Forum Security-X > Windows 7

Message au démarrage de Windows - Il existe un fichier ou programme nommé "C:\Program"

(1/2) > >>

bastardfromnowhere:
Bonjour,

Je sais pertinemment que Windows 7 est un produit obsolète et dangereux, cependant j'ai quelques potes avec des vieilles bécanes qui ont encore leur Windows 7 et récemment j'ai vu ce message apparaître au fur et à mesure sur différentes machines.
Lorsque l'on supprime ce fichier, il reapparaît quelques extinction réallumage plus tard. Je pense qu'il y a un soft qui le génère ...

Quelqu'un connaîtrait-t-il l'origine de la création de ce fichier à la racine ?
Simple et pur demande d'information pour enrichir mes connaissances.

Merci.

MisterBean:
Salut,

Sans plus d’informations , difficile de répondre  :QQQ

A la limite , fais une analyse FRST et vois si quelque chose ressort et/ou postes les rapports

 :AAN

bastardfromnowhere:
Oui je comprends. Comme le soucis est lié strictement a Win7 me suis dit qu'il y avait peut-être deja quelqu'un au courant, juste avec ce symptome.

Je tenterais un rapport a l'occasion quand je remettrais la main sur le même phénomène.

Merci pour ta réponse en tout cas.

whoami:
Bonjour,


--- Citation de: bastardfromnowhere ---j'ai quelques potes avec des vieilles bécanes qui ont encore leur Windows 7 et récemment j'ai vu ce message apparaître au fur et à mesure sur différentes machines.
...
Lorsque l'on supprime ce fichier, il reapparaît quelques extinction réallumage plus tard. Je pense qu'il y a un soft qui le génère ...
--- Fin de citation ---
Typique d'une infection, le conseil de MisterBean est donc le bon.

Et effectivement, il vaudrait mieux ne plus utiliser W7 

bastardfromnowhere:
 :AAC

Bon j'ai réussi à récup le fichier chez une pote.
Voici les logs.

J'ai du coup analysé, selon moi ce n'est pas une infection mais quelque chose qui se déclenche sur l'ordi dans le dernier cas à 18h19:

--- Code: ---2022-02-17 18:19 - 2022-02-17 18:19 - 000088805 _____ C:\Program
--- Fin du code ---
qui fait planter des services et programmes et du coup je pense qu'il ya un des programmes qui plante qui génère ce fichier à la racine.

Car après dans l'observateur d'évenement on observe des choses:

--- Code: ---==================== Erreurs du Journal des événements: ========================

Erreurs Application:
==================
Error: (02/17/2022 06:19:29 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante LMS.exe, version : 11.0.6.1193, horodatage : 0x5730eb24
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0x1258
Heure de début de l’application défaillante : 0x01d8240378ef9297
Chemin d’accès de l’application défaillante : C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c331d96e-9015-11ec-b6d4-a08cfdda3847

Error: (02/17/2022 06:19:29 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante jhi_service.exe, version : 11.0.6.1193, horodatage : 0x5730ebc4
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0xdbc
Heure de début de l’application défaillante : 0x01d8240378da2637
Chemin d’accès de l’application défaillante : C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c323912e-9015-11ec-b6d4-a08cfdda3847

Error: (02/17/2022 06:19:28 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante IAStorDataMgrSvc.exe, version : 15.2.0.1020, horodatage : 0x57d81123
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0xda0
Heure de début de l’application défaillante : 0x01d82403788b98d7
Chemin d’accès de l’application défaillante : C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c2cddfae-9015-11ec-b6d4-a08cfdda3847

Error: (02/17/2022 06:19:28 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Application : IAStorDataMgrSvc.exe
Version du Framework : v4.0.30319
Description : le processus a été arrêté en raison d'une exception non gérée.
Informations sur l'exception : code d'exception c0000005, adresse d'exception 02CE7584

Error: (02/17/2022 06:19:28 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante TeamViewer_Service.exe, version : 15.26.4.0, horodatage : 0x61ee80b5
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0xb3c
Heure de début de l’application défaillante : 0x01d824032ffae800
Chemin d’accès de l’application défaillante : C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c275ccce-9015-11ec-b6d4-a08cfdda3847

Error: (02/17/2022 06:19:27 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante AvWrapper.exe, version : 4.30.402.0, horodatage : 0x60dee25b
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0x818
Heure de début de l’application défaillante : 0x01d824032fb330a0
Chemin d’accès de l’application défaillante : C:\Program Files (x86)\AVAST Software\Business Agent\AvWrapper.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c23cabce-9015-11ec-b6d4-a08cfdda3847

Error: (02/17/2022 06:19:27 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante armsvc.exe, version : 1.824.45.8876, horodatage : 0x619600e3
Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000
Code d’exception : 0xc0000005
Décalage d’erreur : 0x02ce7584
ID du processus défaillant : 0x7cc
Heure de début de l’application défaillante : 0x01d824032f901840
Chemin d’accès de l’application défaillante : C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
Chemin d’accès du module défaillant: unknown
ID de rapport : c229a0ce-9015-11ec-b6d4-a08cfdda3847

Erreurs système:
=============
Error: (02/18/2022 09:39:57 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: Le serveur {BB6DF56B-CACE-11DC-9992-0019B93A3A84} ne s’est pas enregistré sur DCOM avant la fin du temps imparti.

Error: (02/17/2022 06:19:30 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Le service TeamViewer n’a pas pu démarrer en raison de l’erreur :
Le canal de communication a été fermé.

Error: (02/17/2022 06:19:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service Intel(R) Management and Security Application Local Management Service s’est terminé de façon inattendue pour la 1ème fois.

Error: (02/17/2022 06:19:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service Intel(R) Dynamic Application Loader Host Interface Service s’est terminé de façon inattendue pour la 1ème fois.

Error: (02/17/2022 06:19:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service Intel(R) Rapid Storage Technology s’est terminé de façon inattendue pour la 1ème fois.

Error: (02/17/2022 06:19:28 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Le service TeamViewer s’est terminé de manière inattendue. Ceci s’est produit 1 fois. L’action corrective suivante va être effectuée dans 2000 millisecondes : Redémarrer le service.

Error: (02/17/2022 06:19:28 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Le service Avast Business CloudCare - ClientManager s’est terminé de manière inattendue. Ceci s’est produit 1 fois. L’action corrective suivante va être effectuée dans 2000 millisecondes : Exécuter le programme de récupération configuré.

Error: (02/17/2022 06:19:28 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Le service Avast Business CloudCare - AvastAvWrapper s’est terminé de façon inattendue pour la 1ème fois.
--- Fin du code ---

Du coup quand je regarde dans l'observateur d'evenement pour voir ce qu'il se passe juste avant (car le FRST va pas assez loin) j'ai ce type de message:

--- Code: ---Le processus Explorer.EXE a lancé le se mettre hors tension. de l’ordinateur EMELINE pour l’utilisateur EMELINE\utilisateur pour la raison suivante : Autre (non planifié)
.  Code : 0x0
.  Type d’extinction : se mettre hors tension.
.  Commentaire : .
--- Fin du code ---


--- Code: ---Le processus C:\Windows\system32\winlogon.exe (EMELINE) a lancé le se mettre hors tension. de l’ordinateur EMELINE pour l’utilisateur EMELINE\utilisateur pour la raison suivante : Aucun titre à cette raison n’a pu être trouvé
.  Code : 0x500ff
.  Type d’extinction : se mettre hors tension.
.  Commentaire : .
--- Fin du code ---


--- Code: ---Notification de fermeture de session utilisateur pour le Programme d’amélioration de l’expérience utilisateur
--- Fin du code ---


--- Code: ---Le service Expérience d’application est entré dans l’état : en cours d’exécution.
--- Fin du code ---

Dites moi ce que vous en pensez ?
FRST
Addition
Fichier program

PS: j'ai trouvé un autre fichier dans la restauration système daté au mardi ‎8 ‎février ‎2022 que j'ai joint au Zip, j'ai le même schéma au niveau de l'observateur d'évenement.

 :AAN

Navigation

[0] Index des messages

[#] Page suivante

Sortir du mode mobile