} - System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09] () <==== ATTENTION
Task: {7C530EAA-0C4D-485C-9DF7-A51A9AE75710} - System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09] () <==== ATTENTION
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 13:46
10 sept. 2015 à 13:46
Les 2 fichiers indiqués (rs.exe et cwres.exe) n'apparaissent pas dans le dossier que tu indiques. D'ailleurs, en faisant une recherche de fichiers, je ne les avais pas trouvés. En revanche, je vois dans ce dossier AppData\Local\Temp l'application Dacty6SU qui est à l'origine de toute l'histoire, car c'est en tentant d'installer ce petit programme que c'est arrivé hier (l'heure correspond). Si je me contentais de supprimer cette merde ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 13:54
10 sept. 2015 à 13:54
Envoyer les déjà pour voir sur http://upload.malekal.com
après tu peux faire la correction FRST.
après tu peux faire la correction FRST.
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 13:57
10 sept. 2015 à 13:57
Je ne peux pas les envoyer : ils n'apparaissent pas !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 13:58
10 sept. 2015 à 13:58
Je parle de ceux que tu vois.
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 14:05
10 sept. 2015 à 14:05
Je viens de supprimer le fichier que je voyais, la petite application Dacty6SU. J'ai redémarré et les deux exe se lancent encore au démarrage. Mais ils n'apparaissent pas dans AppData\Local\Temp.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 14:40
10 sept. 2015 à 14:40
Tu peux tout supprimer, et change tous tes mots de passe, ils ont été récupérés.
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 14:43
10 sept. 2015 à 14:43
OK merci.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 14:45
10 sept. 2015 à 14:45
Pas terribles les détections, on va arranger cela :
SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910
izilife.zapto.org has address 185.19.85.151
inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH
SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910
izilife.zapto.org has address 185.19.85.151
inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour quentinbosco,
J'ai exactement le même souci que vous sur le même fichier(cwres.exe), le même jour et à part votre message, personne d'autre n'en parle sur le net donc il y a peut être une explication simple de comment on a choper ce fichier.
Pour ma part je suspecte fortement un logiciel de dactylographie que j'ai du installer pour faire un test pour un job. Hormis ça, je n'ai rien fait d'autre ce jour-ci.
Si c'est le même cas pour vous, faites-le moi savoir.
Cordialement
J'ai exactement le même souci que vous sur le même fichier(cwres.exe), le même jour et à part votre message, personne d'autre n'en parle sur le net donc il y a peut être une explication simple de comment on a choper ce fichier.
Pour ma part je suspecte fortement un logiciel de dactylographie que j'ai du installer pour faire un test pour un job. Hormis ça, je n'ai rien fait d'autre ce jour-ci.
Si c'est le même cas pour vous, faites-le moi savoir.
Cordialement
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 16:02
10 sept. 2015 à 16:02
C'est exactement dans ces conditions qu'hier soir j'ai chopé ce virus. Je viens d'ailleurs d'alerter Pôle Emploi. Tu devrais faire pareil. Tu es dans quelle ville ? Moi Montpellier.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
Modifié par Malekal_morte- le 10/09/2015 à 16:17
Modifié par Malekal_morte- le 10/09/2015 à 16:17
Vous êtes allés sur quel site de téléchargement ?
Il est relativement mal détecté, mais j'ai envoyé aux antivirus ça devrait s'améliorer.
Aussi j'ai contacté Dydns pour faire fermer le DNS.
Il semblerait que le serveur où sont envoyées les requêtes soit déjà fermé.
Inophage, si tu veux désinfecter ton ordinateur, fais le scan FRST, je te donnerai le script de correction.
Il est relativement mal détecté, mais j'ai envoyé aux antivirus ça devrait s'améliorer.
Aussi j'ai contacté Dydns pour faire fermer le DNS.
Il semblerait que le serveur où sont envoyées les requêtes soit déjà fermé.
Inophage, si tu veux désinfecter ton ordinateur, fais le scan FRST, je te donnerai le script de correction.
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 16:10
10 sept. 2015 à 16:10
Le lien que le pseudo employeur nous a demandé de suivre était : https://up2.1fichier.com/end.pl?xid=IiFr7CYnKA
J'avais un doute mais c'est difficile à croire ! La vache ! Se servir de Pôle Emploi pour hameçonner des chômeurs, ça je n'avais jamais vu !!!
J'avais un doute mais c'est difficile à croire ! La vache ! Se servir de Pôle Emploi pour hameçonner des chômeurs, ça je n'avais jamais vu !!!
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
2
10 sept. 2015 à 16:11
10 sept. 2015 à 16:11
En tout cas merci pour ton aide Malekal.
Inophage
>
quentinbosco
Messages postés
26
Date d'inscription
jeudi 10 septembre 2015
Statut
Membre
Dernière intervention
13 septembre 2015
10 sept. 2015 à 16:15
10 sept. 2015 à 16:15
Montpellier également via pole emploi. Donc ce doit être pour la même annonce car le lien 1fichier est identique.
Bonsoir Malekal_morte,
Je suis Windows 10 Pro 64bits et j'ai désactivé Avast.
Quand je lance FRST64.exe, il plante avec l'erreur suivante :
AutoIt Error
Line 9051 (File "C:\Users\ME\Desktop\FRST64.exe"):
Error: Subscript used on non-accessible variable.
Je suis Windows 10 Pro 64bits et j'ai désactivé Avast.
Quand je lance FRST64.exe, il plante avec l'erreur suivante :
AutoIt Error
Line 9051 (File "C:\Users\ME\Desktop\FRST64.exe"):
Error: Subscript used on non-accessible variable.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
10 sept. 2015 à 21:53
10 sept. 2015 à 21:53
Je pense qu'ils ont mis une nouvelle version bugguée.
Ca sera surement corrigé demain.
Si tu te sens capables, tu peux utiliser Process Explorer, tu le lances par un clic droit puis executer en tant qu'administrateur.
Tu pourras arrêter les deux fichiers.
Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Touche Windows + R
tape : %TEMP% et OK.
et tu supprimes les deux en question.
Etant donné que le serveur est HS, ça ne craint rien si tu attends demain que Malwarebytes soit à jour et traite cette infection ou que FRST soit corrigé.
Ca sera surement corrigé demain.
Si tu te sens capables, tu peux utiliser Process Explorer, tu le lances par un clic droit puis executer en tant qu'administrateur.
Tu pourras arrêter les deux fichiers.
Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Touche Windows + R
tape : %TEMP% et OK.
et tu supprimes les deux en question.
Etant donné que le serveur est HS, ça ne craint rien si tu attends demain que Malwarebytes soit à jour et traite cette infection ou que FRST soit corrigé.
Inophage
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
Modifié par Inophage le 10/09/2015 à 22:17
Modifié par Inophage le 10/09/2015 à 22:17
J'ai lancé Malwarebytes tout à l'heure et m'a supprimé deux truc de type stolen.data qu'il n'avait pas trouvé hier donc il est peut-être déjà a jour et m'a peut-être déjà détruit le nécessaire.
Sinon j'ai trouvé un autre lien pour process explorer : https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Sinon j'ai trouvé un autre lien pour process explorer : https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
11 sept. 2015 à 08:29
11 sept. 2015 à 08:29
FRST doit refonctionner.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 621
11 sept. 2015 à 08:48
11 sept. 2015 à 08:48
Malwarebytes le gère en Trojan.Kryptik.MSIL
10 sept. 2015 à 12:30
10 sept. 2015 à 12:41
10 sept. 2015 à 12:48
10 sept. 2015 à 12:50
10 sept. 2015 à 12:55