Interprétation Hijackthis [Résolu/Fermé]

Signaler
-
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
-
Bonjour,

Comme il me semble que mon pc ait un pb,j'ai fait un log Hijackthis.Mais je ne sais pas l'interpréter.Quelqu'un pourrait-il m'aider,SVP??

90 réponses


Re!

Toolscleaner est censé supprimer la plupart des outils de désinfection, comme Navilog, Smitfraudfix....et aussi ceux de diagnostic comme RSIT et hijackthis ainsi que leurs rapports.

Seulement, tu as Vista, donc, c'est plus dur pour lui! Comme pour nous tous !! ;))))

Évidemment, Antivir à garder, c'est ta protection principale maintenant. MBAM je te conseille aussi de le garder, d'ailleurs, tu remarques que Toolscleaner, le laisse. Et garde aussi CCleaner, très utile.

Demain je repasserai encore Toolscleaner.Faut-il encore repasser C.Cleaner,ou Hijackthis avant??

--> Donc, ok pour toolscleaner. CCleaner oui, mais après Toolscleaner. Et hijackthis devrait être mangé par Toolscleaner demain si ce n'est pas déjà fait.

A demain donc.
Bonjour Ric025,Loloetseb,et tous les autres!!
Alors je vais donc repasser Toolscleaner avec suppression,puis C.Cleaner,ensuite comme tu me l'avait conseillé précédemment .Et je te reposte les rapports...
Merci d'être encore là pour moi!!!
Voici le dernier rapport Toolscleaner:

Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Users\wauquier\*.msnfix: trouvé !
C:\Windows\System32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Users\wauquier\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!

Pourquoi msnfix n'est pas supprimé??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Supprimes msn fix à la main (tu le mets à la poubelle avec le dossier crée)
Coucou Loloetseb,
Contente de te retrouver aussi.
Comment dois-je supprimer msnfix?Quand je fais la recherche,on me dit que c'est Hijackthis..et que ce fichier ne peut pas s'ouvrir..
Sinon j'ai retéléchargé Hijackthis,et refais un scan.Mais je ne sais pas si tu veux voir le log.Donc je ne le poste pas pour l'instant..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Tu as un fichier ZIP msn sur le bureau et un dossier msnfix.Tu cliques dessus avec la souris et tu mets à la poubelle.
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Et oui,je suis revenu un peu car bien obligé de travailler un peu pour vivre,mais content de revenir aider sur le forum
Coucou Loloetseb,
Je suis un peu désolée de te contrarier....lol...
Je n'ai pas de fichier ZIP sur mon bureau.Par contre en recherchant dans mes fichiers ZIP,je me suis aperçue que je ne pouvais pas ouvrir 2 fichiers dll et que dès que j'essayais de les ouvrir,ils me faisaient tilter le PC.Donc à la poubelle!!
Ai-je bien fait??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Bizarre,bizarre

- Suppression:

C:\Users\wauquier\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!

Je n'ai pas de reponse,à part mon entrée de topic!!!!!

Comment va ton pc sinon?
Coucou Loloetseb,

Je ne te le fais pas dire!!!que c'est bizarre...
Le PC a déjà été mieux!!Je le trouve encore trop long...Pourtant j'ai repassé un coup de C.Cleaner après Toolscleaner.Bref,que faut-il faire d'autre???
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Bon on va refaire un Rsit pour controler tout ca

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
Et voici le log Info.txt:

info.txt logfile of random's system information tool 1.05 2009-02-28 23:45:43

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Ad-remover-->C:\Program Files\Ad-remover\bureau\Uninstal.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Calendrier Xtra v9.006-->"C:\Program Files\Calendrier\unins000.exe"
Caplio Software-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}\Setup.exe" -l0x40c anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{7054ED85-498D-4D20-906F-14646AEC5581}
DeepBurner v1.8.0.224-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log"
eMule-->"C:\Users\wauquier\eMule\Uninstall.exe"
Encyclopédie Microsoft Encarta 2004-->MsiExec.exe /I{04460044-9149-45C6-A806-F2BF9CFCE762}
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Extension Système de Microsoft Money-->MsiExec.exe /I{8C64E149-54BA-11D6-91B1-00500462BE80}
Free FLV Converter V 6.1.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
IZArc 3.81-->"C:\Program Files\IZArc\unins000.exe"
Kaspersky Online Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
K-Lite Codec Pack 3.3.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kplan 1.998-->"C:\Program Files\metagenia\kplan\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute v11.0-->MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Money-->MsiExec.exe /I{1D643CD2-4DD6-11D7-A4E0-000874180BB3}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo Premium 9-->C:\Windows\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Word 2002-->MsiExec.exe /I{911B040C-6000-11D3-8CFE-0050048383C9}
Microsoft Works-->MsiExec.exe /I{E6BAE954-487E-488B-BC4E-2E69E54E8117}
Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
Sélecteur d'installation de Microsoft Works 2004-->C:\Program Files\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
UniChrome Series Driver and Utilities-->VTsetvga.exe -s -rRundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\Windows\system32\hgk001i.inf
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender (disabled)
AS: SUPERAntiSpyware

System event log

Computer Name: PC-de-wauquier
Event Code: 4201
Message: Le système a détecté que la carte réseau Connexion au réseau local était connectée au réseau, et a lancé une opération normale.
Record Number: 106926
Source Name: Tcpip
Time Written: 20090228223347.500000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Acquisition d'image Windows (WIA) est entré dans l'état : en cours d'exécution.
Record Number: 106927
Source Name: Service Control Manager
Time Written: 20090228223354.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le système est sorti de la veille.

Heure de veille : 2009-02-28T20:15:28.364Z
Heure de réveil : 2009-02-28T22:33:48.953Z

Source du réveil : Inconnu
Record Number: 106928
Source Name: Microsoft-Windows-Power-Troubleshooter
Time Written: 20090228223353.640625-000
Event Type: Information
User: AUTORITE NT\SERVICE LOCAL

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 106929
Source Name: Service Control Manager
Time Written: 20090228223419.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Informations d'application est entré dans l'état : en cours d'exécution.
Record Number: 106930
Source Name: Service Control Manager
Time Written: 20090228224426.000000-000
Event Type: Information
User:

Application event log

Computer Name: PC-de-wauquier
Event Code: 902
Message: Le service de gestion des licences du logiciel a démarré.

Record Number: 25503
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090228153809.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25504
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153815.968018-000
Event Type: Information
User: PC-de-wauquier\wauquier

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25505
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153827.811768-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le service Centre de sécurité Windows a démarré.
Record Number: 25506
Source Name: SecurityCenter
Time Written: 20090228153945.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 8224
Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.
Record Number: 25507
Source Name: VSS
Time Written: 20090228161644.000000-000
Event Type: Information
User:

Security event log

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28496
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1adbc
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28497
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2

Privilèges : SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 28498
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 28499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------
Et voici le log Info.txt:

info.txt logfile of random's system information tool 1.05 2009-02-28 23:45:43

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Ad-remover-->C:\Program Files\Ad-remover\bureau\Uninstal.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Calendrier Xtra v9.006-->"C:\Program Files\Calendrier\unins000.exe"
Caplio Software-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}\Setup.exe" -l0x40c anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{7054ED85-498D-4D20-906F-14646AEC5581}
DeepBurner v1.8.0.224-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log"
eMule-->"C:\Users\wauquier\eMule\Uninstall.exe"
Encyclopédie Microsoft Encarta 2004-->MsiExec.exe /I{04460044-9149-45C6-A806-F2BF9CFCE762}
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Extension Système de Microsoft Money-->MsiExec.exe /I{8C64E149-54BA-11D6-91B1-00500462BE80}
Free FLV Converter V 6.1.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
IZArc 3.81-->"C:\Program Files\IZArc\unins000.exe"
Kaspersky Online Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
K-Lite Codec Pack 3.3.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kplan 1.998-->"C:\Program Files\metagenia\kplan\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute v11.0-->MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Money-->MsiExec.exe /I{1D643CD2-4DD6-11D7-A4E0-000874180BB3}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo Premium 9-->C:\Windows\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Word 2002-->MsiExec.exe /I{911B040C-6000-11D3-8CFE-0050048383C9}
Microsoft Works-->MsiExec.exe /I{E6BAE954-487E-488B-BC4E-2E69E54E8117}
Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
Sélecteur d'installation de Microsoft Works 2004-->C:\Program Files\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
UniChrome Series Driver and Utilities-->VTsetvga.exe -s -rRundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\Windows\system32\hgk001i.inf
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender (disabled)
AS: SUPERAntiSpyware

System event log

Computer Name: PC-de-wauquier
Event Code: 4201
Message: Le système a détecté que la carte réseau Connexion au réseau local était connectée au réseau, et a lancé une opération normale.
Record Number: 106926
Source Name: Tcpip
Time Written: 20090228223347.500000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Acquisition d'image Windows (WIA) est entré dans l'état : en cours d'exécution.
Record Number: 106927
Source Name: Service Control Manager
Time Written: 20090228223354.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le système est sorti de la veille.

Heure de veille : 2009-02-28T20:15:28.364Z
Heure de réveil : 2009-02-28T22:33:48.953Z

Source du réveil : Inconnu
Record Number: 106928
Source Name: Microsoft-Windows-Power-Troubleshooter
Time Written: 20090228223353.640625-000
Event Type: Information
User: AUTORITE NT\SERVICE LOCAL

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 106929
Source Name: Service Control Manager
Time Written: 20090228223419.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Informations d'application est entré dans l'état : en cours d'exécution.
Record Number: 106930
Source Name: Service Control Manager
Time Written: 20090228224426.000000-000
Event Type: Information
User:

Application event log

Computer Name: PC-de-wauquier
Event Code: 902
Message: Le service de gestion des licences du logiciel a démarré.

Record Number: 25503
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090228153809.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25504
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153815.968018-000
Event Type: Information
User: PC-de-wauquier\wauquier

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25505
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153827.811768-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le service Centre de sécurité Windows a démarré.
Record Number: 25506
Source Name: SecurityCenter
Time Written: 20090228153945.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 8224
Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.
Record Number: 25507
Source Name: VSS
Time Written: 20090228161644.000000-000
Event Type: Information
User:

Security event log

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28496
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1adbc
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28497
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2

Privilèges : SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 28498
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 28499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------
> catimarie
Désolée,il y a eu un doublon..
Je reprécise que mon PC est de plus en plus long et que je n'ai plus de son depuis hier soir..Il ya vraisemblablement un problème..
Je viens de poster les 2 rapports demandés,et je ne vois rien sur la discussion.

En outre,mon PC est de plus en plus lent,et depuiq hier soir,je n'ai plus de son..
Je crois vraiment qu'il y a un problème..
Etrange,mes 3 derniers messages n'apparaissent pas..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Telecharge maintenant FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Fais un clic droit sur le raccourci FindyKill sur ton bureau

--> Choisi executer en tant qu administrateur

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
C'est de pire en pire.Je n'arrive pas à télécharger Findykill.Dois-je désactiver l'UAC et les protections pour celà??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
C'est à dire tu n'arrives pas? Ca doit venir de l'infection.Il ne trouve pas le lien a telecharger,ca ne charge pas ou tu n'arrive pas à lancer findy kill?
Après plusieurs tentatives,j'ai enfin réussi à le télécharger.
Voici le rapport:


############################## [ FindyKill V4.718 ]

# User : wauquier (Administrateurs) # PC-DE-WAUQUIER
# Update on 01/03/09
# Start at: 13:39:15 | 01/03/2009

# AMD Sempron(tm) 2400+
# Microsoft© Windows VistaT dition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 38,28 Go (14,51 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\VTTimer.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\Windows ]


################## [ C:\Windows\system32 ]


################## [ C:\Windows\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]

# Presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.718 ! ]
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Tu as une infection qui se lance dans ta session d'ouverture (au demarrage de l'ordinateur).Difficile de la cerner

1/Supprimes les logiciels de desinfection en utilisant tool cleaner


http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

2/Fais un scan sur le site Mks



On va faire un scan en ligne avec mks anti trojans ,malwares et vers divers


http://www.mks.com.pl/skaner/skaner.html


Utilises ie car tu dois accepter un active x,installe le programme,une fenetre de scan et la mise a jour de la base doit s'effectuer (si elle ne s'effectue pas,cliques sur scan (skanej)sans cocher de case,la mise a jour va s'effectuer).

Ensuite coches,c et d et lances le scan.

Si mks te trouve des infections,il te proposera 5 choix (vacciner,renommer,supprimer,déplacer,ignorer).Cliques sur supprimer (skasuj).

Supprimes tout ce qu'il te trouve

Le site est en polonais.
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
As tu une version legitime de windows vista?

Apres avoir parcouru les differentes pages ,nombre de logiciels de desinfection (combofix ,rustfix,etc) n'ont pas ete utilisés sur cette intervention,mais par ocntre etaient present sur ton ordinateur (les a tu utilisé ,si oui avec l'aide d'un helpeur?)
Eh oui j'ai bien une version légitime de Vista.
Pour ce qui est des logiciels de désinfection,j'ai en effet eu affaire à votre forum déjà l'an dernier,et c'est toujours sur conseil d'un helpeur que j'agis..J'ai eu affaire à ^^marie^^ souvent.Je la salue au passage...
Donc je reprends Toolscleaner??Je l'ai fait 3 fois hier,et çà n'a rien arrangé..
Ou bien je fais l'autre scan que tu me demandes??
Je ne sais plus trop quoi faire..un peu perdue...il faut l'avouer..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
L'utilisation de toolcleaner est destiné à supprimer les logiciels de desinfection (qui peuvent etre detecté à tord comme malware et trojan) et n'a aucune autre fonction.Il est donc preferable de les supprimer avant d'attaquer le scan car celui ci pourrait les detecter à tord comme virus.Oui tu peux attaquer le scan
OK.Voici le dernier scan Toolscleaner:

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\FindyKill.txt: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Windows\System32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !

Je continue avec MLK..
> catimarie
Comme je m'en doutais,impossible de faire le scan en ligne mks.
Malgré avoir désactiver l'UAC et les protections..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virus total :

C:\Boot\BCD



http://www.virustotal.com/flash/index_en.html

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : Chemin\Fichier
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.


* Fais la même chose avec ces fichiers : Chemin\Fichier


Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
Et bien ce n'est pas gagné..Impossible d'ouvrir BCD---: en cours d'utilisation???
Chemin\Fichier:n'existe pas.
C:\Boot_BCD:entrer un nouveau nom ou fermer le fichier ouvert par un autre programme...Je ne comprends pas tout..
Par ailleurs,"Masquer les extensions des fichiers dont le type est connu était dejà décoché!!!
Est-ce normal??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Grrrrrr,bon supprimes tout ce que tu as en quarantaine dans tes antispywares et tes antivirus.Puis refais un scan complet avec antivir.Tu vas dans demarrer,puis recherche,puis heuristiques,coches la case degré d'identification elevé.Ensuite demarres le scan complet et postes moi le rapport
Je suis vraiment désolée...
Par contre le son est revenu.
Merci à Christorock..
Je continue donc la procédure indiquée..

SAlut!!

Merci à Christorock..

???
Coucou Ric025,

On n'est pas sorti de la galère...
Je ne trouve pas "heuristique" sur Antivir..

Tu ne réponds pas à ça:

Merci à Christorock..

???


????

=================

On fera Antivir après.

Fais ceci:

/!\Seule Catimarie suis cette procédure, un mauvais usage de combofix peut faire des dégâts /!\

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\


Télécharge ComboFix (de sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE!.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si,si,Christorock est celui ou celle qui m'a donné le lien pour télécharger un nouveau Driver,quand j'ai lancé la discussion"plus de son sous Vista suite à désinfection" aujourd'hui..
Je vais suivre ce que tu m'as dit..

Ah ok! Oui, je viens de tomber sur la discussion.

Ok! PAsse à combofix.

A++
Désolée j'ai dû m'absenter.
Je passe Combofix..
> catimarie
Voici le rapport Comnofix:

ComboFix 09-02-28.01 - wauquier 2009-03-01 18:41:49.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.1.1036.18.703.272 [GMT 1:00]
Lancé depuis: c:\users\wauquier\Downloads\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-03-01 15:51 . 2009-03-01 15:51 <REP> d-------- c:\program files\Realtek
2009-03-01 15:51 . 2009-03-01 15:51 319,456 --a------ c:\windows\DIFxAPI.dll
2009-03-01 15:50 . 2009-03-01 15:52 <REP> d--h----- c:\program files\Temp
2009-03-01 15:50 . 2008-08-25 16:17 528,384 --a------ c:\windows\RtlExUpd.dll
2009-03-01 13:31 . 2009-03-01 15:08 <REP> d-------- c:\program files\FindyKill
2009-02-28 14:42 . 2009-02-28 14:42 24,250 --a------ c:\users\wauquier\Sauvegarde registre C.Cleaner 28.02.09.reg
2009-02-24 22:42 . 2009-02-24 22:56 <REP> d-------- c:\users\wauquier\DoctorWeb
2009-02-24 14:37 . 2009-02-24 14:37 26 --a------ C:\23990098.$$$
2009-02-24 11:03 . 2009-02-24 11:03 <REP> d--h----- c:\windows\PIF
2009-02-24 10:25 . 2009-02-24 10:42 <REP> d-------- C:\Downloads
2009-02-24 10:22 . 2009-02-24 19:01 <REP> d-------- C:\Kaspersky
2009-02-24 09:51 . 2009-03-01 18:32 6,288 --a------ c:\windows\System32\orahssLauncher.sav
2009-02-19 15:09 . 2009-02-19 15:09 3,484 --a------ c:\users\wauquier\Log CCleaner sauvegarde registre 19.02.09.reg
2009-02-18 19:27 . 2009-02-18 19:27 <REP> d-------- c:\users\All Users\SUPERAntiSpyware.com
2009-02-18 19:27 . 2009-02-18 19:27 <REP> d-------- c:\programdata\SUPERAntiSpyware.com
2009-02-18 19:26 . 2009-03-01 16:32 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-02-18 19:24 . 2009-02-18 19:24 <REP> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-18 13:42 . 2007-05-30 13:10 10,872 --a------ c:\windows\System32\drivers\AvgAsCln.sys
2009-02-18 12:09 . 2009-02-18 12:09 176 --a------ c:\users\wauquier\cc_20090218_1209.reg
2009-02-18 12:08 . 2009-02-18 12:09 1,260 --a------ c:\users\wauquier\Cleaner registre sauvegardé 2è 08.02.09.reg
2009-02-18 12:07 . 2009-02-18 12:07 16,290 --a------ c:\users\wauquier\Ccleaner registre sauvegardé 18.02.09.reg
2009-02-17 22:22 . 2009-02-17 22:22 <REP> d-------- c:\program files\Ad-remover
2009-02-17 01:03 . 2009-02-17 01:03 0 --a------ c:\windows\System32\paths.bat
2009-02-11 19:58 . 2009-01-15 04:36 1,383,424 --a------ c:\windows\System32\mshtml.tlb
2009-02-11 19:58 . 2009-01-15 07:11 827,392 --a------ c:\windows\System32\wininet.dll
2009-02-10 18:33 . 2009-02-10 18:33 <REP> d-------- c:\program files\Free FLV Converter
2009-02-10 18:33 . 2008-06-04 17:42 364,544 --a------ c:\windows\System32\PropertyGrid.ocx
2009-02-10 18:33 . 2009-02-10 13:38 278,528 --a------ c:\windows\System32\TubeFinder.exe
2009-02-10 18:33 . 2008-06-04 17:42 208,500 --a------ c:\windows\System32\ReyXpBasics.tlb
2009-02-10 18:33 . 2008-06-04 17:42 141,312 --a------ c:\windows\System32\MSCMCFR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 119,568 --a------ c:\windows\System32\VB6FR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 101,888 --a------ c:\windows\System32\VB6STKIT.DLL
2009-02-10 18:33 . 2008-06-04 17:42 84,512 --a------ c:\windows\System32\PICCLP32.OCX
2009-02-10 18:33 . 2008-06-04 17:42 32,768 --a------ c:\windows\System32\CMDLGFR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 24,576 --a------ c:\windows\System32\ControlSubX.ocx
2009-02-10 18:33 . 2008-06-04 17:42 9,728 --a------ c:\windows\System32\PCCLPFR.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 14:51 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-01 14:50 --------- d-----w c:\program files\Common Files\InstallShield
2009-03-01 14:08 --------- d-----w c:\program files\Trend Micro
2009-02-28 13:19 --------- d-----w c:\program files\CCleaner
2009-02-27 12:17 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-18 18:41 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-02-18 18:30 --------- d-----w c:\programdata\Spybot - Search & Destroy
2009-02-18 11:09 1,260 ----a-w c:\users\wauquier\Cleaner registre sauvegardé 2è 08.02.09.reg
2009-02-18 11:07 16,290 ----a-w c:\users\wauquier\Ccleaner registre sauvegardé 18.02.09.reg
2009-02-12 12:59 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-12 12:27 --------- d-----w c:\program files\Windows Mail
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-07 18:22 --------- d-----w c:\program files\Common Files\Adobe
2009-02-07 18:17 --------- d-----w c:\programdata\NOS
2009-02-07 18:09 --------- d-----w c:\program files\NOS
2008-08-11 09:26 47,186 ----a-w c:\users\wauquier\Sauvegarde registre C.Cleaner 11.08.08.reg
2008-06-05 12:40 174 --sha-w c:\program files\desktop.ini
2008-06-02 11:52 3,052 ----a-w c:\users\wauquier\CCleaner 2.06.08.reg
2008-05-09 18:46 5,250 ----a-w c:\users\wauquier\cc_20080509_2046.reg
2008-04-16 13:26 4,656 ----a-w c:\users\wauquier\Sauvegarde C.Cleaner 16.04.08.reg
2008-02-13 11:41 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008021320080214\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-26 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-02-11 1273488]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"VTTimer"="VTTimer.exe" [2004-03-26 c:\windows\System32\VTTimer.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^RICOH Gate La.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\RICOH Gate La.lnk
backup=c:\windows\pss\RICOH Gate La.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2008-01-19 08:38 1008184 c:\program files\Windows Defender\MSASCui.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{721AE518-CC3B-41DB-9D60-D25635D1821C}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\6ljg58qz\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\6ljg58qz\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{4197F5C4-9647-46B4-A2D5-20FA37FD08B0}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\6ljg58qz\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\6ljg58qz\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{6A4E1E14-E8C3-4E17-9957-A2B894DD3957}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{9A760607-5DD6-4C61-B23F-25A498632E89}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{8D6E43C9-38A0-43B3-B51C-B89BE11F6897}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\l5x5w18a\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\l5x5w18a\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{BB80531C-8BC3-4287-A40E-1B6F2E04CEFB}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\l5x5w18a\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\l5x5w18a\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{777F91C0-10AA-4B1B-8515-9053C86A9C8E}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[2].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[2].exe:installer-38284-17-open-office-complet-en-francais-french[2].exe
"UDP Query User{8D067E69-8A3A-4B61-BABB-E9324F482AB4}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[2].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[2].exe:installer-38284-17-open-office-complet-en-francais-french[2].exe
"TCP Query User{B6994C3A-4F10-4B85-96B1-E819B345FBCE}c:\\users\\wauquier\\emule\\emule.exe"= UDP:c:\users\wauquier\emule\emule.exe:emule.exe
"UDP Query User{5C8A2663-D230-4100-B3AF-39489EF93EEF}c:\\users\\wauquier\\emule\\emule.exe"= TCP:c:\users\wauquier\emule\emule.exe:emule.exe
"{15919DEF-7957-4E1A-AE40-DDF1ADC12221}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{065A008A-FC70-40C2-AB5D-4C05732BEDD9}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{0894FAE4-474A-480B-8A93-101038FA9042}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{EAD10A45-A982-4815-9B6F-9318237B7FF8}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{BD569930-BCDC-4A17-98E3-D6933A4E5715}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{88799D2A-43FC-4D83-8C81-6F553724C4E3}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{A9C7810C-6525-4ACC-B30D-3615799DA90A}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2009-02-07 33752]
S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\System32\drivers\k600bus.sys [2005-03-04 52384]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\System32\drivers\k600mdfl.sys [2007-09-20 6096]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\System32\drivers\k600mdm.sys [2007-09-20 87456]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\System32\drivers\k600obex.sys [2007-09-20 77072]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-12-02 28224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\User_Feed_Synchronization-{E7205D98-DD91-4297-8959-076EBEC84630}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 18:46:01
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-03-01 18:48:49
ComboFix-quarantined-files.txt 2009-03-01 17:48:46

Avant-CF: 15 242 457 088 octets libres
Après-CF: 15,227,920,384 octets libres

180 --- E O F --- 2009-02-27 07:45:44
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

c:\windows\System32\ControlSubX.ocx



http://www.virustotal.com/flash/index_en.html

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : Chemin\Fichier
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.


* Fais la même chose avec ces fichiers : Chemin\Fichier


Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
Loloetseb,
Je t'ai dit précédemment que je ne trouvais pas Chemin|Fichier.Donc tout ce qui s'y réfère,impossible..
Je vais essayer de scanner avec Virustotal,l'autre fichier..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Non t'inquietes pas pour chemin fichier,c'est au cas ou il y aurait d'autres fichiers à analyser
Comme tout à l'heure,impossible d'ouvrir C:\Windows\system32\control SubX.ocx et donc par conséquent impossible de le faire analyser..
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
Connais tu ce programme?

C:\23990098.$$$
Ben non,je ne connais pas ce programme.Mais il me semble l'avoir aperçu tout-à-l'heure quand je recherchais les fichiers que tu me demandais...
Il y a toujours des pb.La page Google a été bloquée plusieurs fois aujourd'hui par Orange.Est-ce que çà peut t'aider??
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
C:\23990098.$$$


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Voici le log OT Movelt:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\23990098.$$$ moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF4A89.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF5A3E.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF5B54.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF7EB5.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03012009_230806

Files moved on Reboot...
C:\Users\wauquier\AppData\Local\Temp\~DF4A89.tmp moved successfully.
File C:\Users\wauquier\AppData\Local\Temp\~DF5A3E.tmp not found!
File C:\Users\wauquier\AppData\Local\Temp\~DF5B54.tmp not found!
C:\Users\wauquier\AppData\Local\Temp\~DF7EB5.tmp moved successfully.

Et maintenant??