sync-eu.exe.bid ???

Quand tout est (trop ?) bien organisé, il y a besoin d'une ouverture. Ici on parle de tout, mais pas de n'importe quoi, vous êtes prévenus.
Répondre
Happy Topper
Gecko
Messages : 84
Inscription : 16 sept. 2008, 21:43
Localisation : Ile de France

sync-eu.exe.bid ???

Message par Happy Topper » 08 févr. 2017, 07:20

Bonjour et meilleurs vœux tardifs à tous
Depuis qq jours Malware-Antimalware Premium détecte et stoppe le site sync-eu.exe.bid qui viendrait du programme firefox.exe, vraisemblablement suite à une récente mise à jour automatique de celui-ci.
Ne maîtrisant pas l'anglais je n'ai rien trouvé en français sur le sujet
Précision : sync-eu.exe.bid n'est pas détecté par la suite F secure de SFR sécurité.
Merci d'avance si vous savez de quoi il s'agit, et comment l'éliminer.
Votre Navigateur : Mozilla/5.0 (Windows NT 10.0; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0

Avatar de l’utilisateur
myahoo
Animal mythique
Messages : 7798
Inscription : 02 sept. 2005, 00:13

Re: sync-eu.exe.bid ???

Message par myahoo » 08 févr. 2017, 09:59

Bonjour,

Ah, ce Malwarebyte's Anti Malware, alias MBAM… Firefox n'y est pour rien, puisque ce site semble bien être lié à de l'indésirable et a aussi touché Internet Explorer, Outlook, etc. :
https://forums.malwarebytes.com/topic/1 ... -euexebid/
https://answers.microsoft.com/en-us/mso ... AllReplies

Une solution peut donc être de passer par Adwcleaner (racheté par MBAM, d'ailleurs) :
https://toolslib.net/downloads/viewdown ... dwcleaner/

Télécharge-le, quitte tous les programmes en cours (y compris MBAM), puis lance l'exécutable de type adwcleaner_XXXXX.exe. Une fois l'analyse faite il te proposera de nettoyer le tout et forcera un redémarrage du poste. Avant de l'effectuer, tu verras certainement un onglet concernant Firefox et répertoriant le site en question.

Happy Topper
Gecko
Messages : 84
Inscription : 16 sept. 2008, 21:43
Localisation : Ile de France

Re: sync-eu.exe.bid ???

Message par Happy Topper » 09 févr. 2017, 19:44

Bonsoir
J'avais déjà vu les liens en anglais que je ne sais pas les exploiter, et j'utilise régulièrement adwcleaner qui ne trouve rien.
Mais mon portable à un DD de 3 To divisé en 6 partitions dont C: avec l'OS Win 10 et D: pour les programmes indépendants dont Firefox
adwcleaner étant sur la partition D: et n'ayant aucun réglages je ne suis pas sur que les 5 partitions annexes soient testées ???
Comment faire pour contrôler que les 5 autres partitions du DD soient testées par adwcleaner ???
Merci d'avance pour vos suggestions sur ce point adwcleaner !
Rappel : sync-eu.exe.bid : de quoi il s'agit ?, et comment l'éliminer ?
Cordialement
Votre Navigateur : Mozilla/5.0 (Windows NT 10.0; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0

Avatar de l’utilisateur
myahoo
Animal mythique
Messages : 7798
Inscription : 02 sept. 2005, 00:13

Re: sync-eu.exe.bid ???

Message par myahoo » 24 févr. 2017, 10:44

Alors on va suivre ce qui est dit sur la page de Malwarebytes.
En langouage françois et avec une touche d'abréviation, cela nous donne à peu près :
  • Redémarre d'abord l'ordinateur avant de suivre ces procédures
  • Étape 1
    • télécharge Junkware Removal Tool sur le bureau
    • quitte complètement l'antivirus afin d'éviter tout conflit
    • fais un clic droit sur JRT.exe et choisis Exécuter en tant qu'administrateur
    • l'application se lance et effectue une analyse du système, cela peut prendre pas mal de temps
    • quand c'est fini, un journal s'ouvre automatiquement est est enregistré sur le bureau (JRT.txt)
    • copie l'ensemble du texte, et colle-le ici entre les balises [code] et [/code]
    • une fois cela fini, relance l'antivirus
  • Étape 2
    • refais un nettoyage avec Adwcleaner, en ayant téléchargé la dernière version en cours
    • après le redémarrage du poste, copie le journal qui s'ouvre et colle-le aussi entre balises [code] / [/code]
  • Étape 3
    • télécharge Sophos Free Virus Removal Tool sur le bureau (lien direct)
    • lance-le en acceptant les termes d'utilisation et valide tout pour terminer l'installation
    • lance le raccourci Sophos Virus Removal Tool, attends qu'il se mette à jour puis lance l'analyse avec Start scanning
    • s'il a trouvé des choses, valide le nettoyage et copier le texte du rapport pour le coller ici, toujours avec les balises
  • Étape 4
    • télécharge FRST (Farbar Recovery Scan Tool Download, il est sur cette page) en prenant la bonne version entre 32 bits et 64 bits (il y a un tuto ici)
    • lance-le en acceptant les termes d'utilisation, puis valide tout et lance l'analyse
    • lui aussi fournira un journal (FRST.txt), copie-le ici entre les balises maintenant habituelles
    • il y aura également le fichier Addition.txt, à copier comme le reste
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:51.0) Gecko/20100101 Firefox/51.0

totof_nouveau
Lézard vert
Messages : 139
Inscription : 30 déc. 2008, 13:12
Localisation : Lyon

Re: sync-eu.exe.bid ???

Message par totof_nouveau » 24 févr. 2017, 21:37

a priori, ce n'est pas le programme, c'est l'adresse d'un site traqueur
https://www.virustotal.com/fr/url/5aca2 ... /analysis/
contenue dans un fichier, mais lequel?
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0

Avatar de l’utilisateur
jojo81
Gecko
Messages : 92
Inscription : 31 août 2015, 17:54

Re: sync-eu.exe.bid ???

Message par jojo81 » 24 févr. 2017, 22:00

Il faudrait nous préciser le contexte.

1/ Sur quel(s) sites sync-eu.exe.bid fait réagir ton antivirus ?
2/ Quelles extensions ?
3/ Quels plugins ?

Merci.

---PS---
Des infos supplémentaires sur sync-eu.exe.bid

Code : Tout sélectionner

[jadmin@judeonazi ~]$ dig sync-eu.exe.bid

; <<>> DiG 9.11.0-P3 <<>> sync-eu.exe.bid
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30629
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;sync-eu.exe.bid.		IN	A

;; ANSWER SECTION:
sync-eu.exe.bid.	198	IN	CNAME	mb-eu-lba.exe.bid.
mb-eu-lba.exe.bid.	23	IN	A	136.243.131.59

;; Query time: 49 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: ven. févr. 24 21:55:36 CET 2017
;; MSG SIZE  rcvd: 73

Code : Tout sélectionner

[jadmin@judeonazi ~]$ whois 136.243.131.59

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=136.243.131.59?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       136.243.0.0 - 136.243.255.255
CIDR:           136.243.0.0/16
NetName:        RIPE-ERX-136-243-0-0
NetHandle:      NET-136-243-0-0-1
Parent:         NET136 (NET-136-0-0-0-0)
NetType:        Early Registrations, Transferred to RIPE NCC
OriginAS:       
Organization:   RIPE Network Coordination Centre (RIPE)
RegDate:        2004-04-14
Updated:        2004-04-14
Comment:        These addresses have been further assigned to users in
Comment:        the RIPE NCC region.  Contact information can be found in
Comment:        the RIPE database at http://www.ripe.net/whois
Ref:            https://whois.arin.net/rest/net/NET-136-243-0-0-1

ResourceLink:  https://apps.db.ripe.net/search/query.html
ResourceLink:  whois.ripe.net

