Forum Clubic

Processus 2.exe (spy?) - processus attacher 2.exe / notepad

Bonjour,

Je me join a votre communauté afin de résoudre un pb :

Depuis quelques temps j’ai un processus qui tourne sous C:\WINDOWS\System32\2.exe
(l’icone ressemble a un ie bleu clair ).
J’ai donc suivit la procédure suivante :

génération du Hijackthis ki donne ceci :
http://www.hijackthis.de/logfiles/1abb7151…5e71c31e34.html

on y voit donc ce 2.exe ki tourne.

j’ai tenter de le supprimer , bien evidement comme c’est un processus attaché il se relance apès …

j’ai lancer search and distroy + Ad aware + spy sweeper … et toujours là.

j’ai remarquer que cela se lancait quand notepad etait lancé … d’ailleur mon firewall detecte une connexion sortante de notepad.

Mon firewall me detecte des connexion sortante de ce processus ( 2.exe) vers un serveur chinois … [ Point distant: 61.153.22.136 [61.153.22.136], port http [80] ]

donc je désespère , pourriez vous m’éclairer sur cette chose ?
je n’ai rien trouver a ce sujet sur les moteur de recherche a part quelque piste du style c’est un keylogger… mais rien qui se rapproche de mon problème.

[edite] je ne sais pas si ce sujet est a sa place , dsl si ca n’est pas le cas .

faut le supprimer à la source si tu veux qu’il disparaisse.
direction : la base de registre!
demarrer, executer, regedit
et là tu cherches la clé correspondante et tu la supprimes!
certainement dans HKEY_LOCAL ou HKEY_USER ///quel OS as-tu??

ousp pardon g oublier de dire mon os ^^
C’est windows XP mais j’ai chercher déjà ds la base de registre et ctait dans un truk du style 180search barre , ke j’ai supprimer déjà et je pensait que ca allait tout resoudre …
En fait je viens de trouver cela : http://www.processlibrary.com/directory/files/2/ mais bon … rien a faire c’est toujours là

bonjour
deja telecharge eraser comme programme stp (je sait plus ou le trouver)
ensuite coupe ton pc et redemare en mode sans echec sans reseau
ensuite suprime avec eraser le fichier douteux avec eraser ( ci sa ne fonctionne pas mais je pense que sa iras) renome ton fichier exemple:trojan de merde.exe en trojan de merde . exe sa le rendras inutilisable a ton prochaine redemarage tu peu aussi essayer de changer les atributs le metre en lecture seul pour ne pas qu’il ce repare a ton prochain redemarage essaye deja sa dac??(il ne faut jamais essayer de suprimer un trojan ou variante en etant connecter sur le net) ensuite fais un coup eraser sur le fichier system information (je crois que il sapel comme sa??) c’est le fichier de restoration system vu que windows de mes deux va te restorer ton trojan que tu auras u du mal a effacer windows va le restoré (le fichier system information et en fichier cacher donc vas dans outil pour afficher les fichier cacher et suprime ce dossier il ce referas tout seul mais vide) il ce peu que tout ne soit pas suprimable vu que windows utilise tout le temps ce dossier )

tien moi au courant stp dac??
salut
ps:ne jamais sous estimer un trojan et plutot tout faire sans etre connecter c’est mon conseil

Ok v tenter cela alors t je te tiens au courant.
A priori en cherchant sur le net j’ai trouver que le fichier IExplorere.dll.dbt crer ce fichier … g donc supprimer le .dll.db … a priori il ne se lance plus mais bon … un trojan ki s’en va n’est jamais bien loin. Donc je patiente un pêu et je test eraser en mode sans echec

merci encore je vous tien au courant.

Saleté de dada qd meme !!!

