possibilité de virus ekbffcarxv.exe

Le
brasilou
Bonjour,

je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe avec
regkey HKLMsoftwaremicrosoftwindowscurrent versionun\ekbffcarxv
runkey HKLMsoftwaremicrosoftwindowscurrent versionun\ekbffcarxv
file c:windowssystem32ekbffcarxv.exe

norton antivirus ne trouve rien même avec une version récente de
définition de virus. Par contre il met un temps fou à analyser mon
disuqe (environ 10 heures pour 130 000 fichiers).

Dans les outils d'administration Windows, dans les logs application,
j'ai des messages toutes les secondes me disant :
cible symantecdefwatch.exe
allocation mémoire bloquée
procédure acteur c:windowssystem32ekbffcarxv.exe (PID4132)

Bien sûr, aucun PID de ce numéro, ni de fichier ayant de rapport avec
ekbff

Je na'i trouvé aucune information concernant ce .exe sur les moteurs
de recherche, ni sur le site de symantec.

Quelqu'un peut-il m'aider?

Merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
j
Le #757658
Bonsoir à tous !

"brasilou" a écrit dans le message
news:

Bonjour,


je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe avec
regkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
runkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
file c:windowssystem32ekbffcarxv.exe
[....]
Quelqu'un peut-il m'aider?
Merci d'avance


?? personne n'est inspiré ??
alors j'me lance :o)

Effectivement, pas trouvé de piste pour cet .exe que tu devrais avoir
déjà au moins ds le démarrage de msconfig ...

---»
tu peux déjà commencer par 2 scan'
1/ scan en mode normal

http://hijackthis.de/index.php?langselect=french

[ http://www.pcentraide.com/index.php?showtopicy6 ]

nb: copie-colle nous ton log ici pour que les grosses têtes l'étudient

2/ et traquer *en mode sans échec* le rootkit avec Gmer
qui inscrit en *rouge* les saletés
( sur l'onglet Processus = fix )

http://www.toocharger.com/fiches/logiciels/gmer/17532.htm

nb: si c'est le cas, mets-ns une copie d'écran stp
[ via http://www.cjoint.com/ ]

et dis-ns :o)


--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://assiste.com.free.fr/la_manip.html

b-b er
Le #757656
"brasilou"
Bonjour,

Bisoir,

je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe

[couic]

passer un coup de F-secure blacklight, j'ai déja rencontré le problème
le fichier exe comporte une suite de 6 ou 7 lettres qui ne
veukent rien dire
et change à chaque fois, il devrait y avoir un dossier du même nom.

--
pifou mètre

- b b / er
Luc
Le #757359
brasilou a écrit...

Bonjour,


Bonjour,

je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe avec
regkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
runkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
file c:windowssystem32ekbffcarxv.exe
[...]

Quelqu'un peut-il m'aider?


Ce fichier n'est pas présent nativement dans XP... donc, à ta place,
j'essaierais tout simplement de le neutraliser "à la main" en allant dans
l'onglet 'Démarrage' de msconfig ('Démarrer' --> 'Exécuter' --> taper
"msconfig" sans les guillemets) et en décochant la ligne correspondant à ce
ekbffcarxv.exe puis en allant dans C:WINDOWSsystem32, renommer
ekbffcarxv.exe en ekbffcarxv.OLD.

A priori, c'est une cochonnerie mais, dans le doute (pas trouvé, moi non
plus, d'infos sur ce truc), faudra redémarrer le PC et le faire fonctionner
un temps pour vérifier qu'il n'y a pas une fonctionnalité spécifique à ton
PC qui aurait disparu auquel cas tu n'aurais qu'à renommer correctement
ekbffcarxv.exe et à recocher la ligne dans msconfig.
Si, comme c'est plus probable, c'est une cochonnerie et si elle ne
réapparaît pas, tu n'auras plus qu'à supprimer la clé
HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv dans la base
du registre pour la pulvériser de msconfig et à supprimer ekbffcarxv.OLD de
C:WINDOWSsystem32.

Si, malgré la suppression de l'onglet 'Démarrage' de msconfig et le
renommage, les clés et le fichier réapparaissent, alors il faudra utiliser
des outils spécifiques tels que suggéré par jackie et b-bert.

Merci d'avance


Padkoi

--
Cordialement,

Luc Burnouf [MVP]
http://www.faqoe.com/

adresse de réponse invalide
pour me joindre --> http://www.mailfusible.com/?ag7Yk2DXNg

Azo3
Le #757355
j'approuve ... je viens de le faire ce matin sur un PC d'entreprise : ce
"virus" est bien dans l'onglet démarrage de MSCONFIG et bouffe les
ressources processeur; il suffit de le décocher, redémarrer et le supprimer

amitiés

--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
"" %

Bonsoir à tous !

"brasilou" a écrit dans le message
news:

Bonjour,


je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe avec
regkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
runkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
file c:windowssystem32ekbffcarxv.exe
[....]
Quelqu'un peut-il m'aider?
Merci d'avance


?? personne n'est inspiré ??
alors j'me lance :o)

Effectivement, pas trouvé de piste pour cet .exe que tu devrais avoir
déjà au moins ds le démarrage de msconfig ...

---»
tu peux déjà commencer par 2 scan' >
1/ scan en mode normal

http://hijackthis.de/index.php?langselect=french

[ http://www.pcentraide.com/index.php?showtopicy6 ]

nb: copie-colle nous ton log ici pour que les grosses têtes l'étudient

2/ et traquer *en mode sans échec* le rootkit avec Gmer
qui inscrit en *rouge* les saletés
( sur l'onglet Processus = fix )

http://www.toocharger.com/fiches/logiciels/gmer/17532.htm

nb: si c'est le cas, mets-ns une copie d'écran stp
[ via http://www.cjoint.com/ ]

et dis-ns :o)


--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://assiste.com.free.fr/la_manip.html









j
Le #757354
re'

"Azo3" a écrit dans le message
news:

j'approuve ... je viens de le faire ce matin sur un PC d'entreprise : ce
"virus" est bien dans l'onglet démarrage de MSCONFIG et bouffe les
ressources processeur; il suffit de le décocher, redémarrer et le
supprimer


Coucou cher Serge ;-)

Merci de ce retour d'expérience ...

mais comment l'as-tu supprimé ??

_ en mettant les mains ds le cambouis
ou
_en utilisant un scan' ??


amitiés


Bizzz@+ ©

--
« De la discussion ..jaillit la lumière .. »
Cdlt@+
http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/antivirus_gratuits_en_ligne.html

Azo3
Le #757353
ne sachant ce que c'était que cet ekbff... (1) (mais on trouve tellement de
choses sur les PC) , je l'ai décoché, redémarré et vu que le processus
"explorer" était enfin revenu de 90 mo (!) aux 25 Mo habituels. Cette bêbête
se "cachait" dans ...local settingstemp de default user et refusait de se
laisser écraser autrement qu'en mode admin... aucune autre trace dans le
registre que sa place dans msconfig (runonce)
difficile d'en dire plus vu l'état de ce PC multi-utilisé sauf qu'il semble
que
1 - shareaza et emule me semblent suspects
2 - windows defender serait une bonne parade car en remettant shareaza au
démarrage , WD a réagi

(1) il y en avait un autre du même tonneau qui faisait gonfler une
occurrence de SVCHOST dans les mêmes proportions
-- un autre truc que je ne m'explique pas vraiment (au-dessus de mes
compétences!) :avant ma "réparation", en cas de connexion , l'utilisation
du processeur revenait de 100% à 50 %
je verrai demain... l'état du PC

amitiés

--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
""

re'

"Azo3" a écrit dans le message
news:

j'approuve ... je viens de le faire ce matin sur un PC d'entreprise : ce
"virus" est bien dans l'onglet démarrage de MSCONFIG et bouffe les
ressources processeur; il suffit de le décocher, redémarrer et le
supprimer


Coucou cher Serge ;-)

Merci de ce retour d'expérience ...

mais comment l'as-tu supprimé ??

_ en mettant les mains ds le cambouis
ou
_en utilisant un scan' ??


amitiés


Bizzz@+ ©

--
« De la discussion ..jaillit la lumière .. »
Cdlt@+
http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/antivirus_gratuits_en_ligne.html





Azo3
Le #757064
pfff j'ai encore trouvé qqs dll bizarres... avec windows defender et avast ,
on a avancé vers la suppression du troyen win32/conhook (probablement le
chef de ce gang) puis de qqs autres individus malfaisants...

--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
"Azo3"
ne sachant ce que c'était que cet ekbff... (1) (mais on trouve tellement
de choses sur les PC) , je l'ai décoché, redémarré et vu que le processus
"explorer" était enfin revenu de 90 mo (!) aux 25 Mo habituels. Cette
bêbête se "cachait" dans ...local settingstemp de default user et
refusait de se laisser écraser autrement qu'en mode admin... aucune autre
trace dans le registre que sa place dans msconfig (runonce)
difficile d'en dire plus vu l'état de ce PC multi-utilisé sauf qu'il
semble que
1 - shareaza et emule me semblent suspects
2 - windows defender serait une bonne parade car en remettant shareaza au
démarrage , WD a réagi

(1) il y en avait un autre du même tonneau qui faisait gonfler une
occurrence de SVCHOST dans les mêmes proportions
-- un autre truc que je ne m'explique pas vraiment (au-dessus de mes
compétences!) :avant ma "réparation", en cas de connexion , l'utilisation
du processeur revenait de 100% à 50 %
je verrai demain... l'état du PC

amitiés

--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
""

re'

"Azo3" a écrit dans le message
news:

j'approuve ... je viens de le faire ce matin sur un PC d'entreprise : ce
"virus" est bien dans l'onglet démarrage de MSCONFIG et bouffe les
ressources processeur; il suffit de le décocher, redémarrer et le
supprimer


Coucou cher Serge ;-)

Merci de ce retour d'expérience ...

mais comment l'as-tu supprimé ??

_ en mettant les mains ds le cambouis
ou
_en utilisant un scan' ??


amitiés


Bizzz@+ ©

--
« De la discussion ..jaillit la lumière .. »
Cdlt@+
http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/antivirus_gratuits_en_ligne.html









j
Le #757062
re'

"Azo3" a écrit dans le message
news:

pfff j'ai encore trouvé qqs dll bizarres... avec windows defender et avast
, on a avancé vers la suppression du troyen win32/conhook (probablement le
chef de ce gang) puis de qqs autres individus malfaisants...


Qq entrées ds le Registre à vérifier /supprimer--»

http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=win32+conhook&alt=win32+conhook


Bon nettoyage ! :o)


--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.google.fr/search?q=win32/conhook

Azo3
Le #757061
merci Jackie!
c'est mon jour de ménage... domestique...on verra demain , au moins leur PC
tourne...

amitiés

--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
"" %
re'

"Azo3" a écrit dans le message
news:

pfff j'ai encore trouvé qqs dll bizarres... avec windows defender et
avast
, on a avancé vers la suppression du troyen win32/conhook (probablement
le
chef de ce gang) puis de qqs autres individus malfaisants...


Qq entrées ds le Registre à vérifier /supprimer--»

http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=win32+conhook&alt=win32+conhook


Bon nettoyage ! :o)


--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.google.fr/search?q=win32/conhook




brasilou
Le #756775
On 1 juil, 17:48, brasilou
Bonjour,

je suis nouveau dans ce groupe et je ne sais pas trop si dans ce
groupe on traite ce genre de problème. Je vous l'expose :
Sur un PC portable, j'ai Windows defender qui a trouvé un .exe suspect
ekbffcar.exe avec
regkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
runkey HKLMsoftwaremicrosoftwindowscurrent versionrun\ekbffcarxv
file c:windowssystem32ekbffcarxv.exe

norton antivirus ne trouve rien même avec une version récente de
définition de virus. Par contre il met un temps fou à analyser mon
disuqe (environ 10 heures pour 130 000 fichiers).

Dans les outils d'administration Windows, dans les logs application,
j'ai des messages toutes les secondes me disant :
cible symantecdefwatch.exe
allocation mémoire bloquée
procédure acteur c:windowssystem32ekbffcarxv.exe (PID4132)

Bien sûr, aucun PID de ce numéro, ni de fichier ayant de rapport avec
ekbff...

Je na'i trouvé aucune information concernant ce .exe sur les moteurs
de recherche, ni sur le site de symantec.

Quelqu'un peut-il m'aider?

Merci d'avance


salut,
d'abord merci à tous ceux qui ont cherché.
Finalement le nouveau fichier de signatures Norton du 3 juillet a
découvert 2 fichiers infecyés par trojan.skintrim, dont le fameux
ekbff...exe.
Il a nettoyé et depuis plus de problème.
Merci à tous
Amicalement

Publicité
Poster une réponse
Anonyme