Je ne sais pas quoi dire

kaali -  
 gen-hackman -
Bonjour,

Depuis peu, quand je veux aller sur hotmail pour voir mes mails celui-ci se fige et une petite fenêtre windows installer apparait furtivement.
Dans la panique j'ai passer windows live en revue, et j'ai découvert des contacts qui m'avait ajouter mais ce sont des personnes que je ne connaissais pas donc je les ai bloqué.
En faisant le tour des différents forums j'ai utilisé l'outil MSN fix.
après avoir suivi les instructions pour son installation je l'ai ensuite utiliser pour comme convenu nettoyer les éventuelles menaces que j'aurais chopé sur MSN.
Ne sachant pas l'utiliser le rapport je me soumet a vous pour m'apporter un éclaircissement concernant le décryptage du contenu de celui ci en vous en remerciant d'avance.
je suis novice et je vous avoue que la situation commence a être embarrassante
- le rapport catchme:
read file error: C:\Users\claudy\AppData\Local\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\Users\claudy\AppData\Local\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\Windows\system32\cftmon.exe, Le fichier spécifié est introuvable.
- avec un dossier uploadme:
que je n'arrive pas à coller
Configuration: Windows Vista
Firefox 3.0.7

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection est évoquée qui bloque l'accès à Hotmail et fait apparaître une fenêtre d'installation lorsque le navigateur est utilisé, associée à des contacts MSN Live inconnus et à des tentatives de nettoyage douteuses.
Plusieurs rapports d'analyse, tels que Navilog1, DrWeb et HijackThis, montrent des éléments détectés, notamment des fichiers et services suspects dans C:\Windows\system32 et divers outils de sécurité installés.
Des solutions proposées incluent l'utilisation de Navilog1 pour analyser et nettoyer le système, l'examen des rapports pour isoler les fichiers contaminés et leur mise en quarantaine via l'antivirus et l'antispyware.
En cas d'infection avérée, les réponses recommandent une approche progressive comprenant des nettoyages successifs et des outils spécifiques aux menaces détectées, plutôt qu'une solution unique et immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut il est compatible Vista MSNFix ?
    0
    1. kaali
       
      oui
      0
  2. gen-hackman
     
    Salut,

    commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:

    Télécharges et installes le logiciel de diagnostic :

    ici Hijackthis
    ou ici Hijackthis
    ou ici Hijackthis

    ou renommé

    1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :(merci balltrap34)
    Regardes ici, c'est parfaitement expliqué en images ,

    ( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

    2- !! Déconnectes toi et fermes toute tes applications en cours !!

    Cliques sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    --->copies-colles le rapport généré pour analyse
    0
    1. kaali
       
      tout d abord merci pour ton aide

      j'ai enregistrer hijackthis mais il ne s'execute pas
      0
  3. gen-hackman
     
    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Vas dans "Démarrer" puis Panneau de configuration.
    - Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
    - Clique sur Continuer.
    - Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
    - Valide par OK et redémarre.

    Tuto
    0
    1. kaali
       
      j'ai suivi tes conseils, j'ai désactivé l'UAC mais quand j'ai essayé de l'ouvrir dans n premier temps il ne s'est pas ouvert et ensuite le dossier qui étais enregistrer sur le bureau a disparu.
      0
  4. kaali
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:51:07, on 24/03/2009
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v8.00 (8.00.6001.18372)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Windows\System32\s3trayp.exe
    C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60446
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe -chkautorun
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://www.visiogood.com/jalss/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_2_0.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\Windows\system32\IoctlSvc.exe (file missing)
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    *****************************************************
    ************** Option 1 (Recherche) **************
    *****************************************************

    Télécharge FindyKill ( de Chiquitine29) sur ton bureau :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images ( Installation )
    Aides en images ( Recherche )
    0
    1. kaali
       
      ############################## [ FindyKill V4.720 ]

      # User : claudy (Administrateurs) # PC-DE-CLAUDY
      # Update on 22/03/09 by Chiquitine29
      # Start at: 15:08:42 | 24/03/2009
      # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

      # Mobile AMD Sempron(tm) Processor 3600+
      # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
      # Internet Explorer 8.0.6001.18372
      # Windows Firewall Status : Disabled
      # AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

      # C:\ # Disque fixe local # 90,25 Go (60,59 Go free) [System] # NTFS
      # D:\ # Disque fixe local # 45,12 Go (44,26 Go free) [DATA] # NTFS
      # E:\ # Disque CD-ROM

      ############################## [ Processus actifs ]

      C:\Windows\System32\smss.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\wininit.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\winlogon.exe
      C:\Windows\system32\services.exe
      C:\Windows\system32\lsass.exe
      C:\Windows\system32\lsm.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\AUDIODG.EXE
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\SLsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Windows\System32\s3trayp.exe
      C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
      C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\a-squared Free\a2service.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
      C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\conime.exe
      C:\Windows\system32\wbem\wmiprvse.exe

      ################## [ Fichiers / Dossiers infectieux C:\ ]


      ################## [ C:\Windows ]


      ################## [ C:\Windows\system32 ]


      ################## [ C:\Windows\system32\drivers ]


      ################## [ C:\.. Application Data ... ]


      ################## [ Registre / Clés infectieuses ]



      ################## [ Recherche dans supports amovibles]

      # Presence des fichiers :


      ################## [ Registre / Mountpoint2 ]

      # -> Not found !

      ################## [ ! Fin du rapport # FindyKill V4.720 ! ]
      0
  7. gen-hackman
     
    Désactiver le TeaTimer de Spybot (Merci à Nico):

    Pour désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)
    => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

    ensuite:

    *****************************************************
    *************** Option A (Recherche) ***************
    *****************************************************

    Télécharges AD-Remover( de Cyrildu17 / C_XX ) sur ton bureau :

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? clique droit sur l'icône Ad-remover située sur ton bureau
    ? choisis executer en tant qu administrateur
    ? Au menu principal choisi l'option "scan"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall)


    Aides en images (Installation)
    Aides en images (Recherche)

    ensuite :

    Télécharge TOOLBAR S&D ( de Eric_71/Team IDN ) sur ton bureau :

    !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

    * Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
    --> Tapes ( option " recherche " ) puis tape sur [Entrée].

    Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse

    ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

    Tutoriel
    0
    1. kaali
       
      bonjour

      je m'excuse de ne pas m'être manifesté avant mais j'ai e un soucis avec le scan de Toolbar SD dont j'ai attend le résultat jusqu'à maintenant et qui n'as rien donné.je l'ai arrêté.
      autrement voici le rapport de ad-remover

      ------- LOGFILE OF AD-REMOVER 1.1.2.1 | ONLY XP/VISTA -------

      Updated by C_XX on 23/03/2009 at 19:00
      Contact: AdRemover.contact@gmail.com
      Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

      Start at: 15:28:08, Tue 24/03/2009 | Boot mode: Normal Boot
      Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
      Operating System: Microsoft® Windows Vista™ Home Premium (version 6.0.6000)
      Computer Name: PC-DE-CLAUDY
      Current User: claudy - Administrator
      Drive(s):
      - C:\ (File System: NTFS)
      - D:\ (File System: NTFS)
      System Drive: C:\
      Windows Directory: C:\Windows\
      System Directory: C:\Windows\System32\

      --- Running Processes: 54

      +-----------------| Boonty/Boonty Games Elements Found:

      Service: Boonty Games
      .
      HKLM\Software\Boonty
      HKLM\System\ControlSet001\Services\Boonty Games
      HKLM\System\CurrentControlSet\Services\Boonty Games
      HKLM\System\ControlSet003\Services\Boonty Games
      .
      C:\Program Files\Common Files\BOONTY Shared
      C:\ProgramData\BOONTY

      +-----------------| Eorezo Elements Found:

      .

      +-----------------| Infected Poker Softwares Elements Found:

      .

      +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

      .
      .

      +-----------------| It's TV Elements Found:

      .

      +-----------------| Sweetim Elements Found:

      HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
      HKLM\Software\SweetIM
      HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1999668973-3607148204-3068984517-1000\Software\Sweetim
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\351716A953E21214898904032EAE2E81
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\397C771A7BCAC904697C3EC629ED33ED
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\98CC8BF5A4A6E6C4ABF7051DDAB8B058
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\A189D17A469616C4688D23E192996267
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\D15DAF33C220F91468A1D7D57C31ACD7
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\D3BA76A44C779424889063D5098ED2D6
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\D6D0EB9FDBD90C04D92A7E729058F10D
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\E4748F9A4181FCE46A23C13B517B9420
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
      .
      C:\Windows\Installer\4e84fa2.msi
      C:\Windows\Installer\{59971D79-8111-42C2-9E40-883A0C277E78}

      ============ Other Adwares Found ============

      .
      .

      +-----------------| Added Scan:

      ---- Mozilla FireFox Version 3.1b3 ----

      ProfilePath: 29n8p6f9.default (claudy)
      .
      .
      .
      .
      .
      .

      ---- Internet Explorer Version 8.0.6001.18372 ----

      +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

      Search bar: hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60446
      Search Page: hxxp://home.microsoft.com/access/allinone.asp
      Start page: hxxp://sfr.fr/

      +-[HKEY_USERS\S-1-5-21-1999668973-3607148204-3068984517-1000\..\Internet Explorer\Main]

      Search bar: hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60446
      Search Page: hxxp://home.microsoft.com/access/allinone.asp
      Start page: hxxp://sfr.fr/

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://fr.yahoo.com
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Start page: hxxp://home.sweetim.com

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

      Tabs: hxxp:res?id=tabs&rep=1

      +---------------------------------------------------------------------------+

      4163 Byte(s) - C:\Ad-Report-Scan-24.03.2009.log

      0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
      0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

      End at: 15:42:25 | 24/03/2009
      .
      +-----------------| E.O.F - 82 Lines
      .
      0
  8. gen-hackman
     
    pour toolbar SD fais-le en mode sans echec(2nde alternative :))

    en mode normal :

    *******************************************************
    *************** Option B (Suppression) ***************
    *******************************************************

    /!\ Déconnecte-toi et ferme toutes applications en cours /!\

    Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

    Choisis A

    Puis choisis S, le programme va travailler.

    Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report.log)

    /!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)


    Aides en images ( Nettoyage )

    ensuite :

    *************************************************************
    *************** Option C (Désinstallation) ***************
    *************************************************************

    * Relance "Ad-remover" : au menu principal choisis l'option "C" .
    * Clique sur ok quand l avertissement apparait.

    0
    1. kaali
       
      Pour ce qui est de toolbarSD je reçoit un message du genre (utilitaire(QGREP) de recherche de chaîne de caractères à cessé de fonctionner. Il me fais la même chose qu'hier en mode sans échec.
      Pour ad-remover tout s'est bien passer, je te laisse comme demander ce rapport

      ------- LOGFILE OF AD-REMOVER 1.1.2.1 | ONLY XP/VISTA -------

      Updated by C_XX on 23/03/2009 at 19:00
      Contact: AdRemover.contact@gmail.com
      Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

      **** LIMITED TO ****

      Boonty/BoontyGames

      ********************

      Start at: 11:24:08, Wed 25/03/2009 | Boot mode: Safe Boot
      Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
      Operating System: Microsoft® Windows Vista™ Home Premium (version 6.0.6000)
      Computer Name: PC-DE-CLAUDY
      Current User: claudy - Administrator
      Drive(s):
      - C:\ (File System: NTFS)
      - D:\ (File System: NTFS)
      System Drive: C:\
      Windows Directory: C:\Windows\
      System Directory: C:\Windows\System32\

      --- Running Processes: 19

      (!) ---- IE start pages/Tabs reset

      +-----------------| Boonty/Boonty Games Elements Deleted :

      Service: "Boonty Games"
      .
      HKLM\Software\Boonty
      HKLM\System\ControlSet001\Services\Boonty Games
      .
      C:\Program Files\Common Files\BOONTY Shared
      C:\ProgramData\BOONTY

      (!) ---- Temp files deleted.
      (!) ---- Recycle bin emptied in all drives.


      +-----------------| Added Scan :

      ---- Mozilla FireFox Version 3.1b3 ----

      ProfilePath: 29n8p6f9.default (claudy)
      .
      .
      .
      .
      .
      .

