Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Problèmes suite à infection Win 32 Malware Gen

 

SECURITE : rubised, abdel76610, 2 utilisateurs anonymes et 112 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Problèmes suite à infection Win 32 Malware Gen

RÉSOLU
Prévenir les modérateurs en cas d'abus 
Papounet 95
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 05/10/2013 à 11:42:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
RESOLU - Bonjour,
Sur mon pC de bureau fonctionnant sous w7 avec AVAST comme Antivirus j'ai eu une alerte "Virus" qui a été mis en quarantaine.
Après vérification et redémarrage j'ai un message qui s'affiche cf Cjoint : http://cjoint.com/?CJfnKaBrGn7 .
La propriété du fichier mis en quarantaine est copié sur une copie écran cf Cjoint: http://cjoint.com/?CJfnMmX7gj3
J'ai essayé de trouver des informations sur le problème Installed.exe sans vraiment de succès.
J'ai avant de poster fait des analyses avec MalwareBytes, SpyBoot, AdAware qui ont trouvés leurs lots de petits problèmes sans résoudre ce message au démarrage de ma session.
Je me permet donc de demander de l'aide pour résoudre ce problème.
Merci
Message édité par Papounet 95 le 09/10/2013 à 16:55:53

---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/10/2013 à 12:37:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\​*.sys /lockedfiles
%systemroot%\System32\config\*​.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++ :)

(Publicité)
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 05/10/2013 à 14:58:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir Dédétraqué et merci de m'aider.
J'ai lancé l'outil et enregistré les 2 rapports que je joins ci après.
Rapport OTL;
http://cjoint.com/?CJfq3CPDEJr
Rapport EXTRAS;
http://cjoint.com/?CJfq5jUwH2O
Dans l'attente bonne réception


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/10/2013 à 15:22:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Double clic sur OTL.exe pour le lancer.
(Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans le lien ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :OTL au début du script de correction

Citation :


:OTL
IE - HKU\S-1-5-21-1268360803-374343​8507-3065830427-1002\Software\​Microsoft\Windows\CurrentVersi​on\Internet Settings: "ProxyServer" = localhost:21320
FF - HKLM\Software\MozillaPlugins\@​viewpoint.com/VMP: C:\Program Files (x86)\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
O4 - Startup: C:\Users\Henri\AppData\Roaming​\Microsoft\Windows\Start Menu\Programs\Startup\HOstVs.v​bs ()
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPho​tos.scr/200 File not found
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA0​05127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA0​05127ED} - No CLSID value found.
[2013/10/04 23:05:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Viewpoint
[2013/10/04 23:05:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Viewpoint
[2013/10/04 22:39:31 | 000,000,055 | ---- | C] () -- C:\Users\Henri\AppData\Roaming​\Installed.bat
[2013/10/04 22:37:05 | 000,000,055 | ---- | C] () -- C:\Installed.bat

:Commands
[emptytemp]



* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 05/10/2013 à 16:24:23  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Dédétraqué,
J'ai exécuté la manipulation comme indiqué le micro a redémarré mais le message d'origine "windows ne trouve pas Installed.exe etc est toujours présent.
Ci joint le rapport généré;
http://cjoint.com/?CJfsxQ4SVry
Voilà, dans l'attente et merci


---------------
RizouRiton@aol.com
(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/10/2013 à 16:54:30  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.c [...] ok_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
Citation :


:regfind
Installed.exe

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 05/10/2013 à 17:23:55  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir Dédétraqué,
Manipulation faite correctement j'espère. Le rapport est en dessous.

SystemLook 30.07.11 by jpshortstuff
Log created at 19:20 on 05/10/2013 by Henri
Administrator - Elevation successful

========== regfind ==========

Searching for "Installed.exe"
No data found.

-= EOF =-

Dans l'attente
Merci


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/10/2013 à 18:40:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Recommence avec ceci plutôt :

:regfind
Installed.exe


@++ :)

(Publicité)
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 05/10/2013 à 20:53:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,
Je viens de refaire la manipulation et avant de poster j'ai éteint et rallumé l'ordinateur et malheureusement le message s'affiche toujours sur ma session mais pas sur celle de ma femme ni sur la session qu'avait crée l'assembleur qui a monté la machine.
Voici de nouveau le rapport;
SystemLook 30.07.11 by jpshortstuff
Log created at 22:40 on 05/10/2013 by Henri
Administrator - Elevation successful

========== regfind ==========

Searching for "Installed.exe"
No data found.

-= EOF =-
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/10/2013 à 02:39:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95




Il ce cache bien, essai comme ceci :


:regfind
*nstalled.exe*




@++ :)
Message édité par dédétraqué le 06/10/2013 à 02:43:29
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 06/10/2013 à 06:55:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Dédétraqué,
J'ai refait la manipulation et le résultat est toujours le même.
Puisque je n'ai pas ce message sur les autres sessions je me demande si je ne devrais pas créer une nouvelle session en copiant mes documents, images, musiques et vidéos puis si cela est bien possible supprimer la session nommée Henri est ce une solution éventuelle? même si cela risque d'être long.
Résultat:
SystemLook 30.07.11 by jpshortstuff
Log created at 08:49 on 06/10/2013 by Henri
Administrator - Elevation successful

========== regfind ==========

Searching for "*Installed.exe*"
No data found.

-= EOF =-
Merci


---------------
RizouRiton@aol.com
(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/10/2013 à 12:52:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 06/10/2013 à 14:52:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Dédétraqué,
J'ai suivi les indications et refait le scan OTL.
Ci joint le rapport:
http://cjoint.com/?CJgqYYr1N1K
Dans l'attente
Merci


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/10/2013 à 15:15:52  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Envoie moi ce fichier Installed.bat avec cjoint...

Clique sur Choisissez un fichier
Dans le bas dans Nom de fichier: copie/colle ceci :
C:\Users\Henri\AppData\Roaming​\Installed.bat

Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++ :)

(Publicité)
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 06/10/2013 à 16:50:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Dédétraqué,
J'ai un problème, avec cjoint je clique sur parcourir et je colle "C:\Users\Henri\AppData\Roamin​g​\Installed.bat" et la la réponse est pas de fichier.
J'essaye en cliquant sur démarrer et rechercher et j'obtiens la même réponse.
Je viens d'afficher les dossiers cachés mais pas de changement, que dois je faire?
Merci d'avance


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/10/2013 à 17:49:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Bizarre quand même, je le voie pourtant de le rapport OTL....

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
Citation :


:filefind
*installed*
:regfind
*installed*

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 06/10/2013 à 18:18:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut me revoilà,
Voici le résultat:
SystemLook 30.07.11 by jpshortstuff
Log created at 20:13 on 06/10/2013 by Henri
Administrator - Elevation successful

========== filefind ==========

Searching for "*installed*"
C:\Program Files (x86)\Common Files\aol\1369978226\ee\servic​es\autofix\ver2_3_16_4\resourc​es\autofixes\6018-checkJavaIns​talled.axf --a---- 345 bytes [16:56 02/02/2007] [16:56 02/02/2007] CECA432D4E986FCC57504BCCE756EE​16
C:\Program Files (x86)\Common Files\aol\1369978226\ee\servic​es\autofix\ver2_3_16_4\resourc​es\fr-FR\lm_winUpdatesInstalle​d.html --a---- 1121 bytes [14:23 16/03/2006] [14:23 16/03/2006] 8FFE499DBFA5DB604C3DDB5819536D​BC
C:\Program Files (x86)\Common Files\aol\1369978226\ee\servic​es\autofix\ver2_3_16_4\resourc​es\fr-FR\lm_winXPSp2Installed.​html --a---- 1390 bytes [16:57 13/02/2006] [16:57 13/02/2006] B322DB9D2EBC8267313C4A2A947370​9D
C:\Program Files (x86)\Common Files\aol\1369978226\ee\servic​es\autofix\ver2_3_16_4\resourc​es\fr-FR\tmh_winXPSp2Installed​.html --a---- 2605 bytes [14:23 16/03/2006] [14:23 16/03/2006] EF00C41E8555B3E5FACDE414CC46F5​19
C:\Program Files (x86)\Hewlett-Packard\HP Webcam HD 2300 Software\images\InstalledChatA​pp.png --a---- 5089 bytes [08:53 03/02/2012] [08:53 03/02/2012] 5E51E31041C44B7FAA3B3300EA1599​E4
C:\ProgramData\Microsoft\OFFIC​E\Groove\Installed_resources.x​ss --a---- 24870912 bytes [19:56 10/02/2009] [19:56 10/02/2009] 62A1579352CA6B8E83FF7F6159336D​AE
C:\ProgramData\Microsoft\OFFIC​E\Groove\Installed_schemas.xss --a---- 958464 bytes [16:34 23/10/2006] [16:34 23/10/2006] B56DD93713C567C941CC19CA3196AB​F7
C:\Users\All Users\Microsoft\OFFICE\Groove\​Installed_resources.xss --a---- 24870912 bytes [19:56 10/02/2009] [19:56 10/02/2009] 62A1579352CA6B8E83FF7F6159336D​AE
C:\Users\All Users\Microsoft\OFFICE\Groove\​Installed_schemas.xss --a---- 958464 bytes [16:34 23/10/2006] [16:34 23/10/2006] B56DD93713C567C941CC19CA3196AB​F7
C:\Users\Henri\AppData\Roaming​\Installed.bat --a---- 55 bytes [20:39 04/10/2013] [06:42 19/08/2013] FA58F0DF44F3D36CC96FCEDA37C492​AF
C:\Windows\diagnostics\system\​Printer\RS_NoPrinterInstalled.​ps1 --a---- 1025 bytes [23:31 13/07/2009] [20:48 10/06/2009] A70359624895525CC7DE81098247EE​60
C:\Windows\diagnostics\system\​Printer\TS_NoPrinterInstalled.​ps1 --a---- 1100 bytes [23:31 13/07/2009] [20:48 10/06/2009] 69A463E73C3D0E9F5FDE7C2B78382F​F5
C:\Windows\Installer\$PatchCac​he$\Managed\000021090300000000​00000000F01FEC\12.0.4518\INSTA​LLED_RESOURCES.XSS -ra---- 24870912 bytes [16:34 23/10/2006] [16:34 23/10/2006] 0A865096A973942C867224B3440DC3​F5
C:\Windows\servicing\Version\6​.1.7601.17592\amd64_installed --a---- 9 bytes [02:55 14/07/2009] [02:55 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\servicing\Version\6​.1.7601.17592\x86_installed --a---- 9 bytes [02:43 14/07/2009] [02:43 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\System32\SetIEInsta​lledDate.exe --a---- 92160 bytes [14:35 31/05/2013] [14:35 31/05/2013] F651D95B5043EFC20A6108A8535539​84
C:\Windows\System32\migwiz\Pos​tMigRes\Web\base_images\AppIns​talled.gif --a---- 1060 bytes [20:21 13/07/2009] [21:05 10/06/2009] CA66A1CED41B8702BF3B694BFB499A​A3
C:\Windows\System32\wbem\WgxIn​stalledGame.mof --a---- 3146 bytes [21:48 13/07/2009] [20:33 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\System32\wbem\fr-FR​\WgxInstalledGame.mfl --a---- 3222 bytes [09:16 12/04/2011] [09:16 12/04/2011] B81D247D411066A30FF924A11A2A2B​2B
C:\Windows\SysWOW64\SetIEInsta​lledDate.exe --a---- 73728 bytes [14:35 31/05/2013] [14:35 31/05/2013] 6DF2C6438CFF6EFCBBB88AEE017955​01
C:\Windows\SysWOW64\migwiz\Pos​tMigRes\Web\base_images\AppIns​talled.gif --a---- 1060 bytes [20:26 13/07/2009] [21:43 10/06/2009] CA66A1CED41B8702BF3B694BFB499A​A3
C:\Windows\SysWOW64\wbem\WgxIn​stalledGame.mof --a---- 3146 bytes [21:56 13/07/2009] [20:41 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\SysWOW64\wbem\fr-FR​\WgxInstalledGame.mfl --a---- 3222 bytes [09:16 12/04/2011] [09:16 12/04/2011] B81D247D411066A30FF924A11A2A2B​2B
C:\Windows\winsxs\amd64_micros​oft-windows-gameexplorer.resou​rces_31bf3856ad364e35_6.1.7600​.16385_fr-fr_0d1d19267bb4cd72\​WgxInstalledGame.mfl --a---- 3222 bytes [09:16 12/04/2011] [09:16 12/04/2011] B81D247D411066A30FF924A11A2A2B​2B
C:\Windows\winsxs\amd64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.17514_non​e_a026547dd7dc8bbc\WgxInstalle​dGame.mof --a---- 3146 bytes [21:48 13/07/2009] [20:33 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\amd64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.18020_non​e_a0176323d7e86a2f\WgxInstalle​dGame.mof --a---- 3146 bytes [21:48 13/07/2009] [20:33 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\amd64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.22183_non​e_a0632144f133fda4\WgxInstalle​dGame.mof --a---- 3146 bytes [21:48 13/07/2009] [20:33 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\amd64_micros​oft-windows-i..-setieinstalled​date_31bf3856ad364e35_10.2.920​0.16521_none_86509b3f317cf8e7\​SetIEInstalledDate.exe --a---- 92160 bytes [14:35 31/05/2013] [14:35 31/05/2013] F651D95B5043EFC20A6108A8535539​84
C:\Windows\winsxs\amd64_micros​oft-windows-i..-setieinstalled​date_31bf3856ad364e35_8.0.7600​.16385_none_7f263a8951bc5a48\S​etIEInstalledDate.exe --a---- 93184 bytes [23:58 13/07/2009] [01:39 14/07/2009] 1A27A9098055F90149D459C5CB743A​08
C:\Windows\winsxs\amd64_micros​oft-windows-i..-setieinstalled​date_31bf3856ad364e35_9.4.8112​.16421_none_7d153fec93ad1dcf\S​etIEInstalledDate.exe --a---- 91648 bytes [12:37 30/05/2013] [12:37 30/05/2013] 94E2790F0F0BA0249EEA0EA745863A​7B
C:\Windows\winsxs\amd64_micros​oft-windows-m..onwizardapplica​tion_31bf3856ad364e35_6.1.7601​.17514_none_18a11c58aaf4d08c\A​ppInstalled.gif --a---- 1060 bytes [20:21 13/07/2009] [21:05 10/06/2009] CA66A1CED41B8702BF3B694BFB499A​A3
C:\Windows\winsxs\amd64_micros​oft-windows-printerdiagnostic_​31bf3856ad364e35_6.1.7600.1638​5_none_21b432d7b46a7554\RS_NoP​rinterInstalled.ps1 --a---- 1025 bytes [23:31 13/07/2009] [20:48 10/06/2009] A70359624895525CC7DE81098247EE​60
C:\Windows\winsxs\amd64_micros​oft-windows-printerdiagnostic_​31bf3856ad364e35_6.1.7600.1638​5_none_21b432d7b46a7554\TS_NoP​rinterInstalled.ps1 --a---- 1100 bytes [23:31 13/07/2009] [20:48 10/06/2009] 69A463E73C3D0E9F5FDE7C2B78382F​F5
C:\Windows\winsxs\amd64_micros​oft-windows-servicingstack_31b​f3856ad364e35_6.1.7600.16385_n​one_655452efe0fb810b\amd64_ins​talled --a---- 9 bytes [02:55 14/07/2009] [02:55 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\winsxs\amd64_micros​oft-windows-servicingstack_31b​f3856ad364e35_6.1.7601.17514_n​one_678566b7ddea04a5\amd64_ins​talled --a---- 9 bytes [02:55 14/07/2009] [02:55 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\winsxs\amd64_micros​oft-windows-servicingstack_31b​f3856ad364e35_6.1.7601.17592_n​one_672ce6c3de2cb17f\amd64_ins​talled --a---- 9 bytes [02:55 14/07/2009] [02:55 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\winsxs\Manifests\am​d64_microsoft-windows-i..-seti​einstalleddate_31bf3856ad364e3​5_10.2.9200.16521_none_86509b3​f317cf8e7.manifest ------- 2473 bytes [14:34 31/05/2013] [14:34 31/05/2013] 3D830E8AEC03F9B2F34983F2F5739A​FA
C:\Windows\winsxs\Manifests\am​d64_microsoft-windows-i..-seti​einstalleddate_31bf3856ad364e3​5_8.0.7600.16385_none_7f263a89​51bc5a48.manifest --a---- 2341 bytes [02:25 14/07/2009] [02:25 14/07/2009] A65B9B89D0EA272470062E15C228B9​80
C:\Windows\winsxs\Manifests\am​d64_microsoft-windows-i..-seti​einstalleddate_31bf3856ad364e3​5_9.4.8112.16421_none_7d153fec​93ad1dcf.manifest ------- 2433 bytes [12:37 30/05/2013] [12:37 30/05/2013] 2547BFEE5EEEDADAAD2C45F9889BD2​8B
C:\Windows\winsxs\Manifests\x8​6_microsoft-windows-i..-setiei​nstalleddate_31bf3856ad364e35_​10.2.9200.16521_none_2a31ffbb7​91f87b1.manifest ------- 2471 bytes [14:35 31/05/2013] [14:35 31/05/2013] FE1BCA6948C9231F6A807468DEB2DC​D6
C:\Windows\winsxs\Manifests\x8​6_microsoft-windows-i..-setiei​nstalleddate_31bf3856ad364e35_​8.0.7600.16385_none_23079f0599​5ee912.manifest --a---- 2339 bytes [01:55 14/07/2009] [01:55 14/07/2009] 8A5AB237F6CF2330B8EA4A076A8FAE​4D
C:\Windows\winsxs\Manifests\x8​6_microsoft-windows-i..-setiei​nstalleddate_31bf3856ad364e35_​9.4.8112.16421_none_20f6a468db​4fac99.manifest ------- 2431 bytes [12:37 30/05/2013] [12:37 30/05/2013] 287FC8EAA25BF5C54DA74B4221999F​27
C:\Windows\winsxs\wow64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.17514_non​e_aa7afed00c3d4db7\WgxInstalle​dGame.mof --a---- 3146 bytes [21:56 13/07/2009] [20:41 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\wow64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.18020_non​e_aa6c0d760c492c2a\WgxInstalle​dGame.mof --a---- 3146 bytes [21:56 13/07/2009] [20:41 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\wow64_micros​oft-windows-gameexplorer_31bf3​856ad364e35_6.1.7601.22183_non​e_aab7cb972594bf9f\WgxInstalle​dGame.mof --a---- 3146 bytes [21:56 13/07/2009] [20:41 13/07/2009] 0EA2DB2CEEC3E849744AB330B42615​08
C:\Windows\winsxs\wow64_micros​oft-windows-m..onwizardapplica​tion_31bf3856ad364e35_6.1.7601​.17514_none_22f5c6aadf559287\A​ppInstalled.gif --a---- 1060 bytes [20:26 13/07/2009] [21:43 10/06/2009] CA66A1CED41B8702BF3B694BFB499A​A3
C:\Windows\winsxs\x86_microsof​t-windows-gameexplorer.resourc​es_31bf3856ad364e35_6.1.7600.1​6385_fr-fr_b0fe7da2c3575c3c\Wg​xInstalledGame.mfl --a---- 3222 bytes [09:16 12/04/2011] [09:16 12/04/2011] B81D247D411066A30FF924A11A2A2B​2B
C:\Windows\winsxs\x86_microsof​t-windows-i..-setieinstalledda​te_31bf3856ad364e35_10.2.9200.​16521_none_2a31ffbb791f87b1\Se​tIEInstalledDate.exe --a---- 73728 bytes [14:35 31/05/2013] [14:35 31/05/2013] 6DF2C6438CFF6EFCBBB88AEE017955​01
C:\Windows\winsxs\x86_microsof​t-windows-i..-setieinstalledda​te_31bf3856ad364e35_8.0.7600.1​6385_none_23079f05995ee912\Set​IEInstalledDate.exe --a---- 77824 bytes [23:43 13/07/2009] [01:14 14/07/2009] B239106B9B5BEB8E0FA4B6584AF701​E8
C:\Windows\winsxs\x86_microsof​t-windows-i..-setieinstalledda​te_31bf3856ad364e35_9.4.8112.1​6421_none_20f6a468db4fac99\Set​IEInstalledDate.exe --a---- 76800 bytes [12:37 30/05/2013] [12:37 30/05/2013] 736D1B28224F9DF8008BE8B0DEDFC9​EF
C:\Windows\winsxs\x86_microsof​t-windows-servicingstack_31bf3​856ad364e35_6.1.7600.16385_non​e_0935b76c289e0fd5\x86_install​ed --a---- 9 bytes [02:43 14/07/2009] [02:43 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\winsxs\x86_microsof​t-windows-servicingstack_31bf3​856ad364e35_6.1.7601.17514_non​e_0b66cb34258c936f\x86_install​ed --a---- 9 bytes [02:43 14/07/2009] [02:43 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6
C:\Windows\winsxs\x86_microsof​t-windows-servicingstack_31bf3​856ad364e35_6.1.7601.17592_non​e_0b0e4b4025cf4049\x86_install​ed --a---- 9 bytes [02:43 14/07/2009] [02:43 14/07/2009] AA7FF0072BB6CEF6964E5CBCA1DECF​F6

========== regfind ==========

Searching for "*installed*"
No data found.

-= EOF =-

J'ai cet après midi crée un autre compte utilisateur "administrateur et rapatrié tous mes documents, images, musiques et vidéos issus de mon appareil photo et le message ne s'affiche pas à l'ouverture de cette session.
Voilà
Dans l'attente merci


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/10/2013 à 18:47:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Il es pourtant bien là le fichier :
C:\Users\Henri\AppData\Roaming​\Installed.bat --a---- 55 bytes [20:39 04/10/2013] [06:42 19/08/2013] FA58F0DF44F3D36CC96FCEDA37C492​​AF


Double clic sur OTL.exe pour le lancer.
(Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans le lien ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :OTL au début du script de correction

Citation :


:Files
C:\Users\Henri\AppData\Roaming​\Installed.bat

:Commands
[emptytemp]



* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 07/10/2013 à 09:36:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Dédétraqué et merci de ta patience,
Après exécution de OTL malheureusement le problème persiste. J'ai fait une nouvelle copie écran que je joins via Cjoint:
http://cjoint.com/?3JhlGs11utr
Et aussi le rapport généré par OTL vis Cjoint:
http://cjoint.com/?3JhlJoAuw8M
Voilà ou j'en suis.
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 07/10/2013 à 14:38:20  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Refais un scan avec SystemLook comme ici :
http://forum.telecharger.01net [...] =0#t783483


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 07/10/2013 à 15:44:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir Dédétraqué,
J'ai refait l'analyse avec Système Loock comme demandé et voici le résultat avec Cjoint:
http://cjoint.com/?3JhrRuMuV95
Dans l'attente
Merci


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 07/10/2013 à 20:37:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Bon il est encore présent, es-tu d'accord que j'intervienne directement sur ton PC pour voir de visu via TeamViewer.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 06:29:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Dédétraqué,
Je dispose de l'application Teamviewer que j'utilise pour aider des amis qui me communique via Skype ou Téléphone leur ID ainsi que le mot de passe temporaire.
Je suis d'accord que tu interviennes mais comme je ne suis pas toujours connecté gardant ma petite fille de 22 mois (en principe disponible ce soir vers 18h00) merci de m'indiquer les modalités a mettre en place notamment l'heure souhaitable d'intervention.
Par avance merci
C


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/10/2013 à 12:10:46  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Je t'envoie un MP :bien:


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 12:15:18  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Dédétraqué,
Ma petite ne voulant pas dormir je suis devant mon ordinateur.


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/10/2013 à 12:19:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


OK on peux faire tout de suite alors, ne tiens pas compte de mon MP...

Envoie moi ton ID et mot de passe de la session en MP.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 12:44:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
salut Dédétraqué,
Suite à la manipulation le 1er message a disparu mais remplacé par un autre et 2 raccourcis sont apparus sur le bureau.
cf Cjoint:
http://cjoint.com/?3JioQT4G9Nn
Je vais être obligé de quitter la petite demande qu'on s'occupe d'elle
Merci
A plus


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/10/2013 à 13:45:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Citation :


le 1er message a disparu mais remplacé par un autre

As-tu le message?
Regarde si le fichier est revenu :
C:\Users\Henri\AppData\Roaming​​\Installed.bat


Citation :


2 raccourcis sont apparus sur le bureau.

Surement des fichiers systèmes, car tantôt on a décocher la case pour les voir.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 14:25:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Dédétraqué,
Exact il s'agit bien de 2 fichiers cachés qui ont disparus après avoir re modifier la case ad hoc.
Le fichier Intalled.bat est dans la corbeille mais plus là ou il était avant manipulation.
Je ne sais pas si nous allons finir par trouver la cause mais puisque mes autres sessions fonctionnent bien je me demande si supprimer ce compte utilisateur (administrateur) (si cela est possible) ne réglera pas le problème.
En tout cas merci de ta persévérance.
Cordialement
Dans l'attente


---------------
RizouRiton@aol.com
  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 14:28:58  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Dédétraqué je m'excuse mais l'envoie par Cjoint est erroné voici la bonne copie écran:
http://cjoint.com/?3JiqBbqEbek
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/10/2013 à 14:50:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
Citation :


:regfind
hostvs.vbs

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 08/10/2013 à 16:08:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
SystemLook 30.07.11 by jpshortstuff
Log created at 18:05 on 08/10/2013 by Henri
Administrator - Elevation successful

No Context: Citation:

Dédétraqué encore moi,
Voici le résultat de l'analyse

========== regfind ==========

Searching for "hostvs.vbs"
No data found.

-= EOF =-
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/10/2013 à 18:56:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


* Télécharge UsbFix (de El Desaparecido et C_XX) sur le bureau ici :

http://www.usbfix.net/download​/usbfix/

gepetest Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche de l'outil. gepetest

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- (Vista/Seven- Clique droit sur le raccourci UsbFix présent sur ton bureau et choisi "exécuter en tant qu'administrateur".)
- Dans la nouvelle fenêtre, clique sur le bouton :

« Recherche »

bluefire-9 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\UsbFix.txt

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 09/10/2013 à 16:01:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir Dédétraqué,
Je viens seulement ce soir d'avoir le temps de suivre tes conseils.
L'analyse s'est bien déroulée et voici le résultat (cf: Cjoint):
http://cjoint.com/?3Jjr7FUJtnZ
Bonne réception et merci,
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 09/10/2013 à 16:11:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


gepetest Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de nettoyage de l'outil. gepetest

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- (Vista/Seven- Clique droit sur le raccourci UsbFix présent sur ton bureau et choisi "exécuter en tant qu'administrateur".)
- Dans la nouvelle fenêtre, clique sur le bouton :

« Suppression »

[:blue_fire:9] Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Redémarre le PC et poste le rapport qui apparaît à la fin, le rapport se trouve sur C :\ UsbFix.txt


@++ :)

  1. config
papounet-95
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 09/10/2013 à 16:27:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Youpi Dédétraqué au redémarrage la fenêtre a disparu.
Maintenant il va falloir que je supprime les différents outils OTL, AdCleaner, UbFix et je souhaite de l'aide.
Voici le rapport via Cjoint:
http://cjoint.com/?3JjsAg1NiBh
Bonne réception et encore mille merci.
Dans l'attente


---------------
RizouRiton@aol.com
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 09/10/2013 à 16:51:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Papounet 95


Bien de rien ;)

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://general-changelog-team. [...] e/9-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [exécuter]
Patiente durant l'opération..


-----


Je te donne quelques consignes de sécurité :

http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Windows Update parfaitement à jour http://www.windowsupdate.com/
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Scan hebdomadaire antispyware ( je conseil Malwarebytes )
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/downloa​d/help/testvm.xml
http://cjoint.com/13au/CHreEE7​Ky7s_fleche1.png Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vu​lnerabilite.php

Je passe le sujet en résolu

Bonne journée/soirée et bon surf :super:


@++ :)

 Page :
1

Aller à :
 

Sujets relatifs
TR/Graftor.73085 et autre suite à Malwarebytes impossible de supprimer win trojan agent 367579
Fenetre pop up et autres problemes Virus Win32:Malware-gen détecté
Infection ayant corrompu fichiers word/exel/pdf :( qui peu m'aider??? spyware malware..... grrrrrr
Problemes avec Crazy Girls [resolu] Bonjour, problémes defenêtres de pub! quelqun peu m'aider?
Problèmes Drive cleaner, spyware secure...  
Plus de sujets relatifs à : Problèmes suite à infection Win 32 Malware Gen

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Virus, impossible de déplacer mes dossiers, mes icônes 1
Site web ne s'affiche plus 1
Virus *32 gestionaire de taches 4
malware iminent 18
Coupure intempestive Internet ! Infection ? 13