OrgName:        RIPE Network Coordination Centre
OrgId:          RIPE
Address:        P.O. Box 10096
City:           Amsterdam
StateProv:      
PostalCode:     1001EB
Country:        NL
RegDate:        
Updated:        2013-07-29
Ref:            https://whois.arin.net/rest/org/RIPE

ReferralServer:  whois://whois.ripe.net
ResourceLink:  https://apps.db.ripe.net/search/query.html

OrgTechHandle: RNO29-ARIN
OrgTechName:   RIPE NCC Operations
OrgTechPhone:  +31 20 535 4444 
OrgTechEmail:  hostmaster@ripe.net
OrgTechRef:    https://whois.arin.net/rest/poc/RNO29-ARIN

OrgAbuseHandle: ABUSE3850-ARIN
OrgAbuseName:   Abuse Contact
OrgAbusePhone:  +31205354444 
OrgAbuseEmail:  abuse@ripe.net
OrgAbuseRef:    https://whois.arin.net/rest/poc/ABUSE3850-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#



Found a referral to whois.ripe.net.

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '136.243.0.0 - 136.243.255.255'

% No abuse contact registered for 136.243.0.0 - 136.243.255.255

inetnum:        136.243.0.0 - 136.243.255.255
netname:        HETZNER-RZ-BLK-ERX3
descr:          Server Block
country:        DE
admin-c:        HOAC1-RIPE
tech-c:         HOAC1-RIPE
status:         LEGACY
remarks:        For information on "status:" attribute read https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources
mnt-by:         HOS-GUN
mnt-lower:      HOS-GUN
mnt-routes:     HOS-GUN
mnt-domains:    HOS-GUN
created:        1970-01-01T00:00:00Z
last-modified:  2015-05-05T01:35:58Z
source:         RIPE

role:           Hetzner Online GmbH - Contact Role
address:        Hetzner Online GmbH
address:        Industriestrasse 25
address:        D-91710 Gunzenhausen
address:        Germany
phone:          +49 9831 505-0
fax-no:         +49 9831 505-3
abuse-mailbox:  abuse@hetzner.de
remarks:        *************************************************
remarks:        * For spam/abuse/security issues please contact *
remarks:        * abuse@hetzner.de, not this address. *
remarks:        * The contents of your abuse email will be *
remarks:        * forwarded directly on to our client for *
remarks:        * handling. *
remarks:        *************************************************
remarks:
remarks:        *************************************************
remarks:        * Any questions on Peering please send to *
remarks:        * peering@hetzner.de *
remarks:        *************************************************
org:            ORG-HOA1-RIPE
admin-c:        MH375-RIPE
tech-c:         GM834-RIPE
tech-c:         SK2374-RIPE
tech-c:         TF2013-RIPE
tech-c:         MF1400-RIPE
tech-c:         SK8441-RIPE
nic-hdl:        HOAC1-RIPE
mnt-by:         HOS-GUN
created:        2004-08-12T09:40:20Z
last-modified:  2015-08-06T09:39:14Z
source:         RIPE # Filtered

% Information related to '136.243.0.0/16AS24940'

route:          136.243.0.0/16
descr:          HETZNER-RZ-BLK-ERX3
origin:         AS24940
org:            ORG-HOA1-RIPE
mnt-by:         HOS-GUN
created:        2012-12-24T09:10:23Z
last-modified:  2012-12-24T09:10:23Z
source:         RIPE

organisation:   ORG-HOA1-RIPE
org-name:       Hetzner Online GmbH
org-type:       LIR
address:        Industriestrasse 25
address:        D-91710
address:        Gunzenhausen
address:        GERMANY
phone:          +49 9831 5050
fax-no:         +49 9831 5053
admin-c:        TF2013-RIPE
admin-c:        MF1400-RIPE
admin-c:        GM834-RIPE
admin-c:        HOAC1-RIPE
admin-c:        MH375-RIPE
admin-c:        SK2374-RIPE
admin-c:        SK8441-RIPE
abuse-c:        HOAC1-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        HOS-GUN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         HOS-GUN
created:        2004-04-17T11:07:58Z
last-modified:  2016-08-25T13:26:09Z
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.88 (HEREFORD)


Votre Navigateur : Mozilla/5.0 (X11; Linux x86_64; rv:51.0) Gecko/20100101 Firefox/51.0
Utilisateur de Firefox et dérivés depuis 2006 sur Windows (sans aucun antivirus depuis 2010), Debian et Archlinux : viewtopic.php?f=10&t=17405&p=812950&sid ... b6#p812950

Happy Topper
Gecko
Messages : 84
Inscription : 16 sept. 2008, 21:43
Localisation : Ile de France

Re: sync-eu.exe.bid ???

Message par Happy Topper » 25 févr. 2017, 08:42

Bonjour et merci à tous pour vos contributions
Le site "sync-eu.exe.bid" n'a plus été détecté par MBAM, mais plusieurs autres sites l'ont été, que je n'ai pas relevé, je le ferais aux prochaines occurrences.
Depuis qq jours j'ai de temps à autres une incrustation "https://fw.adsafeprotected.com demande le contrôle complet de vos appareils midi" que je refuse systématiquement.
NB : lorsque cette incrustation apparait il est impossible de réaliser une capture d'écran avec l'outil de Win 10 !
Savez-vous de quoi il s'agit ?
@+ Cordialement
Votre Navigateur : Mozilla/5.0 (Windows NT 10.0; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0

totof_nouveau
Lézard vert
Messages : 139
Inscription : 30 déc. 2008, 13:12
Localisation : Lyon

Re: sync-eu.exe.bid ???

Message par totof_nouveau » 25 févr. 2017, 18:10

hello
manifestement, tu as une (grave?) infection, il te faut absolument tenter les outils évoqués plus haut.
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0

Avatar de l’utilisateur
myahoo
Animal mythique
Messages : 7798
Inscription : 02 sept. 2005, 00:13

Re: sync-eu.exe.bid ???

Message par myahoo » 27 févr. 2017, 14:44

Et un autre outil pas trop mal pour nettoyer : Combofix.
Par contre, avant de le lancer le mieux est de quitter tout programme en cours y compris l'antivirus (et ce qu'il y a en arrière-plan).

Happy Topper
Gecko
Messages : 84
Inscription : 16 sept. 2008, 21:43
Localisation : Ile de France

Re: sync-eu.exe.bid ???

Message par Happy Topper » 28 févr. 2017, 07:26

Bonjour et merci
Je n'ai pas eu de nouveaux incidents
Hélas Combofix n'est pas compatible avec Win 10
Savez-vous ce qu'est fw.adsafeprotected.com :?: qui selon Virus total ne semble pas dangereux : https://www.virustotal.com/fr/url/e98aa ... 488262985/

@+ Cordialement
Votre Navigateur : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36 OPR/43.0.2442.991

Avatar de l’utilisateur
myahoo
Animal mythique
Messages : 7798
Inscription : 02 sept. 2005, 00:13

Re: sync-eu.exe.bid ???

Message par myahoo » 28 févr. 2017, 16:34

Le sujet n'est plus trop en rapport avec Firefox, là :roll:
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0

totof_nouveau
Lézard vert
Messages : 139
Inscription : 30 déc. 2008, 13:12
Localisation : Lyon

Re: sync-eu.exe.bid ???

Message par totof_nouveau » 28 févr. 2017, 19:15

d'où le thème tribune libre peut-être?
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0

Avatar de l’utilisateur
myahoo
Animal mythique
Messages : 7798
Inscription : 02 sept. 2005, 00:13

Re: sync-eu.exe.bid ???

Message par myahoo » 01 mars 2017, 10:28

totof_nouveau a écrit :d'où le thème tribune libre peut-être?
D'où le fait que le sujet y a été déplacé, surtout :lol:
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0

Répondre

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité