Prevhost.exe infecté par Trojan.Heur.13

Résolu
hippipip Messages postés 43 Statut Membre -  
plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Je viens de faire un anti-virus avec BitDefender et il a trouvé un fichier qu'il n'a pas pu désinfecter. Ce fichier se trouve dans C:\Windows\system32\prevhost.exe. Je vous met ci-dessous le journal que j'ai eu à la fin de mon scan :


Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 19:47:35 02/02/2009
Chemin du journal : C:\ProgramData\BitDefender\Desktop\Profiles\Logs\deep_scan\1233600455_1_02.xml

Analyse des chemins :Chemin0000: C:\
Chemin0001: D:\
Chemin0002: E:\
Chemin0003: K:\

Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Oui

Options de sélection de cible :Analyse les clés du registre : Oui
Analyse des cookies : Oui
Analyser le secteur de boot : Oui
Analyse des processus mémoire : Oui
Analyser les archives : Oui
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun

Résumé de l'analyseNombre de signatures de virus : 2638753
Plugins archives : 45
Plug-ins messagerie : 6
Plugins d'analyse : 13
Plugins archives : 45
Plug-ins système : 5
Plug-ins décompression : 7

Résumé de l'analyse généraleEléments analysés : 20955
Eléments infectés : 1
Eléments suspects : 0
Eléments résolus : 0
Virus individuels trouvés : 1
Répertoires analysés : 13295
Secteur de boot analysés : 6
Archives analysés : 575
Erreurs I/O : 64
Temps d'analyse : 00:00:47:06
Fichiers par seconde : 7

Résumé des processus analysésAnalysé(s) : 58
Infecté(s) : 0

Résumé des clés de registre analyséesAnalysé(s) : 1002
Infecté(s) : 0

Résumé des cookies analysésAnalysé(s) : 7
Infecté(s) : 0

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\Windows\system32\prevhost.exe (memory dump) Gen:Trojan.Heur.13 Echec de la désinfection

Problèmes résolusNom de l'objet Nom de la menace Etat final

Objets non scannés :Nom de l'objet Raison Etat final

Qu'est ce que je peux faire ?
Configuration: Windows Vista
Internet Explorer 7.0

20 réponses

  1. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonsoir,

    * Télécharge hijackthis https://www.androidworld.fr/

    * Tout est expliqué pour bien l installer et savoir l'utiliser.

    Comment copier/coller le rapport :

    Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

    Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.
    0
  2. hippipip Messages postés 43 Statut Membre 2
     
    Re bonjour voilà c'est fait et ça donne ça :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:35:17, on 02/02/2009
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16764)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEUser.exe
    C:\Windows\explorer.exe
    C:\Program Files\Windows Media Player\wmprph.exe
    E:\utorrent.exe
    C:\Windows\system32\DllHost.exe
    C:\Program Files\Nero\Nero 7\Core\nero.exe
    C:\Windows\system32\prevhost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
    C:\Windows\System32\mobsync.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: i-Buddy Manager.lnk = C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
    0
  3. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    tu connais sa i-Buddy Manager

    relance hijackthis choisit do a scan only et coche les cases a gauche des lignes :

    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

    puis clic sur fix checked

    ensuite ton rapport ne montre rien de spéciale

    * Télécharge Malwarebytes
    https://www.androidworld.fr/

    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    et fais le en mode sans echec, tu redemarre au bip tapote F8 et chosit mode sans echec
    0
  4. hippipip Messages postés 43 Statut Membre 2
     
    re,
    Oui je connais i-buddy c'est ça : https://www.clubic.com/actualite-81672-buddy-emoticones-messenger-passent-usb.html

    Quand j'ouvre de nouveau hijackthis, je ne trouve pas :
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

    alors que je trouve les autre. Comment ca se fait ?
    je n'ai pas encore fait le reste de ce que tu m'as demandé je voudrais savoir pour ça d'abord si je peux le faire que pour les 3 autres.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ok ben fait le reste c'est pas grave
    0
  7. hippipip Messages postés 43 Statut Membre 2
     
    Bonjour, l'analyse est terminée et et il n'y a pas eu d'éléments nuisibles de trouvés, pourtant le virus est toujours là !
    0
  8. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonjour

    Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe
    2 rapport s ouvrirons poste les 2 separement
    0
  9. hippipip Messages postés 43 Statut Membre 2
     
    Voilà le premier rapport :

    info.txt logfile of random's system information tool 1.05 2009-02-03 08:06:28

    ======Uninstall list======

    -->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
    Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
    BitDefender Internet Security 2008-->MsiExec.exe /I{BF7D87C5-CFC3-40C5-A367-24586EEBB8CA}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
    EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
    Galerie de photos Windows Live-->MsiExec.exe /X{A70FA218-6598-4AC9-813D-63597C5DD068}
    Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_11CB06797F2F038A.exe" /uninstall
    Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    i-Buddy Manager-->C:\Program Files\i-Buddy Manager\uninstall.exe
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
    Microsoft Money 99-->C:\Program Files\Microsoft Money\setup\setup.exe
    Microsoft NetShow Player 2.0-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\nsplayer.inf,Uninstall.NT
    Microsoft Office Standard Edition 2003-->MsiExec.exe /I{9112040C-6000-11D3-8CFE-0150048383C9}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    Multimedia Card Reader-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{0AFECCA6-61A0-409F-9205-67613984209D} /l1036
    Nero 7 Essentials-->MsiExec.exe /X{1A6A6531-08FC-47AD-BAC4-C41497E71036}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
    PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
    Turbo Lister 2-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548}
    VLC media player 0.9.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
    Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

    ======Security center information======

    AV: Bitdefender Antivirus
    FW: Bitdefender Firewall
    AS: BitDefender AntiSpam
    AS: Windows Defender (disabled)

    System event log

    Computer Name: PC-de-RoutierCa
    Event Code: 20001
    Message: La gestion des pilotes a terminé le processus d’installation du pilote FileRepository\hdeluxe.inf_5e06763a\hdeluxe.inf pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_00\6&29BBF76&1&0000 avec le statut suivant : 3758096919.
    Record Number: 32670
    Source Name: Microsoft-Windows-User-PnP
    Time Written: 20090203062218.618322-000
    Event Type: Information
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-RoutierCa
    Event Code: 20003
    Message: La gestion des pilotes a terminé le processus d’ajout du service usbaudio pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_01\6&29BBF76&1&0001 avec le statut suivant : 0.
    Record Number: 32671
    Source Name: Microsoft-Windows-User-PnP
    Time Written: 20090203062223.156117-000
    Event Type: Information
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-RoutierCa
    Event Code: 20001
    Message: La gestion des pilotes a terminé le processus d’installation du pilote FileRepository\wdma_usb.inf_9ce240de\wdma_usb.inf pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_01\6&29BBF76&1&0001 avec le statut suivant : 0.
    Record Number: 32672
    Source Name: Microsoft-Windows-User-PnP
    Time Written: 20090203062226.218421-000
    Event Type: Information
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-RoutierCa
    Event Code: 7036
    Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
    Record Number: 32673
    Source Name: Service Control Manager
    Time Written: 20090203064306.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 7036
    Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
    Record Number: 32674
    Source Name: Service Control Manager
    Time Written: 20090203065936.000000-000
    Event Type: Information
    User:

    Application event log

    Computer Name: PC-de-RoutierCa
    Event Code: 302
    Message: msnmsgr (2992) \\.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine has successfully completed recovery steps.
    Record Number: 6497
    Source Name: ESENT
    Time Written: 20090202212727.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 103
    Message: msnmsgr (2992) \\.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine stopped the instance (0).
    Record Number: 6498
    Source Name: ESENT
    Time Written: 20090202223519.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 8224
    Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.
    Record Number: 6499
    Source Name: VSS
    Time Written: 20090202232906.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 102
    Message: msnmsgr (2992) \\.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine (6.00.6000.0000) started a new instance (0).
    Record Number: 6500
    Source Name: ESENT
    Time Written: 20090203062622.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 5
    Message: Unsupported service control request (see data below)
    Record Number: 6501
    Source Name: LightScribeService
    Time Written: 20090203070627.000000-000
    Event Type: Information
    User:

    Security event log

    Computer Name: PC-de-RoutierCa
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 5909
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090203011429.974219-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys
    Record Number: 5910
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090203070621.508736-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys
    Record Number: 5911
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090203070621.549749-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys
    Record Number: 5912
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090203070621.584903-000
    Event Type: Échec de l'audit
    User:

    Computer Name: PC-de-RoutierCa
    Event Code: 5038
    Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

    Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys
    Record Number: 5913
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090203070621.609316-000
    Event Type: Échec de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
    "PROCESSOR_REVISION"=2c02
    "NUMBER_OF_PROCESSORS"=1
    "configsetroot"=%SystemRoot%\ConfigSetRoot

    -----------------EOF-----------------
    0
  10. hippipip Messages postés 43 Statut Membre 2
     
    Et voilà le second :

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by Routier Carine at 2009-02-03 08:06:18
    Microsoft® Windows Vista™ Édition Familiale Premium
    System drive C: has 7 GB (19%) free of 35 GB
    Total RAM: 2047 MB (28% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:06:25, on 03/02/2009
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16764)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEUser.exe
    C:\Windows\explorer.exe
    C:\Program Files\Windows Media Player\wmprph.exe
    E:\utorrent.exe
    C:\Windows\system32\DllHost.exe
    C:\Program Files\Nero\Nero 7\Core\nero.exe
    C:\Windows\system32\prevhost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\system32\NOTEPAD.EXE
    C:\Program Files\BitDefender\BitDefender 2008\uiscan.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Users\Routier Carine\Desktop\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Routier Carine.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: i-Buddy Manager.lnk = C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
    0
  11. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    telecharger GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html >

    , et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp
    0
  12. hippipip Messages postés 43 Statut Membre 2
     
    Bonjour, j'ai scanné mon ordi ce matin au démarrage avec Bitdefender et il n'a rien trouvé :)
    Voici le journal :


    Fichier journal de BitDefender
    Produit : BitDefender Internet Security 2008
    Version : BitDefender UIScanner V.11
    Date du journal : 10:22:45 04/02/2009
    Chemin du journal : C:\ProgramData\BitDefender\Desktop\Profiles\Logs\deep_scan\1233739365_1_00.xml

    Analyse des chemins :Chemin0000: C:\
    Chemin0001: D:\
    Chemin0002: E:\
    Chemin0003: K:\

    Options d’analyse :Analyse contre les virus : Oui
    Détecter les adwares : Oui
    Analyse contre les spywares : Oui
    Analyse des applications : Oui
    Détecter les numéroteurs : Oui
    Analyse contre les Rootkits : Oui

    Options de sélection de cible :Analyse les clés du registre : Oui
    Analyse des cookies : Oui
    Analyser le secteur de boot : Oui
    Analyse des processus mémoire : Oui
    Analyser les archives : Oui
    Analyser les fichiers enpaquetés : Oui
    Analyser les emails : Oui
    Analyser tous les fichiers : Oui
    Analyse heuristique : Oui
    Extensions analysées :
    Extensions exclues :

    Traitement cibleAction par défaut pour les objets infectés : Désinfecter
    Action par défaut pour les objets suspects : Aucun
    Action par défaut pour les objets camouflés : Aucun

    Résumé de l'analyseNombre de signatures de virus : 2639533
    Plugins archives : 45
    Plug-ins messagerie : 6
    Plugins d'analyse : 13
    Plugins archives : 45
    Plug-ins système : 5
    Plug-ins décompression : 7

    Résumé de l'analyse généraleEléments analysés : 23789
    Eléments infectés : 0
    Eléments suspects : 0
    Eléments résolus : 0
    Virus individuels trouvés : 0
    Répertoires analysés : 13339
    Secteur de boot analysés : 6
    Archives analysés : 589
    Erreurs I/O : 66
    Temps d'analyse : 00:00:43:49
    Fichiers par seconde : 8

    Résumé des processus analysésAnalysé(s) : 54
    Infecté(s) : 0

    Résumé des clés de registre analyséesAnalysé(s) : 1000
    Infecté(s) : 0

    Résumé des cookies analysésAnalysé(s) : 14
    Infecté(s) : 0

    Problèmes non résolus :Nom de l'objet Nom de la menace Etat final

    Problèmes résolusNom de l'objet Nom de la menace Etat final

    Objets non scannés :Nom de l'objet Raison Etat final

    Est ce que je dois faire quand meme la manipulation que vous m'avez indiqué ?
    0
  13. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonjour,

    oui fait Genproc en controle et poste le rapport
    0
  14. hippipip Messages postés 43 Statut Membre 2
     
    Voilà le résultat de GenProc :

    Rapport GenProc 2.351 [1] - 04/02/2009 - Windows Vista

    GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

    Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
    - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
    - C:\Program Files\EsetOnlineScanner\log.txt

    __________________________________________________________________________________________________________

    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    0
  15. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    ok si tu n'as plus de probleme :

    la mise a jour de tes logiciel :
    via windows update
    via ce site https://www.flexera.com/products/operations/software-vulnerability-management.html (clic start scan accepte l'active X)

    tu peut passer Toolscleaner pour nettoyer les outils que tu as telecharge
    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
    clik sur recherche laisse le scanner ton pc et parès clik sur suppression et poste le rapport

    puis purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet 5097 virus system volume information
    puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet 740 windows points de restauration

    et met ton poste en resolu

    bonne soirée
    0
  16. hippipip Messages postés 43 Statut Membre 2
     
    RE,
    Merci pour ton aide
    Voilà mon rapport pour toolsCleaner :


    [ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

    -->- Recherche:

    C:\Rsit: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
    C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\Users\Routier Carine\Desktop\HijackThis.lnk: trouvé !
    C:\Users\Routier Carine\Desktop\GenProc.zip: trouvé !
    C:\Users\Routier Carine\Desktop\HJTInstall.exe: trouvé !
    C:\Users\Routier Carine\Desktop\Rsit.exe: trouvé !
    C:\Users\Routier Carine\Desktop\GenProc: trouvé !
    C:\Users\Routier Carine\Desktop\GenProc\outil\HijackThis.exe: trouvé !
    C:\Users\Routier Carine\Desktop\GenProc\outil\hijackthis.log: trouvé !
    C:\Users\Routier Carine\Desktop\GenProc\Page\GenProc[*].html: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
    C:\Users\Routier Carine\Desktop\HijackThis.lnk: supprimé !
    C:\Users\Routier Carine\Desktop\GenProc.zip: supprimé !
    C:\Users\Routier Carine\Desktop\HJTInstall.exe: supprimé !
    C:\Users\Routier Carine\Desktop\GenProc\outil\HijackThis.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\Users\Routier Carine\Desktop\Rsit.exe: supprimé !
    C:\Users\Routier Carine\Desktop\GenProc\outil\hijackthis.log: supprimé !
    C:\Users\Routier Carine\Desktop\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
    C:\Rsit: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
    C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !
    C:\Users\Routier Carine\Desktop\GenProc: supprimé !

    Est ce que les outils vont se retirer de mon bureau après redémarrage ou il y a un autre manipulation a faire ?
    0
  17. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    dans le rapport tout les frichier ou il y a marqué ERREUR DE SUPPRESSION ! tu les supprime manuellement et si tu trouve des traces encore supprime les

    puis si tu l'as pas

    telecharge CCleaner ici
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ouvre CCleaner va dans option/avanvé et decoche la premier ligne
    et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur
    0
  18. hippipip Messages postés 43 Statut Membre 2
     
    re, il y a plusieurs icones que je n'arive pas a retirer sur mon bureau comme "rsit.exe", "hijackThis", "GenProc.zip", "HJTInstall.exe", quand je veux les supprimer il me dit qu'ils existent plus et que je dois vérifier l'emplacement alors que je les voit sur mon bureau.
    0
  19. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ok c'est normal, purge ta restauration puis redemarre ton PC et réactive la restauration systeme et c'est bon
    0
  20. hippipip Messages postés 43 Statut Membre 2
     
    Merci beaucoup pour ton aide !
    0
  21. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    de rien ;)

    et bonne nuit jvé mcouché, demain c'est peinture pour moi...
    0