Sujet Précédent Sujet Suivant

TrojanDownloader:Win32/Renos.IO

Fermé
Bugg64 - 15 juin 2009 à 23:53
 Bugg64 - 15 juin 2009 à 23:55
Bonjour,

Comme dans un autre post (mais marqué [résolu], c'est pour cette raison que j'en ouvre un autre...), je me trouve face à ce trojan.
Pour un raison que j'ignore, Anti-Malware (mbam) et Hijackthis ne fonctionnent (ils plantent dès le lancement...). Sur les conseils de Guillaume5188, j'ai pu lancé RSIT dont voici le log.
En esperant que quelqu'un pourra me donner une piste,
Cordialement,

++++++++++++++++++++++++++

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pat at 2009-06-15 23:24:24
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 208 GB (44%) free of 477 GB
Total RAM: 3325 MB (65% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows\tasks\Ad-Aware Update (Weekly).job
C:\Windows\tasks\GoogleUpdateTaskMachine.job
C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Program Files\AVG\AVG8\avgssie.dll [2009-05-20 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"toolbar_eula_launcher"=C:\Program Files\GoogleEULA\EULALauncher.exe []
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-05-20 1947928]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"Zboard"=C:\Program Files\Ideazon\ZEngine\Zboard.exe [2008-06-27 53248]
"Ulead AutoDetector v2"=C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe [2004-11-26 90112]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-05-16 13535776]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-05-16 92704]
"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2008-05-28 570664]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-01-05 413696]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"DAEMON Tools Lite"=C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-04-01 486856]
"TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [2009-04-24 251240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
NewShortcut2.lnk - C:\Windows\Installer\{548C7B77-8B04-427E-ACD0-D0E6E6E59BCF}\NewShortcut2_548C7B778B04427EACD0D0E6E6E59BCF.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"="C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"="C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33877db6-09a0-11de-bd92-001d9248beb2}]
shell\AutoRun\command - M:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6b31c01-2d92-11dd-a103-001d9248beb2}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe


======List of files/folders created in the last 2 months======

2009-06-15 23:24:24 ----D---- C:\rsit
2009-06-15 23:24:24 ----D---- C:\Program Files\trend micro
2009-06-15 23:00:46 ----D---- C:\Users\Pat\AppData\Roaming\Hyperionics
2009-06-15 19:59:50 ----D---- C:\ProgramData\Malwarebytes
2009-06-15 19:59:50 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-14 17:23:25 ----A---- C:\Users\Pat\AppData\Roaming\SetValue.bat
2009-06-14 17:23:25 ----A---- C:\Users\Pat\AppData\Roaming\GetValue.vbs
2009-06-14 17:23:24 ----A---- C:\Windows\system32\tmp.txt
2009-06-14 17:23:14 ----A---- C:\rapport.txt
2009-06-14 17:22:34 ----D---- C:\Windows\system32\SmitfraudFix
2009-06-14 13:28:46 ----D---- C:\PC_Hijacking
2009-06-14 13:12:10 ----SHD---- C:\Config.Msi
2009-06-14 11:38:48 ----DC---- C:\Windows\system32\DRVSTORE
2009-06-14 11:37:37 ----D---- C:\ProgramData\Lavasoft
2009-06-14 11:01:44 ----A---- C:\Windows\ntbtlog.txt
2009-06-13 17:33:13 ----A---- C:\Windows\system32\psisdecd.dll
2009-06-13 17:33:13 ----A---- C:\Windows\system32\EncDec.dll
2009-06-11 20:56:00 ----A---- C:\Windows\system32\localspl.dll
2009-06-11 20:55:57 ----A---- C:\Windows\system32\rpcrt4.dll
2009-06-11 20:55:54 ----A---- C:\Windows\system32\mshtml.dll
2009-06-11 20:55:52 ----A---- C:\Windows\system32\ieframe.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\wininet.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\urlmon.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\occache.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-11 20:55:51 ----A---- C:\Windows\system32\iertutil.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieencode.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-11 20:55:50 ----A---- C:\Windows\system32\mstime.dll
2009-06-11 20:55:50 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-09 23:45:11 ----D---- C:\Users\Pat\AppData\Roaming\Media Player Classic
2009-06-09 23:42:26 ----A---- C:\Windows\system32\unrar.dll
2009-06-09 23:42:25 ----A---- C:\Windows\avisplitter.ini
2009-06-09 23:42:24 ----A---- C:\Windows\system32\yv12vfw.dll
2009-06-09 23:42:24 ----A---- C:\Windows\system32\xvidvfw.dll
2009-06-09 23:42:24 ----A---- C:\Windows\system32\xvidcore.dll
2009-06-09 23:42:23 ----D---- C:\Program Files\K-Lite Codec Pack
2009-06-09 23:37:48 ----D---- C:\Program Files\FLVCodec
2009-06-09 23:37:35 ----D---- C:\Program Files\WinPcap
2009-06-09 17:31:20 ----AD---- C:\ProgramData\TEMP
2009-06-09 17:31:18 ----D---- C:\Fraps
2009-05-31 23:25:19 ----A---- C:\Windows\system32\spr32d35.dll
2009-05-31 23:21:08 ----D---- C:\Program Files\Architecte_3D_Silver_Advanced
2009-05-30 19:51:16 ----D---- C:\Program Files\Tomtomax Maxi-Box
2009-05-24 00:13:40 ----D---- C:\ProgramData\TomTom
2009-05-24 00:13:26 ----D---- C:\Users\Pat\AppData\Roaming\TomTom
2009-05-24 00:13:12 ----D---- C:\Program Files\TomTom International B.V
2009-05-24 00:12:58 ----D---- C:\Program Files\TomTom HOME 2
2009-05-24 00:10:55 ----D---- C:\Program Files\TomTom DesktopSuite
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx16.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx11.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx0c.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx0a.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx07.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\DivX.dll
2009-04-29 21:51:36 ----D---- C:\Program Files\Common Files\INCA Shared
2009-04-29 21:30:57 ----A---- C:\Windows\system32\d3dx10_40.dll
2009-04-29 21:30:57 ----A---- C:\Windows\system32\D3DCompiler_40.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\XAudio2_3.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\XAPOFX1_2.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\xactengine3_3.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\D3DX9_40.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\XAudio2_2.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\XAPOFX1_1.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\xactengine3_2.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\X3DAudio1_5.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\d3dx10_39.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\D3DCompiler_39.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\XAudio2_1.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\XAPOFX1_0.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\xactengine3_1.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\X3DAudio1_4.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\D3DX9_39.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\D3DX9_38.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\d3dx10_38.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\D3DCompiler_38.dll
2009-04-29 00:20:04 ----D---- C:\Program Files\Ê¢´óÍøÂç
2009-04-24 22:52:29 ----D---- C:\Program Files\Common Files\DivX Shared
2009-04-17 19:22:10 ----D---- C:\ProgramData\Apple
2009-04-17 19:22:10 ----D---- C:\Program Files\Apple Software Update
2009-04-17 10:59:26 ----A---- C:\Windows\system32\winhttp.dll
2009-04-17 10:59:21 ----A---- C:\Windows\system32\xolehlp.dll
2009-04-17 10:59:21 ----A---- C:\Windows\system32\msdtcprx.dll
2009-04-17 10:59:03 ----A---- C:\Windows\system32\rpcss.dll
2009-04-17 10:59:03 ----A---- C:\Windows\system32\ntoskrnl.exe
2009-04-17 10:59:03 ----A---- C:\Windows\system32\ntkrnlpa.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\sdohlp.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\printfilterpipelinesvc.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\printfilterpipelineprxy.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasrecst.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iashost.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasdatastore.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasads.dll
2009-04-17 10:58:55 ----A---- C:\Windows\system32\lsasrv.dll
2009-04-17 10:58:55 ----A---- C:\Windows\system32\kernel32.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\secur32.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\apilogen.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\amxread.dll

======List of files/folders modified in the last 2 months======

2009-06-15 23:24:24 ----RD---- C:\Program Files
2009-06-15 23:24:15 ----D---- C:\Windows\Temp
2009-06-15 23:23:45 ----HD---- C:\$AVG8.VAULT$
2009-06-15 23:00:00 ----D---- C:\Windows\Tasks
2009-06-15 22:25:40 ----D---- C:\Windows\System32
2009-06-15 22:25:40 ----D---- C:\Windows\inf
2009-06-15 22:25:40 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-15 22:23:16 ----D---- C:\Windows\system32\WDI
2009-06-15 22:23:04 ----D---- C:\ProgramData\avg8
2009-06-15 22:06:39 ----D---- C:\Windows\system32\Tasks
2009-06-15 19:59:51 ----D---- C:\Windows\system32\drivers
2009-06-15 19:59:50 ----HD---- C:\ProgramData
2009-06-14 15:10:35 ----D---- C:\Windows\Minidump
2009-06-14 15:10:27 ----D---- C:\Windows
2009-06-14 13:12:11 ----SHD---- C:\Windows\Installer
2009-06-14 13:10:39 ----SD---- C:\Windows\Downloaded Program Files
2009-06-14 11:41:38 ----D---- C:\Windows\system32\catroot2
2009-06-14 11:38:48 ----D---- C:\Windows\system32\catroot
2009-06-14 11:37:34 ----D---- C:\Windows\winsxs
2009-06-14 11:21:04 ----SHD---- C:\System Volume Information
2009-06-13 18:34:19 ----D---- C:\Windows\ehome
2009-06-13 08:27:27 ----D---- C:\Warhammer Online - Age of Reckoning
2009-06-12 17:10:04 ----D---- C:\Program Files\Internet Explorer
2009-06-07 17:49:06 ----D---- C:\Users\Pat\AppData\Roaming\Vso
2009-06-04 21:13:35 ----D---- C:\Program Files\DivX
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe
2009-05-24 00:13:28 ----D---- C:\Users\Pat\AppData\Roaming\Mozilla
2009-05-20 10:01:08 ----A---- C:\Windows\system32\avgrsstx.dll
2009-05-12 23:19:12 ----D---- C:\Program Files\Windows Mail
2009-05-06 14:40:13 ----SD---- C:\Users\Pat\AppData\Roaming\Microsoft
2009-05-06 12:51:37 ----D---- C:\Users\Pat\AppData\Roaming\dvdcss
2009-04-29 21:51:36 ----D---- C:\Program Files\Common Files
2009-04-29 21:30:38 ----RSD---- C:\Windows\assembly
2009-04-29 21:29:10 ----D---- C:\Windows\Logs
2009-04-24 22:54:03 ----D---- C:\Program Files\Google
2009-04-18 08:51:25 ----D---- C:\Windows\system32\wbem
2009-04-18 08:51:24 ----D---- C:\Windows\system32\manifeststore
2009-04-18 08:51:24 ----D---- C:\Windows\AppPatch

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-05-20 325896]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-05-20 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-05-20 108552]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS Compatible Transport Protocol; C:\Windows\system32\DRIVERS\nwlnkipx.sys [2007-02-17 88448]
R3 Alpham1;Ideazon ZBoard USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham1.sys [2007-07-23 42624]
R3 Alpham2;Ideazon ZBoard MM USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham2.sys [2007-03-20 18432]
R3 bcgame;Nostromo HID Device Minidriver; C:\Windows\system32\drivers\bcgame.sys [2007-08-14 23040]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2007-04-13 228224]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-05-16 7465312]
R3 pcouffin;VSO Software pcouffin; C:\Windows\System32\Drivers\pcouffin.sys [2008-06-01 47360]
R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 3xHybrid;Philips SAA713x PCI Card; C:\Windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
S3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-01-26 705536]
S3 athrusb;Atheros Wireless LAN USB device driver; C:\Windows\system32\DRIVERS\athrusb.sys [2006-12-22 449536]
S3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys []
S3 aujlopip;aujlopip; C:\Windows\system32\drivers\aujlopip.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NPF;NetGroup Packet Filter Driver; C:\Windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card; C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]
S3 XUIF;X10 USB Wireless Transceiver; C:\Windows\System32\Drivers\x10ufx2.sys [2006-11-30 27416]
S4 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2007-07-12 305176]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg8emc;AVG8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-05-20 908568]
R2 avg8wd;AVG8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-05-20 298776]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-05-16 118784]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 TomTomHOMEService;TomTomHOMEService; C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-24 92008]
S2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-08-13 610304]
S2 gupdate1c9c51e9c104af0;Service Google Update (gupdate1c9c51e9c104af0); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-04-24 133104]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2008-04-08 800040]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2008-01-22 275752]
S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-15 2722845]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Program Files\WinPcap\rpcapd.exe [2007-11-06 92792]

-----------------EOF-----------------

1 réponse

Réponse 1 / 1
Bugg64
15 juin 2009 à 23:55
Re_bonsoir,
Comme il était suggéré dans l'autre post, je joins également le fichier info.txt
Merci de votre aide.


++++++++++++++++++++++++++++++++++
info.txt logfile of random's system information tool 1.06 2009-06-15 23:24:25

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Architecte 3D Silver Advanced-->C:\PROGRA~1\ARCHIT~1\UNWISE.EXE C:\PROGRA~1\ARCHIT~1\INSTALL.LOG
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
AVG Free 8.5-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
Ciel Comptes Personnels 6.0-->MsiExec.exe /I{04660D14-69E6-4585-95AF-5C96C0D624BF}
ConvertXtoDVD 3.5.3.139-->"C:\Program Files\VSO\ConvertX\3\unins000.exe"
DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Audio Extractor 4.4.1-->"C:\Program Files\DVD Audio Extractor\unins000.exe"
EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
Fraps (remove only)-->"C:\Fraps\uninstall.exe"
GameShadow-->MsiExec.exe /I{B2390904-74BD-48AA-B2CC-6612F8D46379}
Google Chrome-->"C:\Program Files\Google\Chrome\Application\2.0.172.31\Installer\setup.exe" --uninstall --system-level
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HyperSnap-DX-->C:\Windows\UnHSDX.bat
Intel(R) PRO Network Connections 12.1.12.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
Intel(R) PRO Network Connections 12.1.12.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
K-Lite Mega Codec Pack 4.2.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Logitech Harmony Remote Software 7-->C:\Program Files\InstallShield Installation Information\{5C6F884D-680C-448B-B4C9-22296EE1B206}\setup.exe -runfromtemp -l0x040c -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.14)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mp3tag v2.42-->C:\Program Files\Mp3tag\Mp3tagUninstall.EXE
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Essentials-->MsiExec.exe /X{98EFD8F0-08DE-48DB-B922-A2EBAB711036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nostromo-->MsiExec.exe /X{548C7B77-8B04-427E-ACD0-D0E6E6E59BCF}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
ÓÀºãÖ®Ëþ-->C:\Program Files\Ê¢´óÍøÂç\ÓÀºãÖ®Ëþ\uninst.exe
OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74}
Pamus MP3 Recorder 1.02-->"C:\Program Files\Pamus MP3 Recorder\unins000.exe"
PlayFLV-->"C:\Program Files\FLVCodec\uninstall.exe"
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Remote Control USB Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8471021C-F529-43DE-84DF-3612E10F58C4}\setup.exe" -l0x9 -removeonly
Silent Hunter 4 Wolves of the Pacific-->C:\Program Files\InstallShield Installation Information\{0D005F09-A5F4-473B-A901-5735C6AF5628}\Setup.exe -runfromtemp -l0x040c -removeonly
Silent Hunter III-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{9720C029-0C2C-4D1E-9DE0-E89971C4C8C7} /l1033
SPORE™-->"C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -runfromtemp -l0x040c -removeonly
Starcraft-->C:\Windows\SCunin.exe C:\Windows\SCunin.dat
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TomTom HOME 2.6.3.1609-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
TomTom HOME Visual Studio Merge Modules-->MsiExec.exe /I{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}
Tomtomax Maxi-Box V2.0.11-->"C:\Program Files\Tomtomax Maxi-Box\unins000.exe"
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\Setup.exe" -l0x9
Ulead PhotoImpact 5-->C:\Windows\ISUninst.exe -f"C:\Program Files\Ulead Systems\Ulead PhotoImpact 5\Uninst.isu" -c"C:\Program Files\Ulead Systems\Ulead PhotoImpact 5\IS32Inst.dll"
Ulead PhotoImpact 8 ESD-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F101C58C-15CC-42B3-83D1-536CFB960634}
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6h-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Warhammer Online: Age of Reckoning-->"C:\Warhammer Online - Age of Reckoning\unins000.exe"
WinPcap 4.0.2-->C:\Program Files\WinPcap\uninstall.exe
Z Engine-->MsiExec.exe /X{67AEBC24-2D41-4E40-969C-0A6C6718856A}

======Security center information======

AV: AVG Anti-Virus Free
AS: AVG Anti-Virus Free (disabled)
AS: Windows Defender (disabled)

======System event log======

Computer Name: VistaPat
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 164973
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090615202115.305416-000
Event Type: Erreur
User:

Computer Name: VistaPat
Event Code: 2504
Message: Le serveur n'a pas pu se lier au transport \Device\NwlnkIpx_{E706910F-3E03-4D69-A6B3-31E179531A76}.
Record Number: 164974
Source Name: Server
Time Written: 20090615202121.000000-000
Event Type: Avertissement
User:

Computer Name: VistaPat
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:Win32/Renos.IO&threatid=141908
ID d’analyse : {6C31BD5F-26B6-49A4-AB6A-121C64E20E7B}
Utilisateur : VISTAPAT\Pat
Nom : TrojanDownloader:Win32/Renos.IO
ID : 141908
ID de gravité : 4
ID de catégorie : 4
Chemin d’accès trouvé : process:pid:5428
Type d’alerte : Logiciel espion ou autre logiciel non désiré
Type de détection : Heuristiques
Record Number: 165068
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090615210002.000000-000
Event Type: Avertissement
User:

Computer Name: VistaPat
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
Non applicable
ID d’analyse : {6ABDFD2D-A8DE-4425-855C-54F58ED944DA}
Utilisateur : VISTAPAT\Pat
Nom : Unknown
ID :
ID de gravité :
ID de catégorie :
Chemin d’accès trouvé : file:C:\Windows\temp\4567412.tmp;file:C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job;taskscheduler:C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
Type d’alerte : Logiciel non classifié
Type de détection :
Record Number: 165069
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090615210003.000000-000
Event Type: Avertissement
User:

Computer Name: VistaPat
Event Code: 27
Message: Intel(R) 82566DC-2 Gigabit Network Connection . Le lien a été déconnecté.
Record Number: 165079
Source Name: e1express
Time Written: 20090615212320.050425-000
Event Type: Avertissement
User:

=====Application event log=====

Computer Name: VistaPat
Event Code: 1000
Message: Application défaillante mbam.exe, version 1.37.0.0, horodatage 0x4a1c3007, module défaillant mbam.exe, version 1.37.0.0, horodatage 0x4a1c3007, code d’exception 0x80000003, décalage d’erreur 0x00002dc0, ID du processus 0x1220, heure de début de l’application 0x01c9edf9641cb4a1.
Record Number: 20716
Source Name: Application Error
Time Written: 20090615203934.000000-000
Event Type: Erreur
User:

Computer Name: VistaPat
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

Opération :
Données du rédacteur en cours de collecte

Contexte :
ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
Nom du rédacteur: System Writer
ID d’instance du rédacteur: {68438448-5bb3-4018-802e-6d6f7a94080e}
Record Number: 20719
Source Name: VSS
Time Written: 20090615210057.000000-000
Event Type: Erreur
User:

Computer Name: VistaPat
Event Code: 12290
Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070565. hr = 0x00000000.

Opération :
Événement PrepareForBackup
Événement PrepareForBackup

Contexte :
Contexte d’exécution: ASR Writer
Contexte d’exécution: Writer
ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}
Nom du rédacteur: ASR Writer
ID d’instance du rédacteur: {e66d9cfe-b222-4719-8d56-74ca5865f996}
Record Number: 20720
Source Name: VSS
Time Written: 20090615210109.000000-000
Event Type: Avertissement
User:

Computer Name: VistaPat
Event Code: 16387
Message: Échec de la création du cliché instantané en raison d’une erreur signalée par ASR Writer. Plus d’infos : Le nombre maximal de secrets pouvant être stockés sur un système donné a été dépassé. (0x80070565).
Record Number: 20721
Source Name: SPP
Time Written: 20090615210109.000000-000
Event Type: Erreur
User:

Computer Name: VistaPat
Event Code: 8193
Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\System32\svchost.exe -k secsvcs ; Description = Windows Defender Checkpoint ; Hr = 0x800423f4).
Record Number: 20722
Source Name: System Restore
Time Written: 20090615210109.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: VistaPat
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 59741
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090224190617.534196-000
Event Type: Succès de l'audit
User:

Computer Name: VistaPat
Event Code: 4904
Message: Une tentative d’inscription de la source d’un événement de sécurité a été effectuée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : VISTAPAT$
Domaine du compte : HOMENET
ID d’ouverture de session : 0x3e7

Processus :
ID du processus : 0xc94
Nom du processus : C:\Windows\System32\VSSVC.exe

Source de l’événement :
Nom de la source : VSSAudit
ID de la source de l’événement : 0xc0c60
Record Number: 59742
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090224190804.128996-000
Event Type: Succès de l'audit
User:

Computer Name: VistaPat
Event Code: 4905
Message: Une tentative d’annulation d’inscription de la source d’un événement de sécurité a été effectuée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : VISTAPAT$
Domaine du compte : HOMENET
ID d’ouverture de session : 0x3e7

Processus :
ID du processus : 0xc94
Nom du processus : C:\Windows\System32\VSSVC.exe

Source de l’événement :
Nom de la source : VSSAudit
ID de la source de l’événement : 0xc0c60
Record Number: 59743
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090224190804.128996-000
Event Type: Succès de l'audit
User:

Computer Name: VistaPat
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : VISTAPAT$
Domaine du compte : HOMENET
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x274
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 59744
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090224191146.475796-000
Event Type: Succès de l'audit
User:

Computer Name: VistaPat
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : VISTAPAT$
Domaine du compte : HOMENET
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x274
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 59745
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090224191146.475796-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=1707
"NUMBER_OF_PROCESSORS"=4
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
0

Discussions similaires

Trojan.Malscript!html
doudou -
doudou -

24 réponses