      ---- Internet Explorer Version 8.0.6001.18372 ----

      +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Search Page: hxxp://home.microsoft.com/access/allinone.asp
      Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

      +-[HKEY_USERS\S-1-5-21-1999668973-3607148204-3068984517-1000\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Search Page: hxxp://home.microsoft.com/access/allinone.asp
      Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start page: hxxp://fr.msn.com/

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

      Tabs: hxxp://ieframe.dll/tabswelcome.htm

      +---------------------------------------------------------------------------+

      2717 Byte(s) - C:\Ad-Report-Clean-25.03.2009.log
      4403 Byte(s) - C:\Ad-Report-Scan-24.03.2009.log

      2 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
      0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

      End at: 11:25:40 | 25/03/2009
      .
      +-----------------| E.O.F - 61 Lines
      .
      0
  9. kaali
     
    Faut-il que je désinstalle tous les utilitaires?
    0
  10. gen-hackman
     
    non ca sera fait a la fin

    tu as fait la desinstall de AD-Remover (option 3) ?

    pour toolbar SD supprime-le , desactive toutes tes protections(antivirus antispyware etc...)

    retelecharge-le et reessaie
    0
  11. kaali
     
    Pour ad-remover je l'ai bien désinstaller mais pour toolbarSD c'est toujours la même situation, je reçois encore le message
    0
  12. gen-hackman
     
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
    0
  13. kaali
     
    le log.txt:
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by claudy at 2009-03-25 13:28:37
    Microsoft® Windows Vista™ Édition Familiale Premium
    System drive C: has 61 GB (66%) free of 92 GB
    Total RAM: 1918 MB (70% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:29:10, on 25/03/2009
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v8.00 (8.00.6001.18372)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\s3trayp.exe
    C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
    C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
    C:\Users\claudy\Desktop\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\claudy.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe -chkautorun
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://www.visiogood.com/jalss/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_2_0.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\Windows\system32\IoctlSvc.exe (file missing)
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
    0
  14. kaali
     
    et maintenant l'info.txt
    info.txt logfile of random's system information tool 1.06 2009-03-25 13:29:13

    ======Uninstall list======

    -->C:\PROGRA~1\Yahoo!\Common\unyt_wrap.exe
    -->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\system32\unwlsdrv.exe SiS163u
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A91000000001}
    AnalogX CookieWall-->C:\Program Files\AnalogX\CookieWall\cookieu.exe
    a-squared Free 4.0-->"C:\Program Files\a-squared Free\unins000.exe"
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    AusLogics Disk Defrag-->"C:\Program Files\Auslogics\AusLogics Disk Defrag\unins000.exe"
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
    CamfrogWEB Advanced ActiveX Plugin (remove only)-->"C:\Program Files\CFWebAdvancedU\Uninstall.exe"
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
    COMODO Internet Security-->C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe -u
    DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
    DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
    DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
    DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    Favorit-->c:\users\claudy\appdata\local\syuuouw.bat
    filehippo.com Update Checker-->"C:\Program Files\filehippo.com\uninstall.exe"
    FindyKill-->C:\Program Files\FindyKill\Uninstal.exe
    FirstSteps Diagnostics-->MsiExec.exe /X{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}
    Galerie de photos Windows Live-->MsiExec.exe /X{44E54A81-9D91-4AA1-9417-80AFF134F5FF}
    Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    Google Earth-->MsiExec.exe /X{548EAC70-EE00-11DD-908C-005056806466}
    Hercules DualPix Exchange Webcam-->C:\Program Files\InstallShield Installation Information\{04BEFF7A-DF5D-4E49-AB46-BA3D3BE49FCB}\setup.exe -runfromtemp -l0x040c -removeonly
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
    Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
    Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
    Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
    LiveUpdate 3.2 (Symantec Corporation)-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
    LiveUpdate Notice (Symantec Corporation)-->MsiExec.exe /X{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}
    Ma-Config.com-->MsiExec.exe /X{560BD6E0-0BA6-43AF-B423-E1DF4D2EB3C3}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    MediaCoder 0.7.0-rc1-->C:\Program Files\MediaCoder\uninst.exe
    Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
    Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
    Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
    Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    Nero 7 Essentials-->MsiExec.exe /X{98EFD8F0-08DE-48DB-B922-A2EBAB711036}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
    Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Pegasus Imaging PICVideo Motion JPEG 4.0-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1150\Intel 32\IDriver.exe /M{5E02E45F-FC60-459C-9A5A-E1EB190B6DBD}
    REALTEK RTL8187B Wireless LAN Driver-->C:\Program Files\InstallShield Installation Information\{895722FE-25FE-4854-95AC-B0C42F9DBEDA}\Install.exe -uninst -l0x40C
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
    Spybot - Search & Destroy 1.5.2.20-->"C:\Windows\unins000.exe"
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    SpywareBlaster 4.1-->"C:\Program Files\SpywareBlaster\unins000.exe"
    Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
    SystemDiagnostics-->MsiExec.exe /X{D5A716E5-6E7E-40F8-BB46-6FAEF98FB6FC}
    Unlocker 1.0-->"C:\Program Files\Unlocker\unins000.exe"
    VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
    VIA Chrome9 HC IGP Family Windows Vista Display 7.14.14.0050-->C:\PROGRA~1\S3\Chrome9HC\s3minset.exe /u -log Chrome9HC.uns
    VIA Chrome9 HC IGP Family Windows Vista Display-->C:\Windows\system32\s3minset.exe -uninf -u 'VIA Chrome9 HC IGP Family Windows Vista Display' -ver '05/31/2007, 7.14.14.0010'
    VIA Display Vista Driver 7.14.10.0058-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u -log UChromeP.uns
    VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
    VIA Rhine Family Fast Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA
    Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
    VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Installer Clean Up-->MsiExec.exe /X{121634B0-2F4B-11D3-ADA3-00C04F52DD52}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
    Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
    Windows Live Sync-->MsiExec.exe /X{9C5EB781-0D37-44B8-9A58-77B3E4BF5F5E}
    Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
    Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
    Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
    Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\unyt_wrap.exe

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AV: Avira AntiVir PersonalEdition Classic
    AS: COMODO Defense+
    AS: Spybot - Search and Destroy (disabled)
    AS: Windows Defender

    ======System event log======

    Computer Name: PC-de-claudy
    Event Code: 4001
    Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

    Record Number: 208867
    Source Name: Microsoft-Windows-WLAN-AutoConfig
    Time Written: 20090325114641.952292-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-claudy
    Event Code: 1003
    Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 003005DAF819. Il s'est produit l'erreur suivante :
    L'opération a été annulée par l'utilisateur.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).
    Record Number: 208878
    Source Name: Microsoft-Windows-Dhcp-Client
    Time Written: 20090325114755.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-claudy
    Event Code: 7000
    Message: Le service PLFlash DeviceIoControl Service n'a pas pu démarrer en raison de l'erreur :
    Le fichier spécifié est introuvable.
    Record Number: 208921
    Source Name: Service Control Manager
    Time Written: 20090325114822.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-claudy
    Event Code: 7001
    Message: Le service Service Partage réseau du Lecteur Windows Media dépend du service Hôte de périphérique UPnP qui n'a pas pu démarrer en raison de l'erreur :
    Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
    Record Number: 208953
    Source Name: Service Control Manager
    Time Written: 20090325114921.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-claudy
    Event Code: 7001
    Message: Le service Service Partage réseau du Lecteur Windows Media dépend du service Hôte de périphérique UPnP qui n'a pas pu démarrer en raison de l'erreur :
    Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
    Record Number: 208957
    Source Name: Service Control Manager
    Time Written: 20090325115026.000000-000
    Event Type: Erreur
    User:

    =====Application event log=====

    Computer Name: PC-de-claudy
    Event Code: 6000
    Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
    Record Number: 44304
    Source Name: Microsoft-Windows-Winlogon
    Time Written: 20090325103309.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-claudy
    Event Code: 6000
    Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
    Record Number: 44307
    Source Name: Microsoft-Windows-Winlogon
    Time Written: 20090325103309.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-claudy
    Event Code: 1000
    Message: Application défaillante findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, module défaillant findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, code d’exception 0xc0000005, décalage d’erreur 0x0000410d, ID du processus 0xb84, heure de début de l’application 0x01c9ad394ade4fb2.
    Record Number: 44334
    Source Name: Application Error
    Time Written: 20090325110644.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-claudy
    Event Code: 1000
    Message: Application défaillante findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, module défaillant findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, code d’exception 0xc0000005, décalage d’erreur 0x0000410d, ID du processus 0xe14, heure de début de l’application 0x01c9ad40959be260.
    Record Number: 44386
    Source Name: Application Error
    Time Written: 20090325115855.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-claudy
    Event Code: 1000
    Message: Application défaillante findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, module défaillant findstr.exe, version 6.0.6000.16386, horodatage 0x4549ad0e, code d’exception 0xc0000005, décalage d’erreur 0x0000410d, ID du processus 0x904, heure de début de l’application 0x01c9ad41f32ee209.
    Record Number: 44387
    Source Name: Application Error
    Time Written: 20090325120843.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: PC-de-claudy
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 32149
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20081214133821.796441-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-claudy
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CLAUDY$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-17
    Nom du compte : IUSR
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e3
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x8fc
    Nom du processus : C:\Windows\System32\svchost.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 32150
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20081214133822.171441-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-claudy
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-17
    Nom du compte : IUSR
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e3

    Privilèges : SeImpersonatePrivilege
    Record Number: 32151
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20081214133822.171441-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-claudy
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-0-0
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 3

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-7
    Nom du compte : ANONYMOUS LOGON
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x4444f
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x0
    Nom du processus : -

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : NtLmSsp
    Package d’authentification : NTLM
    Services en transit : -
    Nom du package (NTLM uniquement) : NTLM V1
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 32152
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20081214133823.718316-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-claudy
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CLAUDY$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x244
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 32153
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20081214135257.567013-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 76 Stepping 2, AuthenticAMD
    "PROCESSOR_REVISION"=4c02
    "NUMBER_OF_PROCESSORS"=1

    -----------------EOF-----------------
    0
  15. gen-hackman
     
    Télécharge Navilog1 depuis-ce lien

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.

    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Au menu principal, Fais le choix 1 >> Recherche
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... *** >>>>> Le fix peut durer une dizaine de minutes ;)
    Appuie sur une touche le bloc note va s'ouvrir.
    Copie-colle le rapport ici.
    0
  16. kaali
     
    Search Navipromo version 3.7.6 commencé le 25/03/2009 à 15:09:08,09

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Mobile AMD Sempron(tm) Processor 3600+ )
    BIOS : BIOS Version 8.2-0023-M007
    USER : claudy ( Not Administrator ! )
    BOOT : Fail-safe boot

    Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

    C:\ (Local Disk) - NTFS - Total:90 Go (Free:59 Go)
    D:\ (Local Disk) - NTFS - Total:45 Go (Free:44 Go)
    E:\ (CD or DVD)

    Recherche executé en mode sans échec

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "" ***

    *** Recherche dossiers dans "C:\Users\claudy\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\claudy\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\InvitÚ\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\claudy\AppData\Roaming" ***

    *** Recherche dossiers dans "C:\Users\Invité\" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\claudy\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\claudy\AppData\Local\virtualstore\windows\system32" *

    * Recherche dans "C:\Users\claudy\AppData\Local" *

    * Recherche dans "C:\Users\InvitÚ\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    HKEY_CURRENT_USER\Software\Lanconfig

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\claudy\AppData\Local\Microsoft" :

    * Dans "C:\Users\claudy\AppData\Local\virtualstore\windows\system32" :

    * Dans "C:\Users\claudy\AppData\Local" :

    * Dans "C:\Users\InvitÚ\AppData\Local" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le 25/03/2009 à 15:28:58,70 ***
    0
  17. gen-hackman
     
    Ton ordinateur est infecté par MagicControl/navipromo, qui s'installe via des programmes dits "gratuits", dont ceux-ci :

    * go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Officiale Emule (Version d'Emule modifiée)
    * Sudoplanet
    * Webmediaplayer
    * Sur le site www.games-desktop.com (n'allez pas dessus!!)
    * BitDownload
    * BitGrabber
    * BitRoll
    * MessengerPlus! 3 sous le nom de sponsors
    * Messenger Plus! Live sous le nom de sponsors
    * NetPumper
    * TorrentQ
    * Torrent101

    Pour désinfecter, merci de suivre exactement cette procédure :

    # Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection) :
    - Va dans démarrer puis panneau de configuration
    - Double clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur activer ou désactiver le controle des comptes utilisateur
    - Décoche la case "utiliser le contrôle....." puis valide
    - Redémarre l'ordinateur

    # Si tu as Spybot, désactive le TeaTimer de Spybot (tu le réactiveras après ta désinfection) :
    Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer

    # Relance Navilog en faisant un clic-droit sur le raccourci Navilog présent sur ton bureau et en choisissant "Exécuter en tant qu'administrateur"

    Au menu principal, choisis 2 et valide.
    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***

    Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.
    0
    1. kaali
       
      bonjour,
      j'espère que tu te souviens de moi, comme tu me l'as demandé j'ai fait le scan toolbarSD et je t'ai collé le rapport, j'espère que tu l'as reçu car pour ceci j'ai du laisser tourner l'ordi un après-midi en mode sans echec.
      je reviens à la charge parce que je ne sais quoi faire de l'arsenal de logiciels que j'ai sur mon Pc.
      0
    2. kaali
       
      as tu reçu le rapport rsit?
      0
    3. kaali
       
      je suis connecté en wifi, cela a t'il quelque chose a voir?
      0
  18. kaali
     
    Clean Navipromo version 3.7.6 commencé le 25/03/2009 à 17:16:26,17

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Mobile AMD Sempron(tm) Processor 3600+ )
    BIOS : BIOS Version 8.2-0023-M007
    USER : claudy ( Not Administrator ! )
    BOOT : Normal boot

    Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

    C:\ (Local Disk) - NTFS - Total:90 Go (Free:59 Go)
    D:\ (Local Disk) - NTFS - Total:45 Go (Free:44 Go)
    E:\ (CD or DVD)

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage exécuté au redémarrage de l'ordinateur

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\Windows\System32" *

    * Suppression dans "C:\Users\claudy\AppData\Local\Microsoft" *

    * Suppression dans "C:\Users\claudy\AppData\Local\virtualstore\windows\system32" *

    * Suppression dans "C:\Users\claudy\AppData\Local" *

    * Suppression dans "C:\Users\Invité\AppData\Local" *

    *** Suppression dossiers dans "C:\Windows" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Suppression dossiers dans "C:\ProgramData" ***

    *** Suppression dossiers dans ***

    *** Suppression dossiers dans "C:\Users\Invité\" ***

    *** Suppression dossiers dans "C:\Users\claudy\AppData\Local\virtualstore\Program Files" ***

    *** Suppression dossiers dans "C:\Users\claudy\AppData\Local" ***

    *** Suppression dossiers dans "C:\Users\InvitÚ\AppData\Local" ***

    *** Suppression dossiers dans "C:\Users\claudy\AppData\Roaming" ***

    *** Suppression dossiers dans "C:\Users\InvitÚ\" ***

    *** Suppression fichiers ***

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\Windows\Temp effectué !
    Nettoyage contenu C:\Users\claudy\AppData\Local\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\Windows\system32" *

    * Dans "C:\Users\claudy\AppData\Local\Microsoft" *

    * Dans "C:\Users\claudy\AppData\Local\virtualstore\windows\system32" *

    * Dans "C:\Users\claudy\AppData\Local" *

    * Dans "C:\Users\InvitÚ\AppData\Local" *

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Recherche autres dossiers et fichiers connus ***

    *** Nettoyage terminé le 25/03/2009 à 17:33:37,57 ***
    0
  19. gen-hackman
     
    Ad-Remover n'a pas été executé comme demandé

    Retélécharge-le

    et suis bien a la lettre TOUT CE POST

    une fois la redésinstallation de AD-Remover accomplie comme indiquée :

    Télécharge HostXpert sur ton Bureau :

    ---> Décompresse-le (Clic droit >> Extraire ici)

    ---> Double-clique sur HostsXpert pour le lancer

    ---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

    PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

    s'il est fermé , clique dessus :)

    ensuite :

    ==> Télécharge OAD (de Laur3n7!)

    - Enregistre le sur ton bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : f
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

    ensuite :

    Télécharge DAFT ! :

    * Sauvegarde-le sur ton Bureau.
    * Dézippe le dossier le contenant (clic droit , extraire ici)
    * Double-clique sur l'icône de DAFT se trouvant dans son dossier dézippé, présent sur ton bureau.
    * Clique sur le bouton Scan.
    * Sélectionne tout ce qui apparaît.
    * Clique sur le bouton Fix.
    * Ensuite relance DAFT. Si tout est OK, un message du type "All associations are OK" devrait apparaître.
    * Ferme DAFT.

    ensuite :

    relance rsit

    (si tu as eu des soucis pendant cette étape , signale-le)
    0
  • 1
  • 2
  • 3