INFECTION PROBABLE
Posté : mar. 5 sept. 2017 13:37
Bonjour j'ai divers problèmes qui me font penser que mon pc peut-être infecté, les problèmes sont:
1/ lorsque j'ouvre le module de protection bancaire de Kaspersky Total Security et que je clique sur un des sites géré pr le module j'ai les messages suivants qui viennent à l'écran:
"l'action suspecte de l'application console windows host est interdite par le contrôle des applications.
Application C:\windows\system32\conhost.exe"(même chose pour les 4messages) avec une action différente pour chaque:
a/ accès à la mémoire d'autres processus.
b/ lecture de la mémoire à partir d'autres processus.
c/ insertion de code.
d/ copie des descripteurs internes du processus.
2/ lorsque je fait clique droit sur un programme puis onglet sécurité j'ai 13 comptes inconnus:
(S-1-5-21-2748660188-3142140369-1598822334-1003, les 12 autres se terminent par 1004 jusquà 1012 puis 1014 jusqu'à 1016)
Ces comptes ont tous "autorisations spéciales". Après quelques recherches j'ai lu que c'étaient des réinstallations Windows, je suis un peu surpris car le pc est neuf, je n'ai jamais réinstallé Windows 7 professional alors 13 réinstallations.... L'unique chose que j'ai réalisé est de faire les actualisations Windows par WSUOffline car dès le début j'avais des problèmes avec Windows Update.
3/ Lorsque je fais un nettoyage avec Ccleaner je me suis aperçu que j'avais dans C:\Windows\Temp différents fichier cab assez importants (129000 ko) tous avec le même volume, en général 3 ou quatre mais quelques fois jusqu'à 7.
4/ Pour finir en téléchargeant Secunia PSI je me suis aperçu que sur ma cession utilisateur standard lorsque je souhaite installer un programme par clique droit executer en tant qu'admin l'UAC ne me demande pas de mot de passe et bien évidemment à l'installation j'ai un message d'erreur.
D'autre part après avoir installer Secunia PSI en cession administrateur j'ai eu le message suivant:
"Microsoft update n'est pas installé" puis les mises à jour Microsoft request IE. Je l'avais désactivé ne supportant pas ce navigateur, je l'ai donc réactivé mais en l'ouvrant j'avais un message de sécurité comme quoi le site n'est pas secure ou quelque chose comme cela (c'est la page de Microsoft de Windows update qui vous installe le module Windows update dans démarrer tous les programmes.
Je n'ai aucun problème avec Windows update sur cet ordinateur, d'autre part j'ai d'autres pc qui utilisent WSUOffline et avec PSI et IE désactivé et je n'ai jamais eu de soucis pour vérifier les actualisations windows dans PSI.
J'ai fait un scan avec FSRT ci dessous les liens.
Merci beaucoup pour votre aide.
Bonne journée.
https://up.security-x.fr/file.php?h=R74 ... e3cd794575
https://up.security-x.fr/file.php?h=R58 ... ebd8fa40d3
https://up.security-x.fr/file.php?h=R2e ... b5d893cddc
1/ lorsque j'ouvre le module de protection bancaire de Kaspersky Total Security et que je clique sur un des sites géré pr le module j'ai les messages suivants qui viennent à l'écran:
"l'action suspecte de l'application console windows host est interdite par le contrôle des applications.
Application C:\windows\system32\conhost.exe"(même chose pour les 4messages) avec une action différente pour chaque:
a/ accès à la mémoire d'autres processus.
b/ lecture de la mémoire à partir d'autres processus.
c/ insertion de code.
d/ copie des descripteurs internes du processus.
2/ lorsque je fait clique droit sur un programme puis onglet sécurité j'ai 13 comptes inconnus:
(S-1-5-21-2748660188-3142140369-1598822334-1003, les 12 autres se terminent par 1004 jusquà 1012 puis 1014 jusqu'à 1016)
Ces comptes ont tous "autorisations spéciales". Après quelques recherches j'ai lu que c'étaient des réinstallations Windows, je suis un peu surpris car le pc est neuf, je n'ai jamais réinstallé Windows 7 professional alors 13 réinstallations.... L'unique chose que j'ai réalisé est de faire les actualisations Windows par WSUOffline car dès le début j'avais des problèmes avec Windows Update.
3/ Lorsque je fais un nettoyage avec Ccleaner je me suis aperçu que j'avais dans C:\Windows\Temp différents fichier cab assez importants (129000 ko) tous avec le même volume, en général 3 ou quatre mais quelques fois jusqu'à 7.
4/ Pour finir en téléchargeant Secunia PSI je me suis aperçu que sur ma cession utilisateur standard lorsque je souhaite installer un programme par clique droit executer en tant qu'admin l'UAC ne me demande pas de mot de passe et bien évidemment à l'installation j'ai un message d'erreur.
D'autre part après avoir installer Secunia PSI en cession administrateur j'ai eu le message suivant:
"Microsoft update n'est pas installé" puis les mises à jour Microsoft request IE. Je l'avais désactivé ne supportant pas ce navigateur, je l'ai donc réactivé mais en l'ouvrant j'avais un message de sécurité comme quoi le site n'est pas secure ou quelque chose comme cela (c'est la page de Microsoft de Windows update qui vous installe le module Windows update dans démarrer tous les programmes.
Je n'ai aucun problème avec Windows update sur cet ordinateur, d'autre part j'ai d'autres pc qui utilisent WSUOffline et avec PSI et IE désactivé et je n'ai jamais eu de soucis pour vérifier les actualisations windows dans PSI.
J'ai fait un scan avec FSRT ci dessous les liens.
Merci beaucoup pour votre aide.
Bonne journée.
https://up.security-x.fr/file.php?h=R74 ... e3cd794575
https://up.security-x.fr/file.php?h=R58 ... ebd8fa40d3
https://up.security-x.fr/file.php?h=R2e ... b5d893cddc