Se connecter / S'enregistrer
Votre question

Pb avec fichier recalcitrant sur Bureau

Tags :
  • Serveur
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Juin 2012 15:06:46

un fichier sans extension du genre "CAH8QXHZ."
ne veut pas se supprimer de mon bureau (profil sur serveur WS 2003)

Renommer ne fait rien, comment le gicler ?

Merci de votre aide
;-)

Autres pages sur : fichier recalcitrant bureau

a c 548 8 Sécurité
1 Juin 2012 19:47:23

Bonjour,

à faire sur le pc/serveur en question :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    8 Juin 2012 14:04:14

    Salut
    et désolé pour la faible réactivité, mais j'étais sur une Foire expo et je peux travailler que maintenant.
    Je mets le lien pour OTL d'ici peu.
    Contenus similaires
    a c 548 8 Sécurité
    8 Juin 2012 14:16:20

    Re,

    Cela fait longtemps qu'il a été créé ce fichier sur le bureau ? je ne le vois pas dans les rapports ...
    Par contre je vois ceci :
    Citation :
    Error - 08/06/2012 07:58:13 | Computer Name = VIESCOLAIRE | Source = Userenv | ID = 1509
    Description = Windows ne peut pas copier le fichier C:\Documents and Settings\viescolaire\Bureau\CAY7OLMR.
    vers l'emplacement \\serveurpedago\profils\viescolaire\Bureau\CAY7OLMR.. Les causes
    possibles de cette erreur incluent des problèmes réseau ou des autorisations insuffisantes.
    Contactez votre administrateur réseau. DÉTAIL - Le fichier spécifié est introuvable.


    C'est pas un peu le même genre ?
    8 Juin 2012 14:30:59

    Ouais c'est exactement le même genre et j'en ai trois comme çà.
    J'ai tenté de remettre un extension, bmp, rtf ou tmp, mais rien n'y fait.


    a c 548 8 Sécurité
    8 Juin 2012 15:18:13

    Re,

    Y'a pas vraiment de signe d'une infection. Rien n'indique une quelconque utilisation active de ces fichiers.
    La création de ces fichiers ressemble donc plus à des fichiers de sauvegarde ou de config d'un logiciel

    Regarde si tu peux faire ceci ou non avec un tel fichier :

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Choose file" puis recherche le fichier.

    Une fois sélectionné, clique sur "Scan it!", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.

    Pour info :
    http://www.infos-du-net.com/forum/id-2133479/fichiers-l...
    Ce sont les mises à jour non effectuées et la navigation sur des sites infecté qui ont crée le problème, pas ces fichiers ...
    8 Juin 2012 15:27:48

    voila le rapport :
    SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
    SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
    MD5: d41d8cd98f00b204e9800998ecf8427e
    File size: 0 octet ( 0 bytes )
    File name: CAH8QXHZ.
    File type: unknown
    Detection ratio: 0 / 42
    Analysis date: 2012-06-08 13:24:31 UTC ( 0 minute ago


    Pas virus caché, mais impossible de le supprimer quand même
    8 Juin 2012 15:37:44

    je vais voir sur le serveur et sur les suvegardes. peut^être que c'est une erreur de synchro après sauvegarde auto (qqfois il me reinjecte les fichiers supprimés sur le profil).

    Merci de ton aide en tout cas :D 
    A plus
    a c 548 8 Sécurité
    8 Juin 2012 20:09:59

    Re,

    Voilà ce que je voulais voir :
    Citation :
    File size: 0 octet ( 0 bytes )
    File name: CAH8QXHZ.
    File type: unknown


    Soit t'avais même pas le droit de lecture/copie, soit c'est un truc vide ...

    Tiens essaye cela dessus :
    Télécharge GrantPerm (de Farbar) sur ton bureau.


  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "GrantPerms.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur GrantPerms.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre de saisie de l'outil.

    C:\Documents and Settings\viescolaire\Bureau\CAY7OLMR

  • Clique sur le bouton Unlock
  • Laisse l'outil travailler, puis valide avec OK lorsqu'il a terminé
  • Clique alors sur le bouton List Permissions
  • Un rapport va s'ouvrir, poste-le dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Le rapport est aussi enregistrés sur le bureau et nommé Perms.txt

    Regarde si tu peux le gérer ensuite (suppression, etc ...)
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS