Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

cwxsnoamre.exe dans les programmes de démarrage : virus ?

 

SECURITE : remi fasol et 1 utilisateur anonyme
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

cwxsnoamre.exe dans les programmes de démarrage : virus ?

Prévenir les modérateurs en cas d'abus 
bbl88
bbl88
  1. Posté le 26/10/2011 à 13:35:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 En tapant msconfig dans Exécuter, j'ai pu voir la liste des programmes qui se lancent au démarrage de mon pc.

 J'ai un programme qui ne me dit absolument rien. Il est répertorié sous le nom "cwxsnoamre.exe", fabricant-éditeur inconnu, et il se trouve dans C:\Users\nom de l'utilisateur\AppData\Local\Te​mp\cwxsnoamre.exe.

 Sauf que lorsque je vais dans ce fameux fichier Temp, ce programme n'apparaît nul part !

 Bizarre...

 Il semble bizarre surtout qu'un programme situé dans AppData\Local\Temp soit dans la liste des programmes de démarrage, non ?

 J'ai retrouvé ce programme dans Windows Defender, avec quelques infos en plus :

 - nom du programme "N/A"
 - type de démarrage : registre : utilisateur actuel

 Voici une capture écran de ce que j'ai trouvé dans Windows Defender :

 http://img263.imageshack.us/im​g263/9535/screenproginconnucwx​sno.jpg


 Je suis sous Vista.

 Depuis que mon pc a été infecté par le virus Thinkpoint il y a 1 an (presque pile poil, quelle mauvaise coïncidence !), je fais + régulièrement des scans antivirus avec Avast et antimalwares avec Malwarebytes.

 Jusqu'à la fin des vacances d'été, mon pc était clean (ou tout au moins selon Avast et Malwarebytes).

 Mais début octobre dernier, des trojan ont été détecté lors de scans antivirus. J'ai mis les fichiers infectés en quarantaine.

 Quelqu'un saurait-il ce qu'est ce programme ? Pensez-vous que si je désactive le lancement de ce programme au démarrage, cela sera sans risque ?

 Merci d'avance pour l'aide que l'un(e) d'entre vous pourra m'apporter.


Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 26/10/2011 à 16:40:53  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut bbl88


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)

(Publicité)
bbl88
  1. Posté le 28/10/2011 à 14:44:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Hello Dédétraqué

 Je te remercie pour ces indications. Je vais commencer les opérations de suite, en espérant ne pas rencontrer de problème.

 Par ailleurs, d'autres infos qui pourraient peut-être être utiles :

 1) Je viens de remarquer que le fichier cwxsnoamre.exe était dans la zone de quarantaine d'Avast (cela date du jour où j'ai chopé ce fichu virus Thinkpoint, soit d'octobre 2010)

 Quand je fais un clic droit dessus, dans propriétés, j'ai, comme infos :
 - taille du fichier : 31744
 - catégorie : fichiers infectés
 - date de dernière modif : 26/10/2010
 - date de transfert vers la zone de quarantaine : 29/10/2010
 - description du virus : Win32:Malware-gen
 - ID du fichier : 55

 => Comment un fichier mis en quarantaine peut-il encore figurer dans les programmes de démarrage ?


 2) Dans Windows Defender, cwxsnoamre.exe apparait dans les programmes de démarrage (qui s'exécutent automatiquement au démarrage du PC) mais je ne le trouve pas dans les programmes en cours d'exécution.

 => Si ce programme s'exécute automatiquement, on devrait le retrouver dans les programmes en cours d'exécution, non ??

 3) Pour des raisons persos (à tous ceux qui me liront : merci d'éviter les jugements et commentaires NON CONSTRUCTIFS...), j'ai installé un keylogger sur mon pc. Je l'ai depuis un peu plus de 2 ans et avant Thinkpoint, je n'avais aucun problème liés aux virus.

 Voili, voilou.

 Je vais faire travailler la bête maintenant !

 A+


bbl88
  1. Posté le 28/10/2011 à 16:22:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Et voilà les 2 rapports :
 le rapport OTL : http://cjoint.com/?0JCrmm7ncdj
 le rapport Extras : http://cjoint.com/?0JCrrxDNJew

 Merci d'avance pour ton aide.


 

dédétraqué a écrit :

Salut bbl88


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)
 



bbl88
  1. Posté le 28/10/2011 à 19:38:10  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je me pose une question en attendant le verdict...

 Depuis que j'ai mon pc (un Acer Aspire 5735Z acheté en 2008), je n'ai jamais pris le temps de créer un cd de sauvegarde des paramètres d'usine  :/  

 Compte tenu des problèmes que j'ai probablement sur mon pc, et surtout si c'est le système windows qui est touché, si je crée ce cd maintenant, y a-t-il des risques qu'il comporte des sortes d'erreurs, des virus ou je ne sais quoi... ?

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 31/10/2011 à 21:53:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut bbl88


 Double clic sur OTL.exe pour le lancer.
 (Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

 * Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

 



:OTL
 PRC - [2009/09/11 19:21:04 | 000,071,168 | ---- | M] (Logixoft) -- C:\Users\Rindra\Documents\LUXE​MBOURG\DBIL\rkfree.exe
 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988​571CECB} - No CLSID value found.    
 O4 - HKLM\..\Run: [rkfree] C:\Users\Rindra\Documents\LUXE​MBOURG\DBIL\rkfree.exe (Logixoft)    
 O4 - HKU\S-1-5-21-1319524248-155786​0432-4156167189-1000\..\Run: [cwxsnoamre.exe] "C:\Users\Rindra\AppData\Local​\Temp\cwxsnoamre.exe" File not found
 @Alternate Data Stream - 3020 bytes -> C:\ProgramData\rkfree:cfg
 @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:FEBEC560

 :Commands
 [EMPTYFLASH]
 [Emptytemp]





 * Clique sur " Correction " pour lancer la suppression.

 * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

 * Au redémarrage , autorise OTL a s'exécuter.

 * Poste le rapport généré par OTL.


 @++   :)

bbl88
  1. Posté le 08/11/2011 à 11:55:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Dédétraqué.

 Je t'ai envoyé un msg privé suite à ta dernière réponse sur ce sujet. Pourrais-tu le lire avant que je ne fasse des bêtises, stp ?

 Merci d'avance

 
 

dédétraqué a écrit :

Salut bbl88


 Double clic sur OTL.exe pour le lancer.
 (Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

 * Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "





 * Clique sur " Correction " pour lancer la suppression.

 * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

 * Au redémarrage , autorise OTL a s'exécuter.

 * Poste le rapport généré par OTL.


 @++   :)
 



Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 16/11/2011 à 17:34:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut bbl88


 Désolé du retard...

 J'ai pas reçu, voir a posté ici sur le forum...


 @++   :)

(Publicité)
bbl88
  1. Posté le 04/12/2011 à 00:06:20  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Slt Dédétraqué,

 Le rapport OTL après suppression de cwxsnoamre.exe est visible à cette adresse :

 http://cjoint.com/?0Ldx4oSfk14

 J'espère que tout est résolu maintenant... En tout cas, ce programme n'apparait plus dans la liste des programmes qui se lancent au démarrage, ni même dans les processus (dans le gestionnaire des tâches).

 Par précaution (et aussi parce que ça faisait quelques semaines que je ne l'avais pas fait), j'ai fait un scan Avast et Malware Bytes avant de procéder aux manip' sur OTL.

 Dans l'attente d'un retour de ta part sur tout ça...

 Merci !!!

 @+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 04/12/2011 à 16:38:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut bbl88


 Cela est bon, comment va le PC?

 On va vérifier si rien de caché :
 Faire un scan avec Nod32 en ligne ici :
 http://www.eset.com/onlinescan/

 A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

 Aide pour le scan : http://www.bibou0007.com/scans [...] -t3691.htm


 @++   :)

 Page :
1

Aller à :
 

Sujets relatifs
Virus bloquant la plupart des programmes et antivirus [résolu] problème d'ouverture de certains programmes
Tout mes programmes cessent de fonctionner ! Help PC tres lent au demarrage (sur le bureau) =>RESOLU
Infection, programmes supect au démarrage HELP ! virus ou autre ? malgrès le blocage trafic internet continue
Plus de sujets relatifs à : cwxsnoamre.exe dans les programmes de démarrage : virus ?

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Attaqué par BDS/Cycbot ... RESOLU 36
Titremon ordi tres len...t 18
spyware doctor 3
start now 0
Help dysfonctionnements suite infection .vbs dans pièce jointe. 25