ieudinit and CO

Question

Bonjour,

Je me permets de vous solliciter car actuellement il me semble que certains fichiers se sont glissés dans ma machine.

Sur ma cession actuelle il s'agit de "ieudinit.exe". Au prochain boot un autre fichier avec un nom différent va apparaitre. Et ainsi de suite. Cela ressemble à une infection, toutefois je fais appel à vous pour en avoir le coeur net.

Comment dois-je procéder pour vérifier tout cela ?

Merci pour votre attention.

Destrio5 · Answer

Bonjour,

Oui, c'est bien une infection.

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
--> Coche également les cases à côté de LOP Check et Purity Check.
--> Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie ce lien dans ta réponse.

Utilisateur anonyme · Answer

Salut , --1 Installe Hijackthis ... <<<<<>>>>> --2 Munit toi de ce Tuto pour savoir faire un rapport et me l'envoyer ... <<<<<<>>>>>> _________________________________________________________________ -----> Fait un rapport en envoie le ..... au topic

Sordja · Answer

Scan OTL terminé. ci-dessous les liens des rapports

http://www.cijoint.fr/cjlink.php?file=cj200908/cijA2nbwUq.txt

http://www.cijoint.fr/cjlink.php?file=cj200908/cij4DVWGad.txt



Ici le scan Hijackthis :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:54, on 11/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Users\Effi\Local Settings\APPLIC~1\ieudinit.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Effi\Desktop\OTL.exe
C:\Program Files (x86)	rend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: load=C:\Windows\System32\drivers\cmstp.exe
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\everest_start.exe
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\Windows\System\comrepl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\AppData\Local\Temp\clipsrv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\Users\Effi\AppData\Roaming\MICROS~1\cisvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\Users\Effi\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\Users\Effi\LOCALS~1\APPLIC~1svp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\Users\Effi\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\Windows\Systemsvp.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spool] C:\Windows\System\spoolsv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Spool] C:\Windows\System\spoolsv.exe /waitservice (User 'Default user')
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Destrio5 · Answer

--> Double-clique sur OTL pour le lancer.
(Sous Vista, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
PRC - C:\Users\Effi\Local Settings\APPLIC~1\ieudinit.exe [FILE handle not seen by OS]
F3 - HKCU WinNT: Load - (C:\Windows\System32\drivers\cmstp.exe) - C:\Windows\SysWow64\drivers\cmstp.exe () 
[2009/08/09 21:07:12 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\cmstp.exe  
[2009/08/08 22:05:56 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\dllhst3g.exe  
[2009/08/08 22:05:56 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\clipsrv.exe 
[2009/08/08 22:00:55 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\sessmgr.exe  
[2009/08/08 21:16:21 | 00,061,440 | ---- | C] () -- C:\Windows\System\comrepl.exe
[2009/08/08 21:15:21 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\rsvp.exe   
[2009/08/08 21:14:51 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\ieudinit.exe 
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\mstsc.exe 
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Windows\clipsrv.exe
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\cisvc.exe 
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Windows\System\spoolsv.exe 
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Windows\System\rsvp.exe     
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Roaming\comrepl.exe       

:commands
[purity]
[emptytemp]
[reboot]




--> Puis clique sur le bouton Run Fix en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

Sordja · Answer

Bien bien.

Il semble que le  programme OTL ne veuille pas répondre. Lorsque je lance le fix. J'ai le petit rond bleu de vista qui idle pendant le fix. 5 mn plus tard toujours rien. (y a-t-il une fenêtre qui s'ouvre pour me demander de reboot ou dois-je le faire manuellement ?

j'ai bien copié le texte suivant :





:OTL
PRC - C:\Users\Effi\Local Settings\APPLIC~1\ieudinit.exe [FILE handle not seen by OS]
F3 - HKCU WinNT: Load - (C:\Windows\System32\drivers\cmstp.exe) - C:\Windows\SysWow64\drivers\cmstp.exe ()
[2009/08/09 21:07:12 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\cmstp.exe
[2009/08/08 22:05:56 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\dllhst3g.exe
[2009/08/08 22:05:56 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\clipsrv.exe
[2009/08/08 22:00:55 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\sessmgr.exe
[2009/08/08 21:16:21 | 00,061,440 | ---- | C] () -- C:\Windows\System\comrepl.exe
[2009/08/08 21:15:21 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\rsvp.exe
[2009/08/08 21:14:51 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\ieudinit.exe
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\mstsc.exe
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Windows\clipsrv.exe
[2009/08/08 21:05:35 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Local\cisvc.exe
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Windows\System\spoolsv.exe
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Windows\System\rsvp.exe
[2009/08/08 00:27:10 | 00,061,440 | ---- | C] () -- C:\Users\Effi\AppData\Roaming\comrepl.exe

:commands
[purity]
[emptytemp]
[reboot]




Que faire ?

Destrio5 · Answer

Désactive l'UAC puis réessaie.

Sordja · Answer

LE programme ne répond hélas toujours pas.

Combien le fix peut-il prendre de temps ... 5mn après je n'ai toujours rien.

Destrio5 · Answer

Essaie en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

Sordja · Answer

Le bilan reste le même en mod sans échec.

Utilisateur anonyme · Answer

~~~~~~~~Question~~~~~~~~

Quel Antivirus posséde tu ?

Sordja · Answer

Je n'ai aucun antivirus.

Juste vista et quelques soft personnels style everest, fraps. Rien d'autre.

Destrio5 · Answer

1/

---> Cherche ce fichier : C:\Program Files (x86)	rend micro\HijackThis\HijackThis.exe  

---> Clique droit sur le fichier et choisis Exécuter en tant qu'administrateur.

---> Choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

F3 - REG:win.ini: load=C:\Windows\System32\drivers\cmstp.exe  

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  

O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\Windows\System\comrepl.exe /waitservice  
    
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\AppData\Local\Temp\clipsrv.exe /waitservice  

O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\Users\Effi\AppData\Roaming\MICROS~1\cisvc.exe /waitservice  
   
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\Users\Effi\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice  
   
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe /waitservice 
     
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\Users\Effi\LOCALS~1\APPLIC~1svp.exe /waitservice      

O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\Users\Effi\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice 
    
O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\Windows\Systemsvp.exe /waitservice      

O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\clipsrv.exe /waitservice    
   
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice       

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spool] C:\Windows\System\spoolsv.exe /waitservice (User 'SYSTEM') 
       
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Spool] C:\Windows\System\spoolsv.exe /waitservice (User 'Default user')   

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Ferme HijackThis.


2/

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

---> Télécharge OTM (OldTimer) sur ton Bureau.

---> Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\Windows\System32\drivers\cmstp.exe       
C:\Users\Effi\AppData\Roaming\MICROS~1\cisvc.exe 
C:\Users\Effi\LOCALS~1\APPLIC~1\ieudinit.exe 
C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe 
C:\Users\Effi\LOCALS~1\APPLIC~1svp.exe 
C:\Users\Effi\LOCALS~1\APPLIC~1\sessmgr.exe 
C:\Windows\Systemsvp.exe 
C:\Windows\clipsrv.exe 
C:\Windows\System32\drivers\mstsc.exe 
C:\Windows\System\spoolsv.exe 
C:\Users\Effi\Local Settings\APPLIC~1\ieudinit.exe
C:\Windows\SysWow64\drivers\cmstp.exe
C:\Windows\SysWow64\drivers\dllhst3g.exe
C:\Windows\SysWow64\drivers\clipsrv.exe
C:\Users\Effi\AppData\Local\sessmgr.exe
C:\Windows\System\comrepl.exe
C:\Users\Effi\AppData\Localsvp.exe
C:\Users\Effi\AppData\Local\ieudinit.exe
C:\Windows\SysWow64\drivers\mstsc.exe
C:\Users\Effi\AppData\Local\cisvc.exe
C:\Users\Effi\AppData\Roaming\comrepl.exe 

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

"Naviguer sans Antivirus c'est comme si tu Naviguait sans canos de sauvetage ...." ~~~~~~~~Proposition~~~~~~~~ Je te propose de mettre en place un peu de sécurité dans ton poste ! _______________________________________________________________ Télécharge et installe Avg free --> <<<<<<<<<<>>>>>>> Munit toi d'un Anti-Spyware comme Spybot <<<<<<<<<>>>>>>>>> Je te conseille également d'apprendre à maintenire la sécurité dans ton Pc en suivant un Tuto bien rédigé . -------------->Tuto<--------------- { Merci à Sebsauvage } En attente ...

Sordja · Answer

Voila le log de OTM.





All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Windows\System32\drivers\cmstp.exe moved successfully.
C:\Users\Effi\AppData\Roaming\MICROS~1\cisvc.exe moved successfully.
File/Folder C:\Users\Effi\LOCALS~1\APPLIC~1\ieudinit.exe not found.
C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe moved successfully.
File/Folder C:\Users\Effi\LOCALS~1\APPLIC~1\rsvp.exe not found.
File/Folder C:\Users\Effi\LOCALS~1\APPLIC~1\sessmgr.exe not found.
C:\Windows\System\rsvp.exe moved successfully.
C:\Windows\clipsrv.exe moved successfully.
C:\Windows\System32\drivers\mstsc.exe moved successfully.
C:\Windows\System\spoolsv.exe moved successfully.
File/Folder C:\Users\Effi\Local Settings\APPLIC~1\ieudinit.exe not found.
File/Folder C:\Windows\SysWow64\drivers\cmstp.exe not found.
C:\Windows\SysWow64\drivers\dllhst3g.exe moved successfully.
C:\Windows\SysWow64\drivers\clipsrv.exe moved successfully.
C:\Users\Effi\AppData\Local\sessmgr.exe moved successfully.
C:\Windows\System\comrepl.exe moved successfully.
C:\Users\Effi\AppData\Local\rsvp.exe moved successfully.
C:\Users\Effi\AppData\Local\ieudinit.exe moved successfully.
File/Folder C:\Windows\SysWow64\drivers\mstsc.exe not found.
C:\Users\Effi\AppData\Local\cisvc.exe moved successfully.
C:\Users\Effi\AppData\Roaming\comrepl.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Effi
File delete failed. C:\Users\Effi\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
->Temp folder emptied: 2536506 bytes
File delete failed. C:\Users\Effi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 4610196 bytes
->FireFox cache emptied: 36609641 bytes
->Google Chrome cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
C:\Windows\45235788142C44BE8A4DDDE9A84492E5.TMP folder deleted successfully.
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 2416200 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
Windows Temp folder emptied: 561990 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 44,75 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08112009_202213

Files moved on Reboot...
C:\Users\Effi\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Destrio5 · Answer

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Sordja · Answer

Voila le fichier LOG :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Effi at 2009-08-11 20:33:28
Microsoft® Windows Vista™ Professionnel  Service Pack 2
System drive C: has 22 GB (36%) free of 60 GB
Total RAM: 6133 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:28, on 11/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Users\Effi\AppData\Roaming\MICROS~1\mstsc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Users\Effi\Desktop\RSIT.exe
C:\Program Files (x86)	rend micro\HijackThis\Effi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: load=C:\Users\Effi\AppData\Roaming\MICROS~1\mstsc.exe
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\everest_start.exe
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Windows\System32\drivers\dllhst3g.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'Default user')
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Sordja · Answer

Et le fichier INFO :





info.txt logfile of random's system information tool 1.06 2009-08-10 02:24:57

======Uninstall list======

-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
3DMark Vantage-->"C:\Program Files (x86)\InstallShield Installation Information\{C40C3C3D-97CF-44B5-836C-766E374464B3}\setup.exe" -runfromtemp -l0x0009 -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Analyseur et SDK MSXML 4.0 SP2-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Archiveur WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
CCleaner (remove only)-->"C:\Program Files (x86)\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Counter-Strike: Source-->"F:\-= GAMES =-\Steam\steam.exe" steam://uninstall/240
CPU Stress MT 1.0.4-->"C:\Program Files (x86)\CPU Stress MT\unins000.exe"
Diablo II-->C:\Program Files (x86)\Common Files\Blizzard Entertainment\Diablo II\Uninstall.exe
EVEREST Ultimate Edition v5.02-->"C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Express Gate-->MsiExec.exe /X{A0494B41-EBD7-4C0D-91B7-DC39741B27BB}
Fraps (remove only)-->"C:\Fraps\uninstall.exe"
Futuremark SystemInfo-->"C:\Program Files (x86)\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe" -runfromtemp -l0x0009 -removeonly
GRID-->"C:\Program Files (x86)\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x040c -removeonly
HijackThis 2.0.2-->"C:\Program Files (x86)	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
JMicron JMB36X Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x40c  -removeonly
K-Lite Codec Pack 5.0.5 (Full)-->"C:\Program Files (x86)\K-Lite Codec Pack\unins000.exe"
Microsoft Flight Simulator X Service Pack 1-->C:\Windows\SysWOW64\msiexec.exe /qb /l*vx "%TEMP%\FlightSimPatchUninstall.log" /uninstall {92635E02-4C29-4A8F-AA82-7B8B95C823D3} /package {9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Flight Simulator X: Acceleration-->C:\Windows\SysWOW64\msiexec.exe /qb /l*vx "%TEMP%\FlightSimUninstall.log" /uninstall {A9729B90-D37B-4A69-B66A-7436AC1F7274}
Microsoft Flight Simulator X: Acceleration-->MsiExec.exe /I{A9729B90-D37B-4A69-B66A-7436AC1F7274}
Microsoft Flight Simulator X-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{9527A496-5DF9-412A-ADC7-168BA5379CA6} 
Microsoft Flight Simulator X-->MsiExec.exe /X{9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (3.5.2)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NCsoft Launcher-->C:\Program Files (x86)\InstallShield Installation Information\{5F8E2CBB-949D-4175-AC98-5ADE7F6C9697}\setup.exe -runfromtemp -l0x040c -removeonly
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vStInst.exe" /uninstall /ask
OCCT Perestroika 3.1.0-->"C:\Program Files (x86)\OCCT\unins000.exe"
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd64.exe -r -m -nrg2709
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TeamSpeak 2 RC2-->"C:\Program Files (x86)\Teamspeak2_RC2\unins000.exe"
Titan Poker-->"C:\Poker\Titan Poker\_SetupPoker_831efb_fr.exe" /uninstall
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
World of Warcraft-->C:\Program Files (x86)\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-184_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2010
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-183_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2009
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-182_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2008
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-181_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2007
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-180_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2006
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: phossinet
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 2 user registry handles leaked from \Registry\User\S-1-5-21-2338302986-3356809392-1932620159-1000:
Process 520 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2338302986-3356809392-1932620159-1000
Process 724 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2338302986-3356809392-1932620159-1000

Record Number: 75
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090804215014.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 63
Source Name: Microsoft-Windows-WMI
Time Written: 20090804214425.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 62
Source Name: Microsoft-Windows-WMI
Time Written: 20090804214425.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 28
Source Name: Microsoft-Windows-Search
Time Written: 20090805033532.000000-000
Event Type: Avertissement
User: 

Computer Name: 26L2233D7-13
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 15
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20090805033201.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 26L2233D7-13
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments :	0
ID de la stratégie :	0x7a842
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032933.134065-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		-
	Package d’authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032932.244859-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032932.244859-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
	ID de sécurité :		S-1-5-21-1097052321-1951037048-3065997745-500
	Nom du compte :		Administrator
	Domaine du compte :		26L2233D7-13
	ID d’ouverture de session :		0x92267

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061102155650.402800-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		NT AUTHORITY
	ID du compte :		0x1e4b7

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061102155649.513600-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 26 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=1a05
"NUMBER_OF_PROCESSORS"=8

-----------------EOF-----------------

Destrio5 · Answer

---> Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
%AppData%\cisvc.exe
%AppData%\clipsrv.exe
%AppData%\cmstp.exe
%AppData%\comrepl.exe
%AppData%\dllhst3g.exe
%AppData%\esentutl.exe
%AppData%\ieudinit.exe
%AppData%\logman.exe
%AppData%\mqtgsvc.exe
%AppData%\mstinit.exe
%AppData%\mstsc.exe
%AppData%\rsvp.exe
%AppData%\sessmgr.exe
%AppData%\spoolsv.exe
%AppData%\microsoft\cisvc.exe
%AppData%\microsoft\clipsrv.exe
%AppData%\microsoft\cmstp.exe
%AppData%\microsoft\comrepl.exe
%AppData%\microsoft\dllhst3g.exe
%AppData%\microsoft\esentutl.exe
%AppData%\microsoft\ieudinit.exe
%AppData%\microsoft\logman.exe
%AppData%\microsoft\mqtgsvc.exe
%AppData%\microsoft\mstinit.exe
%AppData%\microsoft\mstsc.exe
%AppData%\microsoft\rsvp.exe
%AppData%\microsoft\sessmgr.exe
%AppData%\microsoft\spoolsv.exe
%Temp%\cisvc.exe
%Temp%\clipsrv.exe
%Temp%\cmstp.exe
%Temp%\comrepl.exe
%Temp%\dllhst3g.exe
%Temp%\esentutl.exe
%Temp%\ieudinit.exe
%Temp%\logman.exe
%Temp%\mqtgsvc.exe
%Temp%\mstinit.exe
%Temp%\mstsc.exe
%Temp%\rsvp.exe
%Temp%\sessmgr.exe
%Temp%\spoolsv.exe
%Windir%\cisvc.exe
%Windir%\clipsrv.exe
%Windir%\cmstp.exe
%Windir%\comrepl.exe
%Windir%\dllhst3g.exe
%Windir%\esentutl.exe
%Windir%\ieudinit.exe
%Windir%\logman.exe
%Windir%\mqtgsvc.exe
%Windir%\mstinit.exe
%Windir%\mstsc.exe
%Windir%\rsvp.exe
%Windir%\sessmgr.exe
%Windir%\spoolsv.exe
%Windir%\system\cisvc.exe
%Windir%\system\clipsrv.exe
%Windir%\system\cmstp.exe
%Windir%\system\comrepl.exe
%Windir%\system\dllhst3g.exe
%Windir%\system\esentutl.exe
%Windir%\system\ieudinit.exe
%Windir%\system\logman.exe
%Windir%\system\mqtgsvc.exe
%Windir%\system\mstinit.exe
%Windir%\system\mstsc.exe
%Windir%\system\rsvp.exe
%Windir%\system\sessmgr.exe
%Windir%\system\smss.exe
%Windir%\system\spoolsv.exe
%Windir%\System32\drivers\cmstp.exe
%Windir%\System32\drivers\comrepl.exe
%Windir%\System32\drivers\ieudinit.exe
%Windir%\System32\drivers\logman.exe

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Sordja · Answer

Voici le rapport OTM



All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\cisvc.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\clipsrv.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\cmstp.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\comrepl.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\dllhst3g.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\esentutl.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\ieudinit.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\logman.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\mqtgsvc.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\mstinit.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\mstsc.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\rsvp.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\sessmgr.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\spoolsv.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\cisvc.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\clipsrv.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\cmstp.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\comrepl.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\dllhst3g.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\esentutl.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\ieudinit.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\logman.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\mqtgsvc.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\mstinit.exe not found.
C:\Users\Effi\AppData\Roaming\microsoft\mstsc.exe moved successfully.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\rsvp.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\sessmgr.exe not found.
Folder C:\Users\Effi\AppData\RoamingC:\Users\Effi\AppData\Roaming\microsoft\spoolsv.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\cisvc.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\clipsrv.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\cmstp.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\comrepl.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\dllhst3g.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\esentutl.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\ieudinit.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\logman.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\mqtgsvc.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\mstinit.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\mstsc.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\rsvp.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\sessmgr.exe not found.
Folder C:\Users\Effi\AppData\Local\TempC:\Users\Effi\AppData\Local\Temp\spoolsv.exe not found.
Folder C:\WindowsC:\Windows\cisvc.exe not found.
Folder C:\WindowsC:\Windows\clipsrv.exe not found.
Folder C:\WindowsC:\Windows\cmstp.exe not found.
Folder C:\WindowsC:\Windows\comrepl.exe not found.
Folder C:\WindowsC:\Windows\dllhst3g.exe not found.
Folder C:\WindowsC:\Windows\esentutl.exe not found.
Folder C:\WindowsC:\Windows\ieudinit.exe not found.
Folder C:\WindowsC:\Windows\logman.exe not found.
Folder C:\WindowsC:\Windows\mqtgsvc.exe not found.
Folder C:\WindowsC:\Windows\mstinit.exe not found.
Folder C:\WindowsC:\Windows\mstsc.exe not found.
Folder C:\WindowsC:\Windows\rsvp.exe not found.
Folder C:\WindowsC:\Windows\sessmgr.exe not found.
Folder C:\WindowsC:\Windows\spoolsv.exe not found.
Folder C:\WindowsC:\Windows\system\cisvc.exe not found.
Folder C:\WindowsC:\Windows\system\clipsrv.exe not found.
Folder C:\WindowsC:\Windows\system\cmstp.exe not found.
Folder C:\WindowsC:\Windows\system\comrepl.exe not found.
Folder C:\WindowsC:\Windows\system\dllhst3g.exe not found.
Folder C:\WindowsC:\Windows\system\esentutl.exe not found.
Folder C:\WindowsC:\Windows\system\ieudinit.exe not found.
Folder C:\WindowsC:\Windows\system\logman.exe not found.
Folder C:\WindowsC:\Windows\system\mqtgsvc.exe not found.
Folder C:\WindowsC:\Windows\system\mstinit.exe not found.
Folder C:\WindowsC:\Windows\system\mstsc.exe not found.
Folder C:\WindowsC:\Windows\system\rsvp.exe not found.
Folder C:\WindowsC:\Windows\system\sessmgr.exe not found.
Folder C:\WindowsC:\Windows\system\smss.exe not found.
Folder C:\WindowsC:\Windows\system\spoolsv.exe not found.
Folder C:\WindowsC:\Windows\System32\drivers\cmstp.exe not found.
Folder C:\WindowsC:\Windows\System32\drivers\comrepl.exe not found.
Folder C:\WindowsC:\Windows\System32\drivers\ieudinit.exe not found.
Folder C:\WindowsC:\Windows\System32\drivers\logman.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Effi
File delete failed. C:\Users\Effi\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
->Temp folder emptied: 31832 bytes
File delete failed. C:\Users\Effi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 13629510 bytes
->Google Chrome cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 13,06 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08112009_204246

Files moved on Reboot...
C:\Users\Effi\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Destrio5 · Answer

Bien, refais un scan RSIT et poste le rapport log.

Sordja · Answer

Re bonsoir.

Je ne sais pas si la marche à suivre est terminée, alors je vous félicite donc pour votre réactivité.

Au revoir.

Destrio5 · Answer

Tu n'as pas vu mon dernier message ?

Sordja · Answer

Voila le scan RSIT (désolé je n'avais pas vu que notre conversation avait changé de page ^^)




Logfile of random's system information tool 1.06 (written by random/random)
Run by Effi at 2009-08-11 22:41:38
Microsoft® Windows Vista™ Professionnel  Service Pack 2
System drive C: has 22 GB (36%) free of 60 GB
Total RAM: 6133 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:38, on 11/08/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Users\Effi\AppData\Roaming\cisvc.exe
C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Poker\Titan Poker\casino.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Effi\Desktop\RSIT.exe
C:\Program Files (x86)	rend micro\HijackThis\Effi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: load=C:\Users\Effi\AppData\Roaming\cisvc.exe
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\everest_start.exe
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files (x86)\NVIDIA Corporation
Tune
TuneCmd.exe resetprofile
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Windows\System32\drivers\dllhst3g.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'Default user')
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Sordja · Answer

le fichier INFO du même scan




info.txt logfile of random's system information tool 1.06 2009-08-10 02:24:57

======Uninstall list======

-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
3DMark Vantage-->"C:\Program Files (x86)\InstallShield Installation Information\{C40C3C3D-97CF-44B5-836C-766E374464B3}\setup.exe" -runfromtemp -l0x0009 -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Analyseur et SDK MSXML 4.0 SP2-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Archiveur WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
CCleaner (remove only)-->"C:\Program Files (x86)\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Counter-Strike: Source-->"F:\-= GAMES =-\Steam\steam.exe" steam://uninstall/240
CPU Stress MT 1.0.4-->"C:\Program Files (x86)\CPU Stress MT\unins000.exe"
Diablo II-->C:\Program Files (x86)\Common Files\Blizzard Entertainment\Diablo II\Uninstall.exe
EVEREST Ultimate Edition v5.02-->"C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Express Gate-->MsiExec.exe /X{A0494B41-EBD7-4C0D-91B7-DC39741B27BB}
Fraps (remove only)-->"C:\Fraps\uninstall.exe"
Futuremark SystemInfo-->"C:\Program Files (x86)\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe" -runfromtemp -l0x0009 -removeonly
GRID-->"C:\Program Files (x86)\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x040c -removeonly
HijackThis 2.0.2-->"C:\Program Files (x86)	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
JMicron JMB36X Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x40c  -removeonly
K-Lite Codec Pack 5.0.5 (Full)-->"C:\Program Files (x86)\K-Lite Codec Pack\unins000.exe"
Microsoft Flight Simulator X Service Pack 1-->C:\Windows\SysWOW64\msiexec.exe /qb /l*vx "%TEMP%\FlightSimPatchUninstall.log" /uninstall {92635E02-4C29-4A8F-AA82-7B8B95C823D3} /package {9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Flight Simulator X: Acceleration-->C:\Windows\SysWOW64\msiexec.exe /qb /l*vx "%TEMP%\FlightSimUninstall.log" /uninstall {A9729B90-D37B-4A69-B66A-7436AC1F7274}
Microsoft Flight Simulator X: Acceleration-->MsiExec.exe /I{A9729B90-D37B-4A69-B66A-7436AC1F7274}
Microsoft Flight Simulator X-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{9527A496-5DF9-412A-ADC7-168BA5379CA6} 
Microsoft Flight Simulator X-->MsiExec.exe /X{9527A496-5DF9-412A-ADC7-168BA5379CA6}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (3.5.2)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NCsoft Launcher-->C:\Program Files (x86)\InstallShield Installation Information\{5F8E2CBB-949D-4175-AC98-5ADE7F6C9697}\setup.exe -runfromtemp -l0x040c -removeonly
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision
vStInst.exe" /uninstall /ask
OCCT Perestroika 3.1.0-->"C:\Program Files (x86)\OCCT\unins000.exe"
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd64.exe -r -m -nrg2709
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TeamSpeak 2 RC2-->"C:\Program Files (x86)\Teamspeak2_RC2\unins000.exe"
Titan Poker-->"C:\Poker\Titan Poker\_SetupPoker_831efb_fr.exe" /uninstall
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
World of Warcraft-->C:\Program Files (x86)\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-184_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2010
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-183_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2009
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-182_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2008
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-181_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2007
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 972260-180_neutral_PACKAGE du package KB972260(Security Update) à l’état Génération(Staging)
Record Number: 2006
Source Name: Microsoft-Windows-Servicing
Time Written: 20090804221430.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: phossinet
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 2 user registry handles leaked from \Registry\User\S-1-5-21-2338302986-3356809392-1932620159-1000:
Process 520 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2338302986-3356809392-1932620159-1000
Process 724 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2338302986-3356809392-1932620159-1000

Record Number: 75
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090804215014.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 63
Source Name: Microsoft-Windows-WMI
Time Written: 20090804214425.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 62
Source Name: Microsoft-Windows-WMI
Time Written: 20090804214425.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: phossinet
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 28
Source Name: Microsoft-Windows-Search
Time Written: 20090805033532.000000-000
Event Type: Avertissement
User: 

Computer Name: 26L2233D7-13
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 15
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20090805033201.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 26L2233D7-13
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments :	0
ID de la stratégie :	0x7a842
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032933.134065-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		-
	Package d’authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032932.244859-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090805032932.244859-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
	ID de sécurité :		S-1-5-21-1097052321-1951037048-3065997745-500
	Nom du compte :		Administrator
	Domaine du compte :		26L2233D7-13
	ID d’ouverture de session :		0x92267

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061102155650.402800-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233D7-13
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		NT AUTHORITY
	ID du compte :		0x1e4b7

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061102155649.513600-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 26 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=1a05
"NUMBER_OF_PROCESSORS"=8

-----------------EOF-----------------

Destrio5 · Answer

--> Installe AntiVir et mets-le à jour.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir

Sordja · Answer

Voila le résultat du scan de Avira : Attention : le chargement du moteur a échoué. La recherche a été lancée avec la copie de sauvegarde du moteur. Avira AntiVir Personal Date de création du fichier de rapport : mardi 11 août 2009 23:27 La recherche porte sur 1284893 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista 64 Bit Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Démarré normalement Identifiant : Effi Nom de l'ordinateur : PHOSSINET Informations de version : BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26 ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 06:41:14 ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05/03/2009 13:58:20 Version du moteur : 8.2.0.100 AEVDF.DLL : 8.1.1.0 106868 Bytes 27/01/2009 16:36:42 AESCRIPT.DLL : 8.1.1.56 352634 Bytes 26/02/2009 19:01:56 AESCN.DLL : 8.1.1.7 127347 Bytes 12/02/2009 10:44:25 AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41 AEPACK.DLL : 8.1.3.10 397686 Bytes 04/03/2009 12:06:10 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 19:01:56 AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25/02/2009 14:49:16 AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 19:01:56 AEGEN.DLL : 8.1.1.24 336244 Bytes 04/03/2009 12:06:10 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 13:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26 AVREP.DLL : 8.0.0.3 155688 Bytes 11/08/2009 15:31:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Disques durs locaux Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\alldiscs.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, G:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: arrêt Contrôle d'intégrité de fichiers système......: marche Recherche optimisée...........................: marche Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: élevé Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : mardi 11 août 2009 23:27 Début du contrôle des fichiers système : Signé -> 'C:\Windows\system32\svchost.exe' Signé -> 'C:\Windows\system32\winlogon.exe' Signé -> 'C:\Windows\explorer.exe' Signé -> 'C:\Windows\system32\smss.exe' Signé -> 'C:\Windows\system32\wininet.DLL' Signé -> 'C:\Windows\system32\wsock32.DLL' Signé -> 'C:\Windows\system32\ws2_32.DLL' Signé -> 'C:\Windows\system32\services.exe' Signé -> 'C:\Windows\system32\lsass.exe' Signé -> 'C:\Windows\system32\csrss.exe' Signé -> 'C:\Windows\system32\drivers\kbdclass.sys' Signé -> 'C:\Windows\system32\spoolsv.exe' Signé -> 'C:\Windows\system32\alg.exe' Signé -> 'C:\Windows\system32\wuauclt.exe' Signé -> 'C:\Windows\system32\advapi32.DLL' Signé -> 'C:\Windows\system32\user32.DLL' Signé -> 'C:\Windows\system32\gdi32.DLL' Signé -> 'C:\Windows\system32\kernel32.DLL' Signé -> 'C:\Windows\system32 tdll.DLL' Signé -> 'C:\Windows\system32 toskrnl.exe' Signé -> 'C:\Windows\system32\ctfmon.exe' Les fichiers système ont été contrôlés ('21' fichiers) La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'WmiPrvSE.exe' - '0' module(s) sont contrôlés Processus de recherche 'TrustedInstaller.exe' - '0' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'nTuneService.exe' - '0' module(s) sont contrôlés Processus de recherche 'AsSysCtrlService.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'everest.exe' - '1' module(s) sont contrôlés Processus de recherche 'RAVCpl64.exe' - '0' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés Processus de recherche 'services.exe' - '0' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés '7' processus ont été contrôlés avec '7' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'G:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '32' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Poker\Titan Poker\_SetupPoker_831efb_fr.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen C:\Windows\System32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'E:\' <-= GAMES =-> E:\-= JEUX =-\Crysis Warhead\Bin32\paul.dll [RESULTAT] Contient le code suspect : HEUR/Malware Recherche débutant dans 'G:\' <-=STOCK=-> G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb.zip [0] Type d'archive: ZIP --> ORiON.rar [1] Type d'archive: RAR --> Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Renaz.102400 G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON.rar [0] Type d'archive: RAR --> Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Renaz.102400 G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON\Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Renaz.102400 G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON\Keygen.zip [0] Type d'archive: ZIP --> Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Renaz.102400 G:\-= INSTALLS =-\-=LOGICIELS=-\WINZIP\Winzip Pro v11.0.7313 Final Keygen-Virility.zip [0] Type d'archive: ZIP --> WinZip.Pro.v11.0.7313.FINAL.KEYGEN-VIRILITY/KEYGEN.EXE [RESULTAT] Contient le modèle de détection du dropper DR/MicroJoiner.Gen G:\-= INSTALLS =-\-=LOGICIELS=-\WINZIP\Winzip Pro v11.0.7313 Final Keygen-Virility\WinZip.Pro.v11.0.7313.FINAL.KEYGEN-VIRILITY\KEYGEN.EXE [RESULTAT] Contient le modèle de détection du dropper DR/MicroJoiner.Gen G:\-= ISOS =-\jeux\grid racer\RACE.DRIVER.GRID.V1.0.ALL.RELOADED.NOCD.ZIP [0] Type d'archive: ZIP --> RACE.DRIVER.GRID.V1.0.ALL.RELOADED.NOCD/GRID.EXE [1] Type d'archive: RSRC --> Object [2] Type d'archive: CAB (Microsoft) --> 45942~1.EXE [RESULTAT] Contient le cheval de Troie TR/Agent.xlm G:\-= ISOS =-\jeux\immortal throne\Titan Quest + Immortal Throne + Patch + Crack\Titan Quest [PCDVD][MULTi5][www.newpct.com]\Titan.Quest.v1.30.No-Cd-DvD.Patch.rar [0] Type d'archive: RAR --> Titan.Quest.v1.30.No-Cd~DvD.Patch.exe [RESULTAT] Contient le cheval de Troie TR/Virtl.17033 G:\-= ISOS =-\jeux\immortal throne\Titan Quest + Immortal Throne + Patch + Crack\Titan Quest [PCDVD][MULTi5][www.newpct.com]\Titan.Quest.v1.30.No-Cd-DvD.Patch\Titan.Quest.v1.30.No-Cd~DvD.Patch.exe [RESULTAT] Contient le cheval de Troie TR/Virtl.17033 Début de la désinfection : C:\Poker\Titan Poker\_SetupPoker_831efb_fr.exe [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae6ea78.qua' ! E:\-= JEUX =-\Crysis Warhead\Bin32\paul.dll [RESULTAT] Contient le code suspect : HEUR/Malware [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af6ea86.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae4ea53.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON.rar [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aeaea78.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON\Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Renaz.102400 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4afaea8b.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\BENCHMARK\3Dmark2005 install\Futuremark[1].3DMark05.Pro.v1.0.Keygen.Only-ORiON\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON\o-c1ijxb\ORiON\Keygen.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '42e65eac.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\WINZIP\Winzip Pro v11.0.7313 Final Keygen-Virility.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aefea8f.qua' ! G:\-= INSTALLS =-\-=LOGICIELS=-\WINZIP\Winzip Pro v11.0.7313 Final Keygen-Virility\WinZip.Pro.v11.0.7313.FINAL.KEYGEN-VIRILITY\KEYGEN.EXE [RESULTAT] Contient le modèle de détection du dropper DR/MicroJoiner.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4adaea6b.qua' ! G:\-= ISOS =-\jeux\grid racer\RACE.DRIVER.GRID.V1.0.ALL.RELOADED.NOCD.ZIP [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac4ea67.qua' ! G:\-= ISOS =-\jeux\immortal throne\Titan Quest + Immortal Throne + Patch + Crack\Titan Quest [PCDVD][MULTi5][www.newpct.com]\Titan.Quest.v1.30.No-Cd-DvD.Patch.rar [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af5ea8f.qua' ! G:\-= ISOS =-\jeux\immortal throne\Titan Quest + Immortal Throne + Patch + Crack\Titan Quest [PCDVD][MULTi5][www.newpct.com]\Titan.Quest.v1.30.No-Cd-DvD.Patch\Titan.Quest.v1.30.No-Cd~DvD.Patch.exe [RESULTAT] Contient le cheval de Troie TR/Virtl.17033 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d1a9cb8.qua' ! Fin de la recherche : mercredi 12 août 2009 00:01 Temps nécessaire: 32:38 Minute(s) La recherche a été effectuée intégralement 36137 Les répertoires ont été contrôlés 622572 Des fichiers ont été contrôlés 10 Des virus ou programmes indésirables ont été trouvés 1 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 11 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 622559 Fichiers non infectés 2832 Les archives ont été contrôlées 2 Avertissements 12 Consignes

Destrio5 · Answer

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Clique droit sur ToolsCleaner2.exe et choisis Exécuter en tant qu'administrateur.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Sordja · Answer

Tout comme OTL, Toolscleaner2 ne fonctionne pas sur ma machine (même après l'avoir lancé en mode sans échec) ------>  "Le programme ne répond pas"

Destrio5 · Answer

--> Supprime ToolsCleaner.

--> Refais un scan OTL et poste le rapport OTL.

Destrio5 · Answer

Ok. Tu as une infection un peu embêtante à retirer et le fait que tu aies la version 64 bits de Vista n'arrange pas les choses.

Sordja · Answer

Si tel est le cas, je peux me hasarder à formater.

Pourrais-tu me dire quel logiciel installer pour éviter d'attraper ce genre d'infection ?

Destrio5 · Answer

1/

---> Cherche ce fichier : C:\Program Files (x86)	rend micro\HijackThis\HijackThis.exe  

---> Clique droit sur le fichier et choisis Exécuter en tant qu'administrateur.

---> Choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

F3 - REG:win.ini: load=C:\Users\Effi\AppData\Roaming\cisvc.exe    

O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice    

O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Windows\System32\drivers\dllhst3g.exe /waitservice 

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')  

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\Windows\System32\drivers\mstsc.exe /waitservice (User 'Default user')   

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Ferme HijackThis.


2/

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

---> Télécharge OTM (OldTimer) sur ton Bureau.

---> Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
C:\Windows\System32\drivers\dllhst3g.exe
C:\Windows\System32\drivers\mstsc.exe
C:\Users\Effi\AppData\Roaming\cisvc.exe 

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

--> Refais un scan RSIT et poste le rapport log.

Destrio5 · Answer

Apparemment, l'infection est supprimée, il reste juste des traces.

---> Cherche ce fichier : C:\Program Files (x86)	rend micro\HijackThis\Effi.exe 

---> Clique droit sur le fichier et choisis Exécuter en tant qu'administrateur.

---> Choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Windows\System\dllhst3g.exe /waitservice    
 
O4 - HKCU\..\Policies\Explorer\Run: [MstInit] C:\Users\Effi\AppData\Roaming\MICROS~1\mstinit.exe /waitservice     

O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\Users\Effi\LOCALS~1\APPLIC~1\cisvc.exe /waitservice  
   
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\Users\Effi\AppData\Roaming\MICROS~1\sessmgr.exe /waitservice     

O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\Users\Effi\LOCALS~1\APPLIC~1\MICROS~1\logman.exe /waitservice     

O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Effi\AppData\Roaming\MICROS~1\clipsrv.exe /waitservice     

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\Users\Effi\AppData\Local\Temp\sessmgr.exe /waitservice (User 'SYSTEM') 

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\Users\Effi\AppData\Local\Temp\sessmgr.exe /waitservice (User 'Default user') 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Ferme HijackThis.

---> Refais un scan RSIT et poste le rapport log.

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Destrio5 · Answer

Plus de souci ?

Destrio5 · Answer

Tu veux faire un scan en ligne pour vérifier ?

Destrio5 · Answer

Le scan va durer plusieurs heures. Il va sûrement détecter des infections qui sont dans la quarantaine d'OTM.

--> Fais un scan avec Kaspersky Online Scanner et poste le rapport.

Sordja · Answer

Ok, merci.

Je mets ça en marche, je posterai demain.


Bonne soirée et encore merci.

Destrio5 · Answer

Bonne nuit ;)

Ieudinit and CO

40 réponses

Votre réponse

Discussions similaires

Newsletters