processus pwb:y2.exe

processus pwb:y2.exe - Sécurité - Windows & Software

Marsh Posté le 05-11-2004 à 13:05:50    

Bonjour,
 
Dans mon gestionnaire de tâche, j'ai ce processus actif à chaque démarrage.
 
J'ai installer la version d'évaluation de "remote task manager" et j'ai reussi à avoir plus d'infos sur ce processus :
 
path : C:\Documents and Settings\Administrateur\Application Data\
 
command line : "C:\Documents and Settings\Administrateur\Application Data\pwbкyв.exe"  
 
current directory : C:\Documents and Settings\Administrateur\
 
dll : C:\Documents and Settings\Administrateur\Application  
 
Data;.;C:\WINNT\system32;C:\WINNT\system;C:\WINNT;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\Program Files\Fichiers  
 
communs\Ulead Systems\MPEG
 
Dans dll à quoi correspond "C:\WINNT\System32\Wbem;" d'ailleurs?
 
Bref, je n'arrive pas à totalement éliminer de ma machine ce programme pwb:y2.exe, je ne le vois pas dans les répertoires cités plus haut, même en affichant les fichiers cachés.
 
La seule chose que je fais est un kill du processus à chaque démarrage.
 
Spybot ne voit rien
adaware ne voit rien
kaspersky ne trouve pas de virus

Reply

Marsh Posté le 05-11-2004 à 13:05:50   

Reply

Marsh Posté le 05-11-2004 à 13:27:31    

:bounce:

Reply

Marsh Posté le 05-11-2004 à 13:34:39    

selon Google..... :D
WBEM = Web-Based Enterprise Management)
Consortium, initié par Microsoft et Intel, qui préconise un protocole d'administration incorporant un serveur HTTP dans chaque système administré.
http://www.laboratoire-microsoft.org/def/3171/
http://www.secuobs.com/plugs/10746.shtml
http://www.linux-france.org/prj/jargonf/W/WBEM.html
etc....
Application Data<-- ce sont entre autres tes traces de surf sur le net..
 
Ce ne serait pas une archive cab créee par ton antivirus?? Commence par effectuer un grand nettoyage
options internet>supprimer les cookies>supprimer les fichiers Temps
+ vide ta Corbeille et effectue un nettoyage de disque : Démarrer>programmes>accessoires>outils système : répond Ok à Tout
refait une vérif pour voir si tu retrouves toujours ce fichier (infecté?)
pwb:y2.exe>Google>Aucun document ne correspond.........


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 13:44:35    

Oui j'ai aussi recherché sur google le pwb:y2.exe et aucune réponse.
 
Le wbem n'est pas un problème c'est juste que je ne savais pas trop à quoi ca correpondait, mon problème c'est bel et bien le pwb:y2.exe qui est je pense un trojan.
 
pwb -> password back?
 
Avec remote task manager, le nom est différent pwb:kyb.exe -> password back keybord?
 
Peut-être un programme qui remonterait et analyserait les frappes sur le clavier, afin de trier les mots qui reviendraient souvent, les password donc ...
 
Bref je n'en sais rien et je ne trouve surtout aucun moyen de le supprimé totalement.
 
J'ai déja vidé tous les temp/tmp etc ainsi que le contenu du dossier application data même si ca a eu quelque répercution mineur sur ma barre d'outils  :D


Message édité par b3n le 05-11-2004 à 13:45:56
Reply

Marsh Posté le 05-11-2004 à 13:52:52    

ben!.. et ton antivirus il dit quoi? tu as fait une analyse virale? tu as essayé spybot + ad-aware se + etc.... parceque "remote task manager" aux dernières nouvelles c'est pas un antivirus, ni un antitrojans :D


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 14:52:56    

Je l'ai précisé à la fin de mon 1er post :)

Reply

Marsh Posté le 05-11-2004 à 15:17:05    

oups! pas vu, 1 peu embrouillée dans ton post
tente :
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *
- désactive ta restauration système
- passe en mode sans échec
- recherche et supprime> pwb:y2.exe (dans system32? il est?)
- reboot en mode normal
- vide ton cache internet + la corbeille + 1 nettoyage de disque (répond ok à tout)
- réactive ta restauration système
 
@+  


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 15:24:55    

:D PWB ? je sais pas du tout
 
Polymorphic W? Bêbête?


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 15:33:17    

en associant PWB+Kaspersky, j'obtiens (Google) :  PWB Programming with basic
et sur une dizaine de sites peu fréquentables d'ailleurs (ça dépend des goûts)


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 15:39:01    

de toute façon un exécutable direct dans un dossier ApplicationData ça me parait très bizarre non?
 
essaye d'uploader ce fichier sur le site Online Malware scan il sera scanné par 9 antivirus dont des bons (Kaspersky,..)
 
edit mauvais exemple pour Kaspersky vu qu'il ne trouve rien sur ton pc :D mais y en a 8 autres


Message édité par minipouss le 05-11-2004 à 15:40:24

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 05-11-2004 à 15:39:01   

Reply

Marsh Posté le 05-11-2004 à 15:58:20    

minipouss, Bonjour :)
 
C:\Documents and Settings\Administrateur\Application Data\ <-- en nettoyant le cache ça suffirait pas?  
Kasper ne m'a pas (encore) détecté un PWB.truc, je vois pas ce que c'est ce sigle,  rattaché à un virus s'entend


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 16:25:45    

salut :hello:
 
bah non rien à voir avec un quelconque cache il me semble :/ c'est un endroit où les applis stockes les profils et les préférences je crois
 
ça me dit rien non plus (mais j'ai SAV 9.0, pas Kasper)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 05-11-2004 à 16:49:29    

:D houlàlà! je viens de rechercher, effectivement tu as raison c'est un "fourre-tout" en fait
C:\Documents and Settings\Votre compte\Local Settings\Application Data\Microsoft\Outlook\
C:\Documents And Settings\votre compte\Application Data\
où vous trouverez toutes les configurations de vos logiciels (Mozilla, Adobe, client IRC, etc.)
C:\Documents And Settings\All Users\Application Data\ certains logiciels comme Spybot  
C:\Documents and settings\Votre compte\Application Data\Mozilla\Profiles....(bookmarks)
 
etc..etc.....


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 17:23:20    

bah oui [:ddr555]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 07-11-2004 à 02:25:14    

Que me conseilleriez-vous de faire pour résoudre mon problème?
Quel site contacter spécialisé dans ce genre de problème, quel programme pourrait être à même d'éliminer ce programme etc.
 
Merci :)

Reply

Marsh Posté le 07-11-2004 à 09:47:11    

:) pkoi tu n'envoies pas le rapport à Kaspersky?
tu n'as pas essayé après avoir fait une sauvegarde de ton registre de rechercher et supprimer toutes les occurences de ce trojan ?


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 07-11-2004 à 10:22:02    

minipouss a écrit :

de toute façon un exécutable direct dans un dossier ApplicationData ça me parait très bizarre non?
 
essaye d'uploader ce fichier sur le site Online Malware scan il sera scanné par 9 antivirus dont des bons (Kaspersky,..)

edit mauvais exemple pour Kaspersky vu qu'il ne trouve rien sur ton pc :D mais y en a 8 autres


 
:sarcastic:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed