Interprétation Hijackthis

Réponse 61 / 90

Utilisateur anonyme

Re!

Toolscleaner est censé supprimer la plupart des outils de désinfection, comme Navilog, Smitfraudfix....et aussi ceux de diagnostic comme RSIT et hijackthis ainsi que leurs rapports.

Seulement, tu as Vista, donc, c'est plus dur pour lui! Comme pour nous tous !! ;))))

Évidemment, Antivir à garder, c'est ta protection principale maintenant. MBAM je te conseille aussi de le garder, d'ailleurs, tu remarques que Toolscleaner, le laisse. Et garde aussi CCleaner, très utile.

Demain je repasserai encore Toolscleaner.Faut-il encore repasser C.Cleaner,ou Hijackthis avant??

--> Donc, ok pour toolscleaner. CCleaner oui, mais après Toolscleaner. Et hijackthis devrait être mangé par Toolscleaner demain si ce n'est pas déjà fait.

A demain donc.

catimarie

Bonjour Ric025,Loloetseb,et tous les autres!!
Alors je vais donc repasser Toolscleaner avec suppression,puis C.Cleaner,ensuite comme tu me l'avait conseillé précédemment .Et je te reposte les rapports...
Merci d'être encore là pour moi!!!

catimarie

Voici le dernier rapport Toolscleaner:

Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Users\wauquier\*.msnfix: trouvé !
C:\Windows\System32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Users\wauquier\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!

Pourquoi msnfix n'est pas supprimé??

Réponse 62 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Supprimes msn fix à la main (tu le mets à la poubelle avec le dossier crée)

catimarie

Coucou Loloetseb,
Contente de te retrouver aussi.
Comment dois-je supprimer msnfix?Quand je fais la recherche,on me dit que c'est Hijackthis..et que ce fichier ne peut pas s'ouvrir..
Sinon j'ai retéléchargé Hijackthis,et refais un scan.Mais je ne sais pas si tu veux voir le log.Donc je ne le poste pas pour l'instant..

Réponse 63 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Tu as un fichier ZIP msn sur le bureau et un dossier msnfix.Tu cliques dessus avec la souris et tu mets à la poubelle.

Réponse 64 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Et oui,je suis revenu un peu car bien obligé de travailler un peu pour vivre,mais content de revenir aider sur le forum

catimarie

Coucou Loloetseb,
Je suis un peu désolée de te contrarier....lol...
Je n'ai pas de fichier ZIP sur mon bureau.Par contre en recherchant dans mes fichiers ZIP,je me suis aperçue que je ne pouvais pas ouvrir 2 fichiers dll et que dès que j'essayais de les ouvrir,ils me faisaient tilter le PC.Donc à la poubelle!!
Ai-je bien fait??

Réponse 65 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Bizarre,bizarre

- Suppression:

C:\Users\wauquier\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!

Je n'ai pas de reponse,à part mon entrée de topic!!!!!

Comment va ton pc sinon?

catimarie

Coucou Loloetseb,

Je ne te le fais pas dire!!!que c'est bizarre...
Le PC a déjà été mieux!!Je le trouve encore trop long...Pourtant j'ai repassé un coup de C.Cleaner après Toolscleaner.Bref,que faut-il faire d'autre???

Réponse 66 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Bon on va refaire un Rsit pour controler tout ca

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

catimarie

OK,je fais çà cette nuit,et je te poste tout demain.
Bonne nuit,et si tu le veux bien...à demain...

catimarie

Bonjour Loloetseb,Ric025 et tous les autres dépanneurs informatiques!
Voici les derniers rapports demandés:

Log.txt:

Logfile of random's system information tool 1.05 (written by random/random)
Run by wauquier at 2009-02-28 23:44:49
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 14 GB (37%) free of 39 GB
Total RAM: 703 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:38, on 28/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\VTTimer.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Users\wauquier\Downloads\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\trend micro\wauquier.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ke.voila.fr/S/voila?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

catimarie

Et voici le log Info.txt:

info.txt logfile of random's system information tool 1.05 2009-02-28 23:45:43

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Ad-remover-->C:\Program Files\Ad-remover\bureau\Uninstal.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Calendrier Xtra v9.006-->"C:\Program Files\Calendrier\unins000.exe"
Caplio Software-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}\Setup.exe" -l0x40c anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{7054ED85-498D-4D20-906F-14646AEC5581}
DeepBurner v1.8.0.224-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log"
eMule-->"C:\Users\wauquier\eMule\Uninstall.exe"
Encyclopédie Microsoft Encarta 2004-->MsiExec.exe /I{04460044-9149-45C6-A806-F2BF9CFCE762}
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Extension Système de Microsoft Money-->MsiExec.exe /I{8C64E149-54BA-11D6-91B1-00500462BE80}
Free FLV Converter V 6.1.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
IZArc 3.81-->"C:\Program Files\IZArc\unins000.exe"
Kaspersky Online Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
K-Lite Codec Pack 3.3.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kplan 1.998-->"C:\Program Files\metagenia\kplan\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute v11.0-->MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Money-->MsiExec.exe /I{1D643CD2-4DD6-11D7-A4E0-000874180BB3}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo Premium 9-->C:\Windows\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Word 2002-->MsiExec.exe /I{911B040C-6000-11D3-8CFE-0050048383C9}
Microsoft Works-->MsiExec.exe /I{E6BAE954-487E-488B-BC4E-2E69E54E8117}
Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
Sélecteur d'installation de Microsoft Works 2004-->C:\Program Files\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
UniChrome Series Driver and Utilities-->VTsetvga.exe -s -rRundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\Windows\system32\hgk001i.inf
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender (disabled)
AS: SUPERAntiSpyware

System event log

Computer Name: PC-de-wauquier
Event Code: 4201
Message: Le système a détecté que la carte réseau Connexion au réseau local était connectée au réseau, et a lancé une opération normale.
Record Number: 106926
Source Name: Tcpip
Time Written: 20090228223347.500000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Acquisition d'image Windows (WIA) est entré dans l'état : en cours d'exécution.
Record Number: 106927
Source Name: Service Control Manager
Time Written: 20090228223354.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le système est sorti de la veille.

Heure de veille : 2009-02-28T20:15:28.364Z
Heure de réveil : 2009-02-28T22:33:48.953Z

Source du réveil : Inconnu
Record Number: 106928
Source Name: Microsoft-Windows-Power-Troubleshooter
Time Written: 20090228223353.640625-000
Event Type: Information
User: AUTORITE NT\SERVICE LOCAL

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 106929
Source Name: Service Control Manager
Time Written: 20090228223419.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Informations d'application est entré dans l'état : en cours d'exécution.
Record Number: 106930
Source Name: Service Control Manager
Time Written: 20090228224426.000000-000
Event Type: Information
User:

Application event log

Computer Name: PC-de-wauquier
Event Code: 902
Message: Le service de gestion des licences du logiciel a démarré.

Record Number: 25503
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090228153809.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25504
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153815.968018-000
Event Type: Information
User: PC-de-wauquier\wauquier

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25505
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153827.811768-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le service Centre de sécurité Windows a démarré.
Record Number: 25506
Source Name: SecurityCenter
Time Written: 20090228153945.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 8224
Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.
Record Number: 25507
Source Name: VSS
Time Written: 20090228161644.000000-000
Event Type: Information
User:

Security event log

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28496
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1adbc
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28497
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2

Privilèges : SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 28498
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 28499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------

catimarie

Et voici le log Info.txt:

info.txt logfile of random's system information tool 1.05 2009-02-28 23:45:43

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Ad-remover-->C:\Program Files\Ad-remover\bureau\Uninstal.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Calendrier Xtra v9.006-->"C:\Program Files\Calendrier\unins000.exe"
Caplio Software-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}\Setup.exe" -l0x40c anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{7054ED85-498D-4D20-906F-14646AEC5581}
DeepBurner v1.8.0.224-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log"
eMule-->"C:\Users\wauquier\eMule\Uninstall.exe"
Encyclopédie Microsoft Encarta 2004-->MsiExec.exe /I{04460044-9149-45C6-A806-F2BF9CFCE762}
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Extension Système de Microsoft Money-->MsiExec.exe /I{8C64E149-54BA-11D6-91B1-00500462BE80}
Free FLV Converter V 6.1.0-->"C:\Program Files\Free FLV Converter\unins000.exe"
Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{904CCF62-818D-4675-BC76-D37EB399F917}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
ImgBurn (Remove Only)-->"C:\Program Files\ImgBurn\uninstall.exe"
IZArc 3.81-->"C:\Program Files\IZArc\unins000.exe"
Kaspersky Online Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
K-Lite Codec Pack 3.3.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kplan 1.998-->"C:\Program Files\metagenia\kplan\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute v11.0-->MsiExec.exe /I{8704D51E-25B7-4F23-81E7-AA4F54790220}
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Money-->MsiExec.exe /I{1D643CD2-4DD6-11D7-A4E0-000874180BB3}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo Premium 9-->C:\Windows\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Word 2002-->MsiExec.exe /I{911B040C-6000-11D3-8CFE-0050048383C9}
Microsoft Works-->MsiExec.exe /I{E6BAE954-487E-488B-BC4E-2E69E54E8117}
Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile-->MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
S3 S3Display-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'
S3 S3Gamma2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'
S3 S3Info2-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'
S3 S3Overlay-->vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'
Sélecteur d'installation de Microsoft Works 2004-->C:\Program Files\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
UniChrome Series Driver and Utilities-->VTsetvga.exe -s -rRundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\Windows\system32\hgk001i.inf
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender (disabled)
AS: SUPERAntiSpyware

System event log

Computer Name: PC-de-wauquier
Event Code: 4201
Message: Le système a détecté que la carte réseau Connexion au réseau local était connectée au réseau, et a lancé une opération normale.
Record Number: 106926
Source Name: Tcpip
Time Written: 20090228223347.500000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Acquisition d'image Windows (WIA) est entré dans l'état : en cours d'exécution.
Record Number: 106927
Source Name: Service Control Manager
Time Written: 20090228223354.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le système est sorti de la veille.

Heure de veille : 2009-02-28T20:15:28.364Z
Heure de réveil : 2009-02-28T22:33:48.953Z

Source du réveil : Inconnu
Record Number: 106928
Source Name: Microsoft-Windows-Power-Troubleshooter
Time Written: 20090228223353.640625-000
Event Type: Information
User: AUTORITE NT\SERVICE LOCAL

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 106929
Source Name: Service Control Manager
Time Written: 20090228223419.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 7036
Message: Le service Informations d'application est entré dans l'état : en cours d'exécution.
Record Number: 106930
Source Name: Service Control Manager
Time Written: 20090228224426.000000-000
Event Type: Information
User:

Application event log

Computer Name: PC-de-wauquier
Event Code: 902
Message: Le service de gestion des licences du logiciel a démarré.

Record Number: 25503
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090228153809.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25504
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153815.968018-000
Event Type: Information
User: PC-de-wauquier\wauquier

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le client des services de certification a démarré correctement.
Record Number: 25505
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090228153827.811768-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-wauquier
Event Code: 1
Message: Le service Centre de sécurité Windows a démarré.
Record Number: 25506
Source Name: SecurityCenter
Time Written: 20090228153945.000000-000
Event Type: Information
User:

Computer Name: PC-de-wauquier
Event Code: 8224
Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.
Record Number: 25507
Source Name: VSS
Time Written: 20090228161644.000000-000
Event Type: Information
User:

Security event log

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28496
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 2

Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1adbc
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x204
Nom du processus : C:\Windows\System32\winlogon.exe

Informations sur le réseau :
Nom de la station de travail : PC-DE-WAUQUIER
Adresse du réseau source : 127.0.0.1
Port source : 0

Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28497
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-21-2226842634-731092497-1096011143-1000
Nom du compte : wauquier
Domaine du compte : PC-de-wauquier
ID d’ouverture de session : 0x1ada2

Privilèges : SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 28498
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074945.093750-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 28499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-wauquier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-WAUQUIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x220
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 28500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080630074946.156250-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1

-----------------EOF-----------------

catimarie

Je viens de poster les 2 rapports demandés,et je ne vois rien sur la discussion.

En outre,mon PC est de plus en plus lent,et depuiq hier soir,je n'ai plus de son..
Je crois vraiment qu'il y a un problème..

Réponse 67 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Telecharge maintenant FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Fais un clic droit sur le raccourci FindyKill sur ton bureau

--> Choisi executer en tant qu administrateur

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

catimarie

C'est de pire en pire.Je n'arrive pas à télécharger Findykill.Dois-je désactiver l'UAC et les protections pour celà??

Réponse 68 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

C'est à dire tu n'arrives pas? Ca doit venir de l'infection.Il ne trouve pas le lien a telecharger,ca ne charge pas ou tu n'arrive pas à lancer findy kill?

catimarie

Après plusieurs tentatives,j'ai enfin réussi à le télécharger.
Voici le rapport:

############################## [ FindyKill V4.718 ]

# User : wauquier (Administrateurs) # PC-DE-WAUQUIER
# Update on 01/03/09
# Start at: 13:39:15 | 01/03/2009

# AMD Sempron(tm) 2400+
# Microsoft© Windows VistaT dition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 38,28 Go (14,51 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\VTTimer.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]

################## [ C:\Windows ]

################## [ C:\Windows\system32 ]

################## [ C:\Windows\system32\drivers ]

################## [ C:\.. Application Data ... ]

################## [ Registre / Clés infectieuses ]

################## [ Recherche dans supports amovibles]

# Presence des fichiers :

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.718 ! ]

Réponse 69 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Tu as une infection qui se lance dans ta session d'ouverture (au demarrage de l'ordinateur).Difficile de la cerner

1/Supprimes les logiciels de desinfection en utilisant tool cleaner

http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

2/Fais un scan sur le site Mks

On va faire un scan en ligne avec mks anti trojans ,malwares et vers divers

http://www.mks.com.pl/skaner/skaner.html

Utilises ie car tu dois accepter un active x,installe le programme,une fenetre de scan et la mise a jour de la base doit s'effectuer (si elle ne s'effectue pas,cliques sur scan (skanej)sans cocher de case,la mise a jour va s'effectuer).

Ensuite coches,c et d et lances le scan.

Si mks te trouve des infections,il te proposera 5 choix (vacciner,renommer,supprimer,déplacer,ignorer).Cliques sur supprimer (skasuj).

Supprimes tout ce qu'il te trouve

Le site est en polonais.

Réponse 70 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

As tu une version legitime de windows vista?

Apres avoir parcouru les differentes pages ,nombre de logiciels de desinfection (combofix ,rustfix,etc) n'ont pas ete utilisés sur cette intervention,mais par ocntre etaient present sur ton ordinateur (les a tu utilisé ,si oui avec l'aide d'un helpeur?)

catimarie

Eh oui j'ai bien une version légitime de Vista.
Pour ce qui est des logiciels de désinfection,j'ai en effet eu affaire à votre forum déjà l'an dernier,et c'est toujours sur conseil d'un helpeur que j'agis..J'ai eu affaire à ^^marie^^ souvent.Je la salue au passage...
Donc je reprends Toolscleaner??Je l'ai fait 3 fois hier,et çà n'a rien arrangé..
Ou bien je fais l'autre scan que tu me demandes??
Je ne sais plus trop quoi faire..un peu perdue...il faut l'avouer..

Réponse 71 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

L'utilisation de toolcleaner est destiné à supprimer les logiciels de desinfection (qui peuvent etre detecté à tord comme malware et trojan) et n'a aucune autre fonction.Il est donc preferable de les supprimer avant d'attaquer le scan car celui ci pourrait les detecter à tord comme virus.Oui tu peux attaquer le scan

catimarie

OK.Voici le dernier scan Toolscleaner:

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\FindyKill.txt: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Windows\System32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !

Je continue avec MLK..

catimarie > catimarie

Comme je m'en doutais,impossible de faire le scan en ligne mks.
Malgré avoir désactiver l'UAC et les protections..

Réponse 72 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virus total :

C:\Boot\BCD

http://www.virustotal.com/flash/index_en.html

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : Chemin\Fichier
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

* Fais la même chose avec ces fichiers : Chemin\Fichier

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

catimarie

Et bien ce n'est pas gagné..Impossible d'ouvrir BCD---: en cours d'utilisation???
Chemin\Fichier:n'existe pas.
C:\Boot_BCD:entrer un nouveau nom ou fermer le fichier ouvert par un autre programme...Je ne comprends pas tout..
Par ailleurs,"Masquer les extensions des fichiers dont le type est connu était dejà décoché!!!
Est-ce normal??

Réponse 73 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Grrrrrr,bon supprimes tout ce que tu as en quarantaine dans tes antispywares et tes antivirus.Puis refais un scan complet avec antivir.Tu vas dans demarrer,puis recherche,puis heuristiques,coches la case degré d'identification elevé.Ensuite demarres le scan complet et postes moi le rapport

catimarie

Je suis vraiment désolée...
Par contre le son est revenu.
Merci à Christorock..
Je continue donc la procédure indiquée..

Réponse 74 / 90

Utilisateur anonyme

SAlut!!

Merci à Christorock..

???

catimarie

Coucou Ric025,

On n'est pas sorti de la galère...
Je ne trouve pas "heuristique" sur Antivir..

Réponse 75 / 90

Utilisateur anonyme

Tu ne réponds pas à ça:

Merci à Christorock..

???

????

=================

On fera Antivir après.

Fais ceci:

/!\Seule Catimarie suis cette procédure, un mauvais usage de combofix peut faire des dégâts /!\

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\

Télécharge ComboFix (de sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE!.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

catimarie

Si,si,Christorock est celui ou celle qui m'a donné le lien pour télécharger un nouveau Driver,quand j'ai lancé la discussion"plus de son sous Vista suite à désinfection" aujourd'hui..
Je vais suivre ce que tu m'as dit..

Réponse 76 / 90

Utilisateur anonyme

Ah ok! Oui, je viens de tomber sur la discussion.

Ok! PAsse à combofix.

A++

catimarie

Désolée j'ai dû m'absenter.
Je passe Combofix..

catimarie > catimarie

Voici le rapport Comnofix:

ComboFix 09-02-28.01 - wauquier 2009-03-01 18:41:49.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.1.1036.18.703.272 [GMT 1:00]
Lancé depuis: c:\users\wauquier\Downloads\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-03-01 15:51 . 2009-03-01 15:51 <REP> d-------- c:\program files\Realtek
2009-03-01 15:51 . 2009-03-01 15:51 319,456 --a------ c:\windows\DIFxAPI.dll
2009-03-01 15:50 . 2009-03-01 15:52 <REP> d--h----- c:\program files\Temp
2009-03-01 15:50 . 2008-08-25 16:17 528,384 --a------ c:\windows\RtlExUpd.dll
2009-03-01 13:31 . 2009-03-01 15:08 <REP> d-------- c:\program files\FindyKill
2009-02-28 14:42 . 2009-02-28 14:42 24,250 --a------ c:\users\wauquier\Sauvegarde registre C.Cleaner 28.02.09.reg
2009-02-24 22:42 . 2009-02-24 22:56 <REP> d-------- c:\users\wauquier\DoctorWeb
2009-02-24 14:37 . 2009-02-24 14:37 26 --a------ C:\23990098.$$$
2009-02-24 11:03 . 2009-02-24 11:03 <REP> d--h----- c:\windows\PIF
2009-02-24 10:25 . 2009-02-24 10:42 <REP> d-------- C:\Downloads
2009-02-24 10:22 . 2009-02-24 19:01 <REP> d-------- C:\Kaspersky
2009-02-24 09:51 . 2009-03-01 18:32 6,288 --a------ c:\windows\System32\orahssLauncher.sav
2009-02-19 15:09 . 2009-02-19 15:09 3,484 --a------ c:\users\wauquier\Log CCleaner sauvegarde registre 19.02.09.reg
2009-02-18 19:27 . 2009-02-18 19:27 <REP> d-------- c:\users\All Users\SUPERAntiSpyware.com
2009-02-18 19:27 . 2009-02-18 19:27 <REP> d-------- c:\programdata\SUPERAntiSpyware.com
2009-02-18 19:26 . 2009-03-01 16:32 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-02-18 19:24 . 2009-02-18 19:24 <REP> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-18 13:42 . 2007-05-30 13:10 10,872 --a------ c:\windows\System32\drivers\AvgAsCln.sys
2009-02-18 12:09 . 2009-02-18 12:09 176 --a------ c:\users\wauquier\cc_20090218_1209.reg
2009-02-18 12:08 . 2009-02-18 12:09 1,260 --a------ c:\users\wauquier\Cleaner registre sauvegardé 2è 08.02.09.reg
2009-02-18 12:07 . 2009-02-18 12:07 16,290 --a------ c:\users\wauquier\Ccleaner registre sauvegardé 18.02.09.reg
2009-02-17 22:22 . 2009-02-17 22:22 <REP> d-------- c:\program files\Ad-remover
2009-02-17 01:03 . 2009-02-17 01:03 0 --a------ c:\windows\System32\paths.bat
2009-02-11 19:58 . 2009-01-15 04:36 1,383,424 --a------ c:\windows\System32\mshtml.tlb
2009-02-11 19:58 . 2009-01-15 07:11 827,392 --a------ c:\windows\System32\wininet.dll
2009-02-10 18:33 . 2009-02-10 18:33 <REP> d-------- c:\program files\Free FLV Converter
2009-02-10 18:33 . 2008-06-04 17:42 364,544 --a------ c:\windows\System32\PropertyGrid.ocx
2009-02-10 18:33 . 2009-02-10 13:38 278,528 --a------ c:\windows\System32\TubeFinder.exe
2009-02-10 18:33 . 2008-06-04 17:42 208,500 --a------ c:\windows\System32\ReyXpBasics.tlb
2009-02-10 18:33 . 2008-06-04 17:42 141,312 --a------ c:\windows\System32\MSCMCFR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 119,568 --a------ c:\windows\System32\VB6FR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 101,888 --a------ c:\windows\System32\VB6STKIT.DLL
2009-02-10 18:33 . 2008-06-04 17:42 84,512 --a------ c:\windows\System32\PICCLP32.OCX
2009-02-10 18:33 . 2008-06-04 17:42 32,768 --a------ c:\windows\System32\CMDLGFR.DLL
2009-02-10 18:33 . 2008-06-04 17:42 24,576 --a------ c:\windows\System32\ControlSubX.ocx
2009-02-10 18:33 . 2008-06-04 17:42 9,728 --a------ c:\windows\System32\PCCLPFR.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 14:51 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-01 14:50 --------- d-----w c:\program files\Common Files\InstallShield
2009-03-01 14:08 --------- d-----w c:\program files\Trend Micro
2009-02-28 13:19 --------- d-----w c:\program files\CCleaner
2009-02-27 12:17 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-18 18:41 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-02-18 18:30 --------- d-----w c:\programdata\Spybot - Search & Destroy
2009-02-18 11:09 1,260 ----a-w c:\users\wauquier\Cleaner registre sauvegardé 2è 08.02.09.reg
2009-02-18 11:07 16,290 ----a-w c:\users\wauquier\Ccleaner registre sauvegardé 18.02.09.reg
2009-02-12 12:59 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-12 12:27 --------- d-----w c:\program files\Windows Mail
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-07 18:22 --------- d-----w c:\program files\Common Files\Adobe
2009-02-07 18:17 --------- d-----w c:\programdata\NOS
2009-02-07 18:09 --------- d-----w c:\program files\NOS
2008-08-11 09:26 47,186 ----a-w c:\users\wauquier\Sauvegarde registre C.Cleaner 11.08.08.reg
2008-06-05 12:40 174 --sha-w c:\program files\desktop.ini
2008-06-02 11:52 3,052 ----a-w c:\users\wauquier\CCleaner 2.06.08.reg
2008-05-09 18:46 5,250 ----a-w c:\users\wauquier\cc_20080509_2046.reg
2008-04-16 13:26 4,656 ----a-w c:\users\wauquier\Sauvegarde C.Cleaner 16.04.08.reg
2008-02-13 11:41 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008021320080214\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-26 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-02-11 1273488]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"VTTimer"="VTTimer.exe" [2004-03-26 c:\windows\System32\VTTimer.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^RICOH Gate La.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\RICOH Gate La.lnk
backup=c:\windows\pss\RICOH Gate La.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2008-01-19 08:38 1008184 c:\program files\Windows Defender\MSASCui.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{721AE518-CC3B-41DB-9D60-D25635D1821C}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\6ljg58qz\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\6ljg58qz\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{4197F5C4-9647-46B4-A2D5-20FA37FD08B0}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\6ljg58qz\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\6ljg58qz\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{6A4E1E14-E8C3-4E17-9957-A2B894DD3957}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{9A760607-5DD6-4C61-B23F-25A498632E89}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{8D6E43C9-38A0-43B3-B51C-B89BE11F6897}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\l5x5w18a\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\l5x5w18a\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"UDP Query User{BB80531C-8BC3-4287-A40E-1B6F2E04CEFB}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\l5x5w18a\\installer-38284-17-open-office-complet-en-francais-french[1].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\l5x5w18a\installer-38284-17-open-office-complet-en-francais-french[1].exe:installer-38284-17-open-office-complet-en-francais-french[1].exe
"TCP Query User{777F91C0-10AA-4B1B-8515-9053C86A9C8E}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[2].exe"= UDP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[2].exe:installer-38284-17-open-office-complet-en-francais-french[2].exe
"UDP Query User{8D067E69-8A3A-4B61-BABB-E9324F482AB4}c:\\users\\wauquier\\appdata\\local\\microsoft\\windows\\temporary internet files\\content.ie5\\4u8f2q45\\installer-38284-17-open-office-complet-en-francais-french[2].exe"= TCP:c:\users\wauquier\appdata\local\microsoft\windows\temporary internet files\content.ie5\4u8f2q45\installer-38284-17-open-office-complet-en-francais-french[2].exe:installer-38284-17-open-office-complet-en-francais-french[2].exe
"TCP Query User{B6994C3A-4F10-4B85-96B1-E819B345FBCE}c:\\users\\wauquier\\emule\\emule.exe"= UDP:c:\users\wauquier\emule\emule.exe:emule.exe
"UDP Query User{5C8A2663-D230-4100-B3AF-39489EF93EEF}c:\\users\\wauquier\\emule\\emule.exe"= TCP:c:\users\wauquier\emule\emule.exe:emule.exe
"{15919DEF-7957-4E1A-AE40-DDF1ADC12221}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{065A008A-FC70-40C2-AB5D-4C05732BEDD9}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{0894FAE4-474A-480B-8A93-101038FA9042}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{EAD10A45-A982-4815-9B6F-9318237B7FF8}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{BD569930-BCDC-4A17-98E3-D6933A4E5715}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{88799D2A-43FC-4D83-8C81-6F553724C4E3}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{A9C7810C-6525-4ACC-B30D-3615799DA90A}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2009-02-07 33752]
S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\System32\drivers\k600bus.sys [2005-03-04 52384]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\System32\drivers\k600mdfl.sys [2007-09-20 6096]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\System32\drivers\k600mdm.sys [2007-09-20 87456]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\System32\drivers\k600obex.sys [2007-09-20 77072]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-12-02 28224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\User_Feed_Synchronization-{E7205D98-DD91-4297-8959-076EBEC84630}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 18:46:01
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-03-01 18:48:49
ComboFix-quarantined-files.txt 2009-03-01 17:48:46

Avant-CF: 15 242 457 088 octets libres
Après-CF: 15,227,920,384 octets libres

180 --- E O F --- 2009-02-27 07:45:44

Réponse 77 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

c:\windows\System32\ControlSubX.ocx

http://www.virustotal.com/flash/index_en.html

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : Chemin\Fichier
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

* Fais la même chose avec ces fichiers : Chemin\Fichier

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

catimarie

Loloetseb,
Je t'ai dit précédemment que je ne trouvais pas Chemin|Fichier.Donc tout ce qui s'y réfère,impossible..
Je vais essayer de scanner avec Virustotal,l'autre fichier..

Réponse 78 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Non t'inquietes pas pour chemin fichier,c'est au cas ou il y aurait d'autres fichiers à analyser

catimarie

Comme tout à l'heure,impossible d'ouvrir C:\Windows\system32\control SubX.ocx et donc par conséquent impossible de le faire analyser..

Réponse 79 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

Connais tu ce programme?

C:\23990098.$$$

catimarie

Ben non,je ne connais pas ce programme.Mais il me semble l'avoir aperçu tout-à-l'heure quand je recherchais les fichiers que tu me demandais...

catimarie

Il y a toujours des pb.La page Google a été bloquée plusieurs fois aujourd'hui par Orange.Est-ce que çà peut t'aider??

Réponse 80 / 90

loloetseb Messages postés 5508 Date d'inscription Statut Membre Dernière intervention 174

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\23990098.$$$

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

catimarie

Voici le log OT Movelt:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\23990098.$$$ moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF4A89.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF5A3E.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF5B54.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\wauquier\AppData\Local\Temp\~DF7EB5.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03012009_230806

Files moved on Reboot...
C:\Users\wauquier\AppData\Local\Temp\~DF4A89.tmp moved successfully.
File C:\Users\wauquier\AppData\Local\Temp\~DF5A3E.tmp not found!
File C:\Users\wauquier\AppData\Local\Temp\~DF5B54.tmp not found!
C:\Users\wauquier\AppData\Local\Temp\~DF7EB5.tmp moved successfully.

Et maintenant??

Interprétation Hijackthis

90 réponses

Votre réponse

Discussions similaires