Se connecter / S'enregistrer
Votre question

Virus possible ? dossier C:/windows

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Mai 2010 12:29:08

Bonjour,
Depuis hier j'ai un problème qui vient d'apparaître, je ne trouve plus le dossier windows dans le disque c:\.
J'ai fait une recherche mais en vain,introuvable! je doute qu'il a été supprimé sinon je ne pense pas que j'aurai pu redémarrer mon PC.
Les seuls choses louche que j'ai eu c'est qu'au démarrage on me demande l'autorisation pour lancer le programme winupdate.exe qui se trouve dans le chemin c:\dir/install/winupdate.exe or quand je vais dans ce chemin je ne trouve rien ?
Qu'en pensez-vous ?Serait-ce un virus ?Quelqu'un aurait-il une solution a mon problème ?

merci d'avance : ).


PS: Il s'agit d'un portable Asus sur windows 7 64 bits, j'ai nettoyer avec Ccleaner, analyser avec spybot search and destroy,puis analyser avec mon antivirus Trend Micro Internet Security,mais ils ont rien trouvés.

Autres pages sur : virus possible dossier windows

a c 267 8 Sécurité
18 Mai 2010 12:37:21

Bonjour,

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    a c 267 8 Sécurité
    18 Mai 2010 18:36:39

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O4 - HKLM\..\Run: [Yahoo] C:\dir\install\install\winupdate.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\dir\install\install\winupdate.exe ()
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\dir\install\install\winupdate.exe ()
    [2010/05/19 08:51:06 | 000,013,207 | -H-- | M] () -- C:\Users\Clement\AppData\Roaming\logs.dat

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    18 Mai 2010 18:43:12

    Merci encore d'avoir répondu.Voici donc le rapport:
    1. All processes killed
    2. ========== OTL ==========
    3. Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    4. C:\dir\install\install\winupdate.exe moved successfully.
    5. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
    6. File C:\dir\install\install\winupdate.exe not found.
    7. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
    8. File C:\dir\install\install\winupdate.exe not found.
    9. C:\Users\Clement\AppData\Roaming\logs.dat moved successfully.
    10. ========== COMMANDS ==========
    11.  
    12. [EMPTYTEMP]
    13.  
    14. User: All Users
    15.  
    16. User: Clement
    17. ->Temp folder emptied: 24061650 bytes
    18. ->Temporary Internet Files folder emptied: 1156426 bytes
    19. ->Java cache emptied: 39510413 bytes
    20. ->FireFox cache emptied: 89914710 bytes
    21. ->Flash cache emptied: 45785 bytes
    22.  
    23. User: Default
    24. ->Temp folder emptied: 0 bytes
    25. ->Temporary Internet Files folder emptied: 33170 bytes
    26. ->Flash cache emptied: 41620 bytes
    27.  
    28. User: Default User
    29. ->Temp folder emptied: 0 bytes
    30. ->Temporary Internet Files folder emptied: 0 bytes
    31. ->Flash cache emptied: 0 bytes
    32.  
    33. User: Public
    34.  
    35. %systemdrive% .tmp files removed: 0 bytes
    36. %systemroot% .tmp files removed: 0 bytes
    37. %systemroot%\System32 .tmp files removed: 0 bytes
    38. %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    39. %systemroot%\System32\drivers .tmp files removed: 0 bytes
    40. Windows Temp folder emptied: 117910 bytes
    41. %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
    42. RecycleBin emptied: 7580358 bytes
    43.  
    44. Total Files Cleaned = 155.00 mb
    45.  
    46.  
    47. OTL by OldTimer - Version 3.2.4.1 log created on 05202010_183840
    48.  
    49. Files\Folders moved on Reboot...
    50. C:\Users\Clement\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    51.  
    52. Registry entries deleted on Reboot...
    a c 267 8 Sécurité
    18 Mai 2010 18:46:10

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    18 Mai 2010 18:50:40

    Je viens de faires ces étapes seulement lors de la mise a jour,je reçois un rapport d'erreur:

    Une erreur s'est produite.Veuillez transmettre ce code d'erreur à notre équipe de support.

    MBAM_ERROR_UPDATING(122,0,multibytetoWideChar)

    La zone de données passée a un appel système insuffisante.
    18 Mai 2010 18:58:52

    J'ouvre le fichier mbam-rules.exe il me dit que l'installation a réussi mais rien ne se passe ensuite ? je ne le vois nul part ni dans ''mes programmes''ni sur le bureau?
    a c 267 8 Sécurité
    18 Mai 2010 18:59:53

    Retente la mise à jour et/ou essaie de lancer Malwarebytes' Anti-Malware.
    18 Mai 2010 19:01:02

    j'ai retenter mais j'ai toujours le même message d'erreur, que ça soit apres l'installation ou en lançant la recherche de mise a jour via Malwarebytes' anti-Malware.
    18 Mai 2010 19:28:29

    J'ai tenter un scan sans la mise a jour: il a trouver 2 infection:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4060

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    20/05/2010 19:27:00
    mbam-log-2010-05-20 (19-27-00).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 121531
    Temps écoulé: 5 minute(s), 35 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0ml21aay-wbct-080h-al0e-2h008qv12328} (Generic.Bot.H) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{h006j1n3-ee34-88nd-km50-emvh85pr4gb0} (Generic.Bot.H) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    a c 267 8 Sécurité
    18 Mai 2010 19:39:10

    Comment va le PC ?
    18 Mai 2010 19:42:29

    Il se comporte bien,il lague pas ni rien,mais je ne vois toujours pas le dossier Windows dans C: /
    a c 267 8 Sécurité
    18 Mai 2010 19:56:57

    Ok, je vais voir cela.
    18 Mai 2010 20:04:08

    Ok,merci beaucoup :D .
    18 Mai 2010 20:28:46

    Donc je suis rentré sur le dossier windows en tapant le chemin sur la barre d'adresse de l'explorer, tout à l'air a peu pres ok,cependant c'est normal que je n'ai pas le fichier winupdate.exe dedans ?
    18 Mai 2010 20:58:27

    J'avance dans ma recherche,en fesant clique droit propriété dans c: /windows j'ai vu qu'il était belle et bien caché,mais impossible de décocher la case "cacher" qui plus est quand je suis allé dans l'onglet sécurité,il m'etait impossible de changer les autorisation et j'y ai vu un groupe "TrustedInstaller" bizarre comme nom,je n'ai pas le souvenir d'avoir eu ça auparavant,celui ci aurait les "autorisation spéciale" de cocher mais c'est tout.

    J'ai remarquer aussi qu'aucun groupe (administateur,utilisateur,trustedInstaller,CREATEUR PROPRIETAIRE) n'avait la case controle total de cocher.C'est vraiment louche je trouve,non ?
    a c 267 8 Sécurité
    18 Mai 2010 21:00:54

    J'ai remarqué trois lignes bizarres dans ton rapport OTL, je suis en train de voir avec les autres si ça pourrait être lié.
    18 Mai 2010 21:47:33

    J'ai fait une restauration du système a partir d'une date ultérieur(il y'a deux jour),j'ai enfin retrouvé le dossier windows dans le c: / ,je sais pas si mais soucis sont envoler pour autant enfin y'a des chances puisque c'est hier soir que j'ai telecharger des fichiers .exe un peu douteux... Cependant j'ai toujours les autorisation bizarre,peut être ne sont elle pas bizarre finalement ?
    a c 267 8 Sécurité
    19 Mai 2010 14:18:22

    A part ça, pas de souci ?
    19 Mai 2010 16:45:06

    Non aucun problème,ça marche bien ,processeur /performances toujours a 0 quand je touche a rien.Aucun signe quelconque.
    a c 267 8 Sécurité
    19 Mai 2010 18:05:32

    Tu peux me poster un nouveau rapport OTL ?
    a c 267 8 Sécurité
    19 Mai 2010 20:09:04

    Je ne vois pas d'infection.
    19 Mai 2010 20:38:35

    Tres bien! : ) C'est super c'est réglé.
    Merci pour toute l'aide que vous m'avez apporté !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS