TrojanDownloader:Win32/Renos.IO

Bugg64 -  
 Bugg64 -
Bonjour,

Comme dans un autre post (mais marqué [résolu], c'est pour cette raison que j'en ouvre un autre...), je me trouve face à ce trojan.
Pour un raison que j'ignore, Anti-Malware (mbam) et Hijackthis ne fonctionnent (ils plantent dès le lancement...). Sur les conseils de Guillaume5188, j'ai pu lancé RSIT dont voici le log.
En esperant que quelqu'un pourra me donner une piste,
Cordialement,

++++++++++++++++++++++++++

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pat at 2009-06-15 23:24:24
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 208 GB (44%) free of 477 GB
Total RAM: 3325 MB (65% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows\tasks\Ad-Aware Update (Weekly).job
C:\Windows\tasks\GoogleUpdateTaskMachine.job
C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Program Files\AVG\AVG8\avgssie.dll [2009-05-20 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"toolbar_eula_launcher"=C:\Program Files\GoogleEULA\EULALauncher.exe []
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-05-20 1947928]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"Zboard"=C:\Program Files\Ideazon\ZEngine\Zboard.exe [2008-06-27 53248]
"Ulead AutoDetector v2"=C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe [2004-11-26 90112]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-05-16 13535776]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-05-16 92704]
"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2008-05-28 570664]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-01-05 413696]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"DAEMON Tools Lite"=C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-04-01 486856]
"TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [2009-04-24 251240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
NewShortcut2.lnk - C:\Windows\Installer\{548C7B77-8B04-427E-ACD0-D0E6E6E59BCF}\NewShortcut2_548C7B778B04427EACD0D0E6E6E59BCF.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"="C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"="C:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33877db6-09a0-11de-bd92-001d9248beb2}]
shell\AutoRun\command - M:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6b31c01-2d92-11dd-a103-001d9248beb2}]
shell\AutoRun\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe
shell\open\command - RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe

======List of files/folders created in the last 2 months======

2009-06-15 23:24:24 ----D---- C:\rsit
2009-06-15 23:24:24 ----D---- C:\Program Files\trend micro
2009-06-15 23:00:46 ----D---- C:\Users\Pat\AppData\Roaming\Hyperionics
2009-06-15 19:59:50 ----D---- C:\ProgramData\Malwarebytes
2009-06-15 19:59:50 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-14 17:23:25 ----A---- C:\Users\Pat\AppData\Roaming\SetValue.bat
2009-06-14 17:23:25 ----A---- C:\Users\Pat\AppData\Roaming\GetValue.vbs
2009-06-14 17:23:24 ----A---- C:\Windows\system32\tmp.txt
2009-06-14 17:23:14 ----A---- C:\rapport.txt
2009-06-14 17:22:34 ----D---- C:\Windows\system32\SmitfraudFix
2009-06-14 13:28:46 ----D---- C:\PC_Hijacking
2009-06-14 13:12:10 ----SHD---- C:\Config.Msi
2009-06-14 11:38:48 ----DC---- C:\Windows\system32\DRVSTORE
2009-06-14 11:37:37 ----D---- C:\ProgramData\Lavasoft
2009-06-14 11:01:44 ----A---- C:\Windows\ntbtlog.txt
2009-06-13 17:33:13 ----A---- C:\Windows\system32\psisdecd.dll
2009-06-13 17:33:13 ----A---- C:\Windows\system32\EncDec.dll
2009-06-11 20:56:00 ----A---- C:\Windows\system32\localspl.dll
2009-06-11 20:55:57 ----A---- C:\Windows\system32\rpcrt4.dll
2009-06-11 20:55:54 ----A---- C:\Windows\system32\mshtml.dll
2009-06-11 20:55:52 ----A---- C:\Windows\system32\ieframe.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\wininet.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\urlmon.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\occache.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-11 20:55:51 ----A---- C:\Windows\system32\iertutil.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieencode.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-11 20:55:51 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-11 20:55:50 ----A---- C:\Windows\system32\mstime.dll
2009-06-11 20:55:50 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-09 23:45:11 ----D---- C:\Users\Pat\AppData\Roaming\Media Player Classic
2009-06-09 23:42:26 ----A---- C:\Windows\system32\unrar.dll
2009-06-09 23:42:25 ----A---- C:\Windows\avisplitter.ini
2009-06-09 23:42:24 ----A---- C:\Windows\system32\yv12vfw.dll
2009-06-09 23:42:24 ----A---- C:\Windows\system32\xvidvfw.dll
2009-06-09 23:42:24 ----A---- C:\Windows\system32\xvidcore.dll
2009-06-09 23:42:23 ----D---- C:\Program Files\K-Lite Codec Pack
2009-06-09 23:37:48 ----D---- C:\Program Files\FLVCodec
2009-06-09 23:37:35 ----D---- C:\Program Files\WinPcap
2009-06-09 17:31:20 ----AD---- C:\ProgramData\TEMP
2009-06-09 17:31:18 ----D---- C:\Fraps
2009-05-31 23:25:19 ----A---- C:\Windows\system32\spr32d35.dll
2009-05-31 23:21:08 ----D---- C:\Program Files\Architecte_3D_Silver_Advanced
2009-05-30 19:51:16 ----D---- C:\Program Files\Tomtomax Maxi-Box
2009-05-24 00:13:40 ----D---- C:\ProgramData\TomTom
2009-05-24 00:13:26 ----D---- C:\Users\Pat\AppData\Roaming\TomTom
2009-05-24 00:13:12 ----D---- C:\Program Files\TomTom International B.V
2009-05-24 00:12:58 ----D---- C:\Program Files\TomTom HOME 2
2009-05-24 00:10:55 ----D---- C:\Program Files\TomTom DesktopSuite
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx16.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx11.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx0c.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx0a.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\divx_xx07.dll
2009-05-01 23:02:26 ----A---- C:\Windows\system32\DivX.dll
2009-04-29 21:51:36 ----D---- C:\Program Files\Common Files\INCA Shared
2009-04-29 21:30:57 ----A---- C:\Windows\system32\d3dx10_40.dll
2009-04-29 21:30:57 ----A---- C:\Windows\system32\D3DCompiler_40.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\XAudio2_3.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\XAPOFX1_2.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\xactengine3_3.dll
2009-04-29 21:30:56 ----A---- C:\Windows\system32\D3DX9_40.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\XAudio2_2.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\XAPOFX1_1.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\xactengine3_2.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\X3DAudio1_5.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\d3dx10_39.dll
2009-04-29 21:30:55 ----A---- C:\Windows\system32\D3DCompiler_39.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\XAudio2_1.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\XAPOFX1_0.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\xactengine3_1.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\X3DAudio1_4.dll
2009-04-29 21:30:54 ----A---- C:\Windows\system32\D3DX9_39.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\D3DX9_38.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\d3dx10_38.dll
2009-04-29 21:30:53 ----A---- C:\Windows\system32\D3DCompiler_38.dll
2009-04-29 00:20:04 ----D---- C:\Program Files\Ê¢´óÍøÂç
2009-04-24 22:52:29 ----D---- C:\Program Files\Common Files\DivX Shared
2009-04-17 19:22:10 ----D---- C:\ProgramData\Apple
2009-04-17 19:22:10 ----D---- C:\Program Files\Apple Software Update
2009-04-17 10:59:26 ----A---- C:\Windows\system32\winhttp.dll
2009-04-17 10:59:21 ----A---- C:\Windows\system32\xolehlp.dll
2009-04-17 10:59:21 ----A---- C:\Windows\system32\msdtcprx.dll
2009-04-17 10:59:03 ----A---- C:\Windows\system32\rpcss.dll
2009-04-17 10:59:03 ----A---- C:\Windows\system32\ntoskrnl.exe
2009-04-17 10:59:03 ----A---- C:\Windows\system32\ntkrnlpa.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\sdohlp.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\printfilterpipelinesvc.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\printfilterpipelineprxy.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasrecst.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iashost.exe
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasdatastore.dll
2009-04-17 10:59:02 ----A---- C:\Windows\system32\iasads.dll
2009-04-17 10:58:55 ----A---- C:\Windows\system32\lsasrv.dll
2009-04-17 10:58:55 ----A---- C:\Windows\system32\kernel32.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\secur32.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\apilogen.dll
2009-04-17 10:58:54 ----A---- C:\Windows\system32\amxread.dll

======List of files/folders modified in the last 2 months======

2009-06-15 23:24:24 ----RD---- C:\Program Files
2009-06-15 23:24:15 ----D---- C:\Windows\Temp
2009-06-15 23:23:45 ----HD---- C:\$AVG8.VAULT$
2009-06-15 23:00:00 ----D---- C:\Windows\Tasks
2009-06-15 22:25:40 ----D---- C:\Windows\System32
2009-06-15 22:25:40 ----D---- C:\Windows\inf
2009-06-15 22:25:40 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-15 22:23:16 ----D---- C:\Windows\system32\WDI
2009-06-15 22:23:04 ----D---- C:\ProgramData\avg8
2009-06-15 22:06:39 ----D---- C:\Windows\system32\Tasks
2009-06-15 19:59:51 ----D---- C:\Windows\system32\drivers
2009-06-15 19:59:50 ----HD---- C:\ProgramData
2009-06-14 15:10:35 ----D---- C:\Windows\Minidump
2009-06-14 15:10:27 ----D---- C:\Windows
2009-06-14 13:12:11 ----SHD---- C:\Windows\Installer
2009-06-14 13:10:39 ----SD---- C:\Windows\Downloaded Program Files
2009-06-14 11:41:38 ----D---- C:\Windows\system32\catroot2
2009-06-14 11:38:48 ----D---- C:\Windows\system32\catroot
2009-06-14 11:37:34 ----D---- C:\Windows\winsxs
2009-06-14 11:21:04 ----SHD---- C:\System Volume Information
2009-06-13 18:34:19 ----D---- C:\Windows\ehome
2009-06-13 08:27:27 ----D---- C:\Warhammer Online - Age of Reckoning
2009-06-12 17:10:04 ----D---- C:\Program Files\Internet Explorer
2009-06-07 17:49:06 ----D---- C:\Users\Pat\AppData\Roaming\Vso
2009-06-04 21:13:35 ----D---- C:\Program Files\DivX
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe
2009-05-24 00:13:28 ----D---- C:\Users\Pat\AppData\Roaming\Mozilla
2009-05-20 10:01:08 ----A---- C:\Windows\system32\avgrsstx.dll
2009-05-12 23:19:12 ----D---- C:\Program Files\Windows Mail
2009-05-06 14:40:13 ----SD---- C:\Users\Pat\AppData\Roaming\Microsoft
2009-05-06 12:51:37 ----D---- C:\Users\Pat\AppData\Roaming\dvdcss
2009-04-29 21:51:36 ----D---- C:\Program Files\Common Files
2009-04-29 21:30:38 ----RSD---- C:\Windows\assembly
2009-04-29 21:29:10 ----D---- C:\Windows\Logs
2009-04-24 22:54:03 ----D---- C:\Program Files\Google
2009-04-18 08:51:25 ----D---- C:\Windows\system32\wbem
2009-04-18 08:51:24 ----D---- C:\Windows\system32\manifeststore
2009-04-18 08:51:24 ----D---- C:\Windows\AppPatch

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-05-20 325896]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-05-20 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-05-20 108552]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS Compatible Transport Protocol; C:\Windows\system32\DRIVERS\nwlnkipx.sys [2007-02-17 88448]
R3 Alpham1;Ideazon ZBoard USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham1.sys [2007-07-23 42624]
R3 Alpham2;Ideazon ZBoard MM USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham2.sys [2007-03-20 18432]
R3 bcgame;Nostromo HID Device Minidriver; C:\Windows\system32\drivers\bcgame.sys [2007-08-14 23040]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2007-04-13 228224]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-05-16 7465312]
R3 pcouffin;VSO Software pcouffin; C:\Windows\System32\Drivers\pcouffin.sys [2008-06-01 47360]
R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 3xHybrid;Philips SAA713x PCI Card; C:\Windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
S3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-01-26 705536]
S3 athrusb;Atheros Wireless LAN USB device driver; C:\Windows\system32\DRIVERS\athrusb.sys [2006-12-22 449536]
S3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys []
S3 aujlopip;aujlopip; C:\Windows\system32\drivers\aujlopip.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NPF;NetGroup Packet Filter Driver; C:\Windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card; C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]
S3 XUIF;X10 USB Wireless Transceiver; C:\Windows\System32\Drivers\x10ufx2.sys [2006-11-30 27416]
S4 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2007-07-12 305176]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg8emc;AVG8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-05-20 908568]
R2 avg8wd;AVG8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-05-20 298776]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-05-16 118784]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 TomTomHOMEService;TomTomHOMEService; C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [2009-04-24 92008]
S2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-08-13 610304]
S2 gupdate1c9c51e9c104af0;Service Google Update (gupdate1c9c51e9c104af0); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-04-24 133104]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2008-04-08 800040]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2008-01-22 275752]
S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-15 2722845]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Program Files\WinPcap\rpcapd.exe [2007-11-06 92792]

-----------------EOF-----------------
Configuration: Windows Vista Internet Explorer 7.0
AVG 8.5
Defender

1 réponse

  1. Bugg64
     
    Re_bonsoir,
    Comme il était suggéré dans l'autre post, je joins également le fichier info.txt
    Merci de votre aide.

    ++++++++++++++++++++++++++++++++++
    info.txt logfile of random's system information tool 1.06 2009-06-15 23:24:25

    ======Uninstall list======

    -->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    -->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    -->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
    AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
    Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
    Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Architecte 3D Silver Advanced-->C:\PROGRA~1\ARCHIT~1\UNWISE.EXE C:\PROGRA~1\ARCHIT~1\INSTALL.LOG
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    AVG Free 8.5-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
    Ciel Comptes Personnels 6.0-->MsiExec.exe /I{04660D14-69E6-4585-95AF-5C96C0D624BF}
    ConvertXtoDVD 3.5.3.139-->"C:\Program Files\VSO\ConvertX\3\unins000.exe"
    DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
    DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
    DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
    DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
    DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    DVD Audio Extractor 4.4.1-->"C:\Program Files\DVD Audio Extractor\unins000.exe"
    EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
    Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
    Fraps (remove only)-->"C:\Fraps\uninstall.exe"
    GameShadow-->MsiExec.exe /I{B2390904-74BD-48AA-B2CC-6612F8D46379}
    Google Chrome-->"C:\Program Files\Google\Chrome\Application\2.0.172.31\Installer\setup.exe" --uninstall --system-level
    Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
    Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    HyperSnap-DX-->C:\Windows\UnHSDX.bat
    Intel(R) PRO Network Connections 12.1.12.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
    Intel(R) PRO Network Connections 12.1.12.0-->MsiExec.exe /i{777CA40C-0206-4EF6-A0FC-618BF06BF8D0} ARPREMOVE=1
    Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
    Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
    Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
    K-Lite Mega Codec Pack 4.2.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Logitech Harmony Remote Software 7-->C:\Program Files\InstallShield Installation Information\{5C6F884D-680C-448B-B4C9-22296EE1B206}\setup.exe -runfromtemp -l0x040c -removeonly
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
    Microsoft Office Enterprise 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL
    Microsoft Office Enterprise 2007-->MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE}
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
    Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
    Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
    Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
    Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Mozilla Firefox (2.0.0.14)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    Mp3tag v2.42-->C:\Program Files\Mp3tag\Mp3tagUninstall.EXE
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    Nero 7 Essentials-->MsiExec.exe /X{98EFD8F0-08DE-48DB-B922-A2EBAB711036}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    Nostromo-->MsiExec.exe /X{548C7B77-8B04-427E-ACD0-D0E6E6E59BCF}
    NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
    ÓÀºãÖ®Ëþ-->C:\Program Files\Ê¢´óÍøÂç\ÓÀºãÖ®Ëþ\uninst.exe
    OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74}
    Pamus MP3 Recorder 1.02-->"C:\Program Files\Pamus MP3 Recorder\unins000.exe"
    PlayFLV-->"C:\Program Files\FLVCodec\uninstall.exe"
    QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
    RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    Remote Control USB Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8471021C-F529-43DE-84DF-3612E10F58C4}\setup.exe" -l0x9 -removeonly
    Silent Hunter 4 Wolves of the Pacific-->C:\Program Files\InstallShield Installation Information\{0D005F09-A5F4-473B-A901-5735C6AF5628}\Setup.exe -runfromtemp -l0x040c -removeonly
    Silent Hunter III-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{9720C029-0C2C-4D1E-9DE0-E89971C4C8C7} /l1033
    SPORE™-->"C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -runfromtemp -l0x040c -removeonly
    Starcraft-->C:\Windows\SCunin.exe C:\Windows\SCunin.dat
    System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
    TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
    TomTom HOME 2.6.3.1609-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
    TomTom HOME Visual Studio Merge Modules-->MsiExec.exe /I{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}
    Tomtomax Maxi-Box V2.0.11-->"C:\Program Files\Tomtomax Maxi-Box\unins000.exe"
    Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\Setup.exe" -l0x9
    Ulead PhotoImpact 5-->C:\Windows\ISUninst.exe -f"C:\Program Files\Ulead Systems\Ulead PhotoImpact 5\Uninst.isu" -c"C:\Program Files\Ulead Systems\Ulead PhotoImpact 5\IS32Inst.dll"
    Ulead PhotoImpact 8 ESD-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F101C58C-15CC-42B3-83D1-536CFB960634}
    VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
    VideoLAN VLC media player 0.8.6h-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
    Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
    Warhammer Online: Age of Reckoning-->"C:\Warhammer Online - Age of Reckoning\unins000.exe"
    WinPcap 4.0.2-->C:\Program Files\WinPcap\uninstall.exe
    Z Engine-->MsiExec.exe /X{67AEBC24-2D41-4E40-969C-0A6C6718856A}

    ======Security center information======

    AV: AVG Anti-Virus Free
    AS: AVG Anti-Virus Free (disabled)
    AS: Windows Defender (disabled)

    ======System event log======

    Computer Name: VistaPat
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 164973
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090615202115.305416-000
    Event Type: Erreur
    User:

    Computer Name: VistaPat
    Event Code: 2504
    Message: Le serveur n'a pas pu se lier au transport \Device\NwlnkIpx_{E706910F-3E03-4D69-A6B3-31E179531A76}.
    Record Number: 164974
    Source Name: Server
    Time Written: 20090615202121.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VistaPat
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:Win32/Renos.IO&threatid=141908
    ID d’analyse : {6C31BD5F-26B6-49A4-AB6A-121C64E20E7B}
    Utilisateur : VISTAPAT\Pat
    Nom : TrojanDownloader:Win32/Renos.IO
    ID : 141908
    ID de gravité : 4
    ID de catégorie : 4
    Chemin d’accès trouvé : process:pid:5428
    Type d’alerte : Logiciel espion ou autre logiciel non désiré
    Type de détection : Heuristiques
    Record Number: 165068
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20090615210002.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VistaPat
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {6ABDFD2D-A8DE-4425-855C-54F58ED944DA}
    Utilisateur : VISTAPAT\Pat
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : file:C:\Windows\temp\4567412.tmp;file:C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job;taskscheduler:C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 165069
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20090615210003.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VistaPat
    Event Code: 27
    Message: Intel(R) 82566DC-2 Gigabit Network Connection . Le lien a été déconnecté.
    Record Number: 165079
    Source Name: e1express
    Time Written: 20090615212320.050425-000
    Event Type: Avertissement
    User:

    =====Application event log=====

    Computer Name: VistaPat
    Event Code: 1000
    Message: Application défaillante mbam.exe, version 1.37.0.0, horodatage 0x4a1c3007, module défaillant mbam.exe, version 1.37.0.0, horodatage 0x4a1c3007, code d’exception 0x80000003, décalage d’erreur 0x00002dc0, ID du processus 0x1220, heure de début de l’application 0x01c9edf9641cb4a1.
    Record Number: 20716
    Source Name: Application Error
    Time Written: 20090615203934.000000-000
    Event Type: Erreur
    User:

    Computer Name: VistaPat
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {68438448-5bb3-4018-802e-6d6f7a94080e}
    Record Number: 20719
    Source Name: VSS
    Time Written: 20090615210057.000000-000
    Event Type: Erreur
    User:

    Computer Name: VistaPat
    Event Code: 12290
    Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070565. hr = 0x00000000.

    Opération :
    Événement PrepareForBackup
    Événement PrepareForBackup

    Contexte :
    Contexte d’exécution: ASR Writer
    Contexte d’exécution: Writer
    ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}
    Nom du rédacteur: ASR Writer
    ID d’instance du rédacteur: {e66d9cfe-b222-4719-8d56-74ca5865f996}
    Record Number: 20720
    Source Name: VSS
    Time Written: 20090615210109.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VistaPat
    Event Code: 16387
    Message: Échec de la création du cliché instantané en raison d’une erreur signalée par ASR Writer. Plus d’infos : Le nombre maximal de secrets pouvant être stockés sur un système donné a été dépassé. (0x80070565).
    Record Number: 20721
    Source Name: SPP
    Time Written: 20090615210109.000000-000
    Event Type: Erreur
    User:

    Computer Name: VistaPat
    Event Code: 8193
    Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\System32\svchost.exe -k secsvcs ; Description = Windows Defender Checkpoint ; Hr = 0x800423f4).
    Record Number: 20722
    Source Name: System Restore
    Time Written: 20090615210109.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: VistaPat
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 59741
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090224190617.534196-000
    Event Type: Succès de l'audit
    User:

    Computer Name: VistaPat
    Event Code: 4904
    Message: Une tentative d’inscription de la source d’un événement de sécurité a été effectuée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : VISTAPAT$
    Domaine du compte : HOMENET
    ID d’ouverture de session : 0x3e7

    Processus :
    ID du processus : 0xc94
    Nom du processus : C:\Windows\System32\VSSVC.exe

    Source de l’événement :
    Nom de la source : VSSAudit
    ID de la source de l’événement : 0xc0c60
    Record Number: 59742
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090224190804.128996-000
    Event Type: Succès de l'audit
    User:

    Computer Name: VistaPat
    Event Code: 4905
    Message: Une tentative d’annulation d’inscription de la source d’un événement de sécurité a été effectuée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : VISTAPAT$
    Domaine du compte : HOMENET
    ID d’ouverture de session : 0x3e7

    Processus :
    ID du processus : 0xc94
    Nom du processus : C:\Windows\System32\VSSVC.exe

    Source de l’événement :
    Nom de la source : VSSAudit
    ID de la source de l’événement : 0xc0c60
    Record Number: 59743
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090224190804.128996-000
    Event Type: Succès de l'audit
    User:

    Computer Name: VistaPat
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : VISTAPAT$
    Domaine du compte : HOMENET
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x274
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 59744
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090224191146.475796-000
    Event Type: Succès de l'audit
    User:

    Computer Name: VistaPat
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : VISTAPAT$
    Domaine du compte : HOMENET
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x274
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 59745
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090224191146.475796-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\DivX Shared\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 7, GenuineIntel
    "PROCESSOR_REVISION"=1707
    "NUMBER_OF_PROCESSORS"=4
    "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

    -----------------EOF-----------------
    0