Bon y a bien un bleme lol

Je lance un fichier NOTEPAD, je le laisse ouvert … au bout de 5 min g mon firewall ki me détecte une connexion sortant pr notepad et là k’es ke je voit … IExplorer.dll.dbt ki est revenu … j’atten le retour de 2.exe (jlui prépare l’apéro !)
bon j’entamme ta procédure

ok je pense que tu as soit un ou plusieur trojan (essaye de telechager f-prot (en free ou 30jours et avast en free) ne les install pas tout de suite demare ton pc en mode sans echec sans reseau>>instal f-prot et ensuite avast >redemare en mode sans echec sans reseau >fait une annalise avec avast ci il ne te trouve rien lui meme il vas chatouiller ton ou tes trojan et f-prot va les bloquers il faudras bien reperer dans quel dossier que avast etais entrain d’annaliser (pas ou f-prot la bloquer vu que il vas le bloquer dans document seting ect ect ect )repere bien ou et quel fichier que avast annalise et tu le ou les trouveras precisément (repere bien les dossier et fichier de merde note les, et ensuite ferme f-prot en bas a droite (le real time sa resemble a un dé a 5 point)essaye de l’eraser ou renomer ou deplacer vers la corbeil au pire des cas et erase la corbeil et le fichier system information et redemare sa devrais etre bon ou tien moi au courant je te dirais d’autre astuce dac??

ok v tester .
Pour info je crois ke c notepad ki est vérolé.
En fait g un NOTEPAD.EXE (en maj) sous C:\WINDOWS\ et avec un icone du style “dossier” mais jaune plus pale …
G avast d’installer donc j’installe F-prot et je redemarre en mode SE.
merci encore hein pr vos conseil :slight_smile:
Vé y arriver a bout de se dada !

n’instal que en mode sans echec sans reseau stp pour eviter que ton ou tes trojan modifie les antirus dac??
ps: ne reste pas tro longtemp connecter avant de faire tout sa dac?? ton trojan c’est peu etre deja ce que tu veux faire et lit peu etre ce que ta a ecrit sur le forum (vu quil et dans ton pc donc il peu tout savoir ce que tu fais et va faire) dac??
apres tu pouras rechercher notepad sur ton disque pour remplacer le vrais notepade qui a certainement etais modifier ou surprimer par ton trojan pour remetre le bon a sa place d’origine
le vrais notepad et dans windows et dans windows\system32 il fais 66 ou 69Ko tu peu en trouver une copie dans>>C:\WINDOWS\$NtServicePackUninstall$ ou dans
C:\WINDOWS\ServicePackFiles\i386 <<logiquement c’est le bon qui est dans ce dossier tu feras un copier coller pour le remetre dans windows et dans system32
dac?? tien nous au courant de tout stp
merci

Bon je crois ke j’ai resolu l’affaire.

J’ai donc vu ce fichier NOTEPAD.exe qui squatait a coté de vrai notepad.exe sous windows.
j’ai donc tester l’ouverture d’un fichier txt et en fait c le NOTEPAD qui s’executait et créait ainsi le fichier IEplorer.dll. dbt. Ce derniere créer lui meme un fichier 2.exe qui est en fait le keylogger.

J’ai donc stoper le processus NOTEPAD et je l’ai supprimer du rep windob.
A priori tout fonctionne mais par sécurité j’ai lancer ta procedure en mode sans echec et rien a été détecter.

Donc je crois les dwa ;p

Merci pour ton aide et si jamais il revient au galo je reup ce topic. car apres avoir chercher partout “2.exe” et rien trouver je pense que d’autre aprecirons ce post :slight_smile:

ok merci de ta reponse
jespere que tu as vider le dossier system volume information (je crois quil sapel comme sa vu que moi je n’active jamais la restoration system donc je me rappel plus du nom exacte du dossier ) parceque mème ci tu la detruis avec eraser windobe va te restorer tes trojan a ton prochain redemarage

la restauration systeme est désactivé chez moi depuis k’un trojan est venu me faire kikou ;p
Pi c vraiment pb je restaure pas je format c plus sur.
Je crois ke si jle voit revenir cuilà je format ca fera pas de mal c la dur loi de windob mais ca … c un autre sujet a suivre ds la section windob :smiley:
merci encore :slight_smile: :love:

oui tu metonne que win et une dobe
il a falut que je face beaucoup trop de modification pour ne pas etre emmerder tout les 5mns (moi aussi je n’utilise plus depuis longtemps la restoration system vu que des que je reçois un virus ou trojan ce con de windows va me le restorer)
jais du aussi installer plusieur clef reg pour ameliorer l’arret et le demarage et effacer automatiquement certain fichier a l’arret qui ce remplisse de toute les merde du net (et des spyreware,virus,ect )sa m’evite de faire du nettoyage en manuel (je vais pas passer ma vie a nettoyer mon pc de tout ce que l’on ramasse sur le net ) salut a+