Analyse antivirus impossible Fermé

Question

Bonjour,

depuis une semaine environ j'ai un problème sur mon PC (Vista 32bits, processeur Intel D 2.80GHz).
Voila je pense avoir été infecté par un virus, les symptômes sont les suivants : je n'ai plus accès gestionnaire des tâches, le PC est devenu lent, et les différentes analyses antivirus que je fais (Antivir et MalWareBytes) n'arrivent pas à leur terme et se bloquent au bout d'un moment (l'analyse Antivir bloque sur "ntoskrnl.exe").

J'ai tenté de faire une analyse avec HijackThis, en copiant le log sur le site http://www.hijackthis.de/fr, j'ai fixé les lignes suspectes mais mon problème subsiste toujours, voire empire. 

Pourriez vous m'aider SVP, je suis au bout du rouleau.

Merci.

Utilisateur anonyme · Answer

bonsoir,

Configure Antivir comme ceci : 
 
clic droit sur son icône dans la barre des taches et sélectionner Configurer Antivir.

cocher la case : Mode Expert( en haut à gauche de la fenêtre).. 

=> Cliquer sur Scanner dans le volet de gauche : 

> Dans "Fichiers" sélectionner Tous les fichiers. 

> Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" sélectionner Moyen. 

> Dans "Autres réglages" cocher toutes les cases. 

NE SURTOUT PAS OUBLIER LA RECHERCHE DES ROOTKIT QUI EST TRES IMPORTANTE ! 

=> Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment. 

=> Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" : 

> Cocher "Heuristique de MacroVirus" et "Heuristique fichier Win32" avec degré d'indentification MOYEN ! 

=> Dans le volet de gauche, dérouler "Guard" : 
coche : contrôler pendant la lecture et l’écriture, puis  à côté : tous les fichiers.
aide en images :
https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal#2-la-configuration


Tuto configuration en vidéo (merci à Nico pour la vidéo) :
http://sd-1.archive-host.com/membres/up/829108531491024/video-Antivir.zip

NOTE : Pour que le nettoyage soit efficace, il faut lancer le scan d’avira en mode sans échec.

P.S: le robot du site HT ne connait pas tous les fichiers et les processus en cours, pour vérifier, c'est bien mais pas trop recommandé pour fixer les fichier.

plopus · Answer

Salut

erreur de de fix ds lignes avec hijackthis sur tout en faisant au site sur lequelle tu fait reference, il ne faut le faire que si tu sais ce que tu fait

de + cela ne supprime en aucun cas les virus

Fait ceci qui nous permettra de voir les lignes que tu as fix :

Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

katson42 · Answer

Merci de votre aide Electricien 69 et Plopus.

Electricien 69 : J'ai configurer Antivir comme tu me l'as conseillé. Je ferais une analyse complète cette nuit car ça risque d'être long. 

Plopus : Voici le premier rapport (log.txt) 

Logfile of random's system information tool 1.06 (written by random/random)
Run by selim at 2009-08-12 20:49:50
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 121 GB (53%) free of 228 GB
Total RAM: 2045 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:21, on 12/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32	askmgr.exe
C:\Users\selim\Desktop\RSIT.exe
C:\Program Files	rend micro\selim.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: 88.191.30.28 L2authd.lineage2.com
O1 - Hosts: 88.191.30.28 L2testauthd.lineage2.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Unknown owner - C:\Program Files\Gene6 FTP Server\G6FTPSERVER.EXE (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Apache Tomcat (Tomcat6) - Apache Software Foundation - C:\Program Files\Apache Software Foundation\Tomcat 6.0\bin	omcat6.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

katson42 · Answer

Et le deuxième (info.txt) :

info.txt logfile of random's system information tool 1.06 2009-08-12 20:50:27

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero8\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
7-Zip 4.63-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Apache Tomcat 6.0 (remove only)-->"C:\Program Files\Apache Software Foundation\Tomcat 6.0\Uninstall.exe"
ArcSoft MediaConverter 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59E1EEA6-EDBC-45C1-9754-A88119760547}\SETUP.EXE" -l0x40c 
Assistant Personnalisation du systéme Dell-->MsiExec.exe /I{9954484F-6EE4-4040-94E3-4B380646F867}
AusLogics Disk Defrag-->"C:\Program Files\AusLogics Disk Defrag\unins000.exe"
AviDecode-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45BA6F47-ED29-4ACB-8F40-BBAD4D644EE5}\Setup.exe" 
Avidemux 2.4-->C:\Program Files\Avidemux 2.4\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AxCrypt (Désinstaller uniquement)-->"C:\Program Files\Axon Data\AxCrypt\AxCryptU.exe"
Azureus-->C:\Program Files\Azureus\Uninstall.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}
ConsumerUpdate-->MsiExec.exe /I{7C6999B2-1A35-4F2C-8DB7-3CB46B640CC9}
CrypTool 1.4.21-->C:\Program Files\CrypTool\uninstall.exe
DellSupport-->MsiExec.exe /X{7EFA5E6F-74F7-4AFB-8AEA-AA790BD3A76D}
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Download Manager 2.3.6-->C:\Program Files\Download Manager\uninst.exe
DV M2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6B58EEEB-2C83-4A08-93F4-BBB80AEDB370}\Setup.exe" 
EclipseIlabs 0.9.7-->"C:\EclipseIlabs\unins000.exe"
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Guide de l'utilisateur-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CD29180-A95E-11D3-A4EB-00C04F7BDB2C}\setup.exe" 
HijackThis 2.0.2-->"C:\Users\selim\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
J2SE Development Kit 5.0 Update 12-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150120}
J2SE Runtime Environment 5.0 Update 12-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
Java(TM) SE Development Kit 6-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160000}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
JOnAS 4.10.3-->C:\JOnAS-4.10.3\Uninstall.exe
KhalInstallWrapper-->MsiExec.exe /I{56918C0C-0D87-4CA6-92BF-4975A43AC719}
K-Lite Codec Pack 4.4.2 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
La boite a couleurs version 1.6.14-->"C:\Program Files\LaBoiteACouleurs\unins000.exe"
LimeWire PRO 5.1.2-->"C:\Program Files\LimeWire\uninstall.exe"
Logitech SetPoint-->C:\Program Files\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe -runfromtemp -l0x040c -removeonly
Macromedia Extension Manager-->MsiExec.exe /I{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}
Macromedia Flash 8 Video Encoder-->MsiExec.exe /X{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}
Macromedia Flash 8-->MsiExec.exe /I{2BD5C305-1B27-4D41-B690-7A61172D2FEB}
Macromedia Flash Player 8-->MsiExec.exe /X{885A63EA-382B-4DD4-A755-14809B8557D6}
Madrics Superbox Pro and Superbox3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{55EEC3B1-3F34-4E59-8D42-E2C6A51B1D5E}\setup.exe" -l0x9 
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Media Player Classic fr-->"C:\Users\selim\Media Player Classic\uninstall.exe"
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Device Emulator version 1.0 - FRA-->MsiExec.exe /X{F6E08BCD-8411-4943-85B6-C8F79AC613AC}
Microsoft Document Explorer 2005 Language Pack - FRA-->MsiExec.exe /X{A0EEDF22-8A8A-45C3-9571-FCCE846ABAED}
Microsoft Document Explorer 2005-->C:\Program Files\Common Files\Microsoft Shared\Help 8\Microsoft Document Explorer 2005\install.exe
Microsoft Document Explorer 2005-->MsiExec.exe /X{44D4AF75-6870-41F5-9181-662EA05507E1}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{59E4543A-D49D-4489-B445-473D763C79AF}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office Visio MUI (English) 2007-->MsiExec.exe /X{90120000-0054-0409-0000-0000000FF1CE}
Microsoft Office Visio Professional 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall VISPRO /dll OSETUP.DLL
Microsoft Office Visio Professional 2007-->MsiExec.exe /X{90120000-0051-0000-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-1A2E11197791}
Microsoft SQL Server 2005 Mobile [FRA] Developer Tools-->MsiExec.exe /X{8BBF1F9B-846E-412E-A291-D471E5BED251}
Microsoft SQL Server 2005 Tools Express Edition-->MsiExec.exe /I{3F59A7E0-BC01-4435-9E93-C7D7015C21DA}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{A3DAD26A-8CEA-44C2-8077-CE53239A56B3}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{335EE0D1-CBF2-499A-8830-7DA4ADDD60F8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual J# 2.0 Redistributable Package-->C:\Windows\Microsoft.NET\Framework\v2.0.50727\Microsoft Visual J# 2.0 Redistributable Package\install.exe
Microsoft Visual Studio 2005 Professional - Français-->c:\Program Files\Microsoft Visual Studio 8\Microsoft Visual Studio 2005 Professional Edition - FRA\setup.exe
Microsoft Visual Studio 6.0 Enterprise Edition-->"C:\Program Files\Microsoft Visual Studio\Common\Setup\1033\Setup.exe"
Microsoft VM for Java-->RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall
Microsoft Web Publishing Wizard 1.53-->RunDll32 ADVPACK.DLL,LaunchINFSection C:\Windows\INF\wpie3x86.inf,WebPostUninstall
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4a30-933D-EFDEBA76AD9C}
Module de prise en charge linguistique de Microsoft Document Explorer 2005 - FRA-->C:\Program Files\Common Files\Microsoft Shared\Help 8\Microsoft Document Explorer 2005 Language Pack - FRA\install.exe
Module de prise en charge linguistique de Microsoft Visual J# 2.0 Redistributable - FRA-->C:\Windows\Microsoft.NET\Framework\v2.0.50727\Module de prise en charge linguistique de Microsoft Visual J# 2.0 Redistributable - FRA\install.exe
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSDN Library for Visual Studio 2005 - French-->MsiExec.exe /X{EFCD9685-7D8B-44D2-B79A-06AD85173269}
MSDN Library pour Visual Studio 2005 - Français-->msiexec /i {EFCD9685-7D8B-44D2-B79A-06AD85173269}
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MySQL Tools for 5.0-->MsiExec.exe /I{FCB10DE3-E190-4A7E-B06A-FAC61567ABFC}
Navman NavDesk 2008-->C:\Program Files\InstallShield Installation Information\{9C8732C3-32DE-4569-9E90-30040D76DABC}\Setup.exe -runfromtemp -l0x040c -removeonly
Nero 8 Demo-->MsiExec.exe /X{B4649EFB-54CB-42AB-8536-8FED519E1036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NetBeans IDE 6.5-->"C:\Program Files\NetBeans 6.5\uninstall.exe"
Nokia Connectivity Cable Driver-->MsiExec.exe /X{B3164E9E-BE08-4F3B-94BC-C6D09C0205E1}
Nokia PC Suite-->C:\ProgramData\Installations\{D5577624-0626-4C4B-87AA-D966DA1739D6}\Nokia_PC_Suite_rel_7_0_9_2_eng.exe
Nokia PC Suite-->MsiExec.exe /I{D5577624-0626-4C4B-87AA-D966DA1739D6}
Notepad++-->C:\Program Files\Notepad++\uninstall.exe
Opera 9.63-->MsiExec.exe /X{1BC4026B-1957-4514-9058-2B542557F143}
Oracle Data Provider for .NET Help-->MsiExec.exe /I{6AA003BF-73E5-4911-ADB7-71DD5674DDD4}
Oracle Database 10g Express Edition-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{F0BC0F9E-C4A8-485C-93ED-424DB9EA3F75} /l1036 
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Package de pilotes Windows - Nokia Modem  (05/22/2008 3.8)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository
okia_bluetooth.inf_5e0e55c3
okia_bluetooth.inf
Package de pilotes Windows - Nokia Modem  (05/22/2008 7.00.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository
okbtmdm.inf_dcd936c5
okbtmdm.inf
Package de pilotes Windows - Nokia pccsmcfd  (10/12/2007 6.85.4.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf
Packet Tracer 4.1-->"C:\Program Files\Packet Tracer 4.1\unins000.exe"
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
PC Connectivity Solution-->MsiExec.exe /I{1A524CFE-DF85-4555-8BC2-0C89DBD8BC2C}
PDF Password Cracker Pro v2.0-->"C:\Program Files\PDF Password Cracker Pro v2.0\unins000.exe"
QuickTime-->MsiExec.exe /I{5B09BD67-4C99-46A1-8161-B7208CE18121}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
RocketDock 1.3.5-->"C:\Program Files\RocketDock\unins000.exe"
Roxio MyDVD DE-->MsiExec.exe /I{D639085F-4B6E-4105-9F37-A0DBB023E2FB}
SigmaTel Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup.exe" -l0x40c -remove -removeonly
Sonic Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}
SopCast 2.0.4-->C:\Program Files\SopCast\uninst.exe
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Subtitle Workshop 2.51-->"C:\Program Files\URUSoft\Subtitle Workshop\uninstall.exe"
URL Assistant-->regsvr32 /u /s "C:\Program Files\BAE\BAE.dll"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Veetle TV 0.9.15-->C:\Program Files\Veetle\UninstallVeetleTV.exe
VideoLAN VLC media player 0.8.6e-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VMware Workstation-->MsiExec.exe /I{A3FF5CB2-FB35-4658-8751-9EDE1D65B3AA}
WampServer 2.0-->"c:\wamp\unins000.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinPcap 4.0.2-->C:\Program Files\WinPcap\uninstall.exe
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

88.191.30.28  L2authd.lineage2.com
88.191.30.28  L2testauthd.lineage2.com

======Security center information======

AV: BitDefender Antivirus (disabled)
FW: BitDefender Firewall (disabled)
AS: BitDefender Antispyware (disabled)

======System event log======

Computer Name: PC-de-selim
Event Code: 7000
Message: Le service Gene6 FTP Server n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 215430
Source Name: Service Control Manager
Time Written: 20090812102747.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 7000
Message: Le service npkcrypt n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 215440
Source Name: Service Control Manager
Time Written: 20090812102747.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 215497
Source Name: Tcpip
Time Written: 20090812111452.974280-000
Event Type: Avertissement
User: 

Computer Name: PC-de-selim
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 215510
Source Name: Tcpip
Time Written: 20090812171621.027280-000
Event Type: Avertissement
User: 

Computer Name: PC-de-selim
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 215512
Source Name: Tcpip
Time Written: 20090812172751.591280-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: PC-de-selim
Event Code: 513
Message: Les services de chiffrement ont échoué lors du traitement de l’appel OnIdentity() dans l’objet System Writer.

Details:
AddWin32ServiceFiles: Unable to back up image of service wscsvc since QueryServiceConfig API failed

System Error:
Le fichier spécifié est introuvable.
.
Record Number: 69773
Source Name: Microsoft-Windows-CAPI2
Time Written: 20090811205127.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 12290
Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070565. hr = 0x00000000. 

Opération :
   Événement PrepareForBackup
   Événement PrepareForBackup

Contexte :
   Contexte d’exécution: ASR Writer
   Contexte d’exécution: Writer
   ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}
   Nom du rédacteur: ASR Writer
   ID d’instance du rédacteur: {7a62796d-db08-4b49-a8fc-3bc56f3ec79e}
Record Number: 69774
Source Name: VSS
Time Written: 20090811205135.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-selim
Event Code: 16387
Message: Échec de la création du cliché instantané en raison d’une erreur signalée par ASR Writer.  Plus d’infos : Le nombre maximal de secrets pouvant être stockés sur un système donné a été dépassé. (0x80070565).
Record Number: 69775
Source Name: SPP
Time Written: 20090811205135.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 8193
Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Users\selim\AppData\Local\Temp\AVSETUP_4a81d8a8\basic\setup.exe /NOTEMPCLEANUP /CROSSUPGRADE ; Description = Avira AntiVir Personal - 11/08/2009 22:51 ; Hr = 0x800423f4).
Record Number: 69776
Source Name: System Restore
Time Written: 20090811205136.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 1002
Message: Le programme avconfig.exe version 9.0.0.21 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 9d8 Heure de début : 01ca1ac5a538c209 Heure de fin : 0
Record Number: 69782
Source Name: Application Hang
Time Written: 20090811205705.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-de-selim
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0xe807374

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 61041
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090122123005.602000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0xea3181f
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC_SÉLIM
	Adresse du réseau source :	192.168.0.10
	Port source :		1300

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 61042
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090122132211.206000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0xea3181f

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 61043
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090122132211.525000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0xea3183f
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC_SÉLIM
	Adresse du réseau source :	192.168.0.10
	Port source :		1300

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 61044
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090122132211.534000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0xea3183f

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 61045
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090122132211.545000-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ANT_HOME"=C:\EclipseIlabs\ant
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"JAR_HOME"=N:\classes\jar
"JAVA_HOME"=C:\EclipseIlabs\java5
"M2_HOME"=C:\Program Files\Apache Software Foundation\apache-maven-2.1.0\bin
"MAVEN_OPTS"=-Xmx512M
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\EclipseIlabs\subversion;C:\EclipseIlabs\java5\bin;C:\EclipseIlabs\ant\bin;C:\EclipseIlabs\maven2\bin;C:\Program Files\PC Connectivity Solution;C:\oraclexe\app\oracle\product\10.2.0\server\bin;D:\oracle\product\10.2.0\db_1\bin;c:\program files\common filesoxio shared\dllshared;c:\program files\common filesoxio shared\9.0\dllshared;C:\Program Files\Microsoft SQL Server\90\Tools\binn;C:\Program Files\QuickTime\QTSystem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0604
"QTJAVA"=C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"VS80COMNTOOLS"=c:\Program Files\Microsoft Visual Studio 8\Common7\Tools\
"windir"=%SystemRoot%

-----------------EOF-----------------

Utilisateur anonyme · Answer

je vais regarder ton rapport rsit mais je veux désinfecter surtout ton pc avec avira
s'il y a un virus sur ton pc qui empeche l'installation des outils de désinfection, toute tentatives sera ratée.
configure le comme je te l'ai indiqué et fais un scan en mode sans échec, pui copie le rapport ici S'il te plait,
merci

katson42 · Answer

Ok Electricien 69 je fais ça de suite.

Merci.

Utilisateur anonyme · Answer

ça prend un certain temps, il ne faut pas être pressé 
n'oublie pas de faire la mise à jour d'avira avant de lancer le scan :-)

katson42 · Answer

Ok, je fais tout ça et je poste le rapport.

Merci pour ton aide.

Utilisateur anonyme · Answer

tu es de la loire?
un voisin ;-)

katson42 · Answer

Je suis originaire de Saint-Etienne, mais actuellement je suis à Lyon pour finir mes études.
Et toi, lyonnais pur souche ?

Utilisateur anonyme · Answer

69 du 69, pur cochon, lol

on ne va pas faire du hors sujet, tu en es ou?

je file me coucher, je regarderai ton rapport demain, en attendant , bonne nuit

katson42 · Answer

Merci. 

Je voulais juste dire que je n'ai pas trouvé l'option "Heuristique fichier Win32", à la place il y a "Advanced Heuristic Analysis and Detection", que j'ai activé en réglant le niveau de détection à "moyen".
Sinon j'ai lancé le scan depuis 15 minutes, mais il se bloque au bout de 30s, toujours sur "ntoskrnl.exe".


Bonne nuit.

plopus · Answer

Salut  a vous 2

kastson qui ta fait utilisé Combofix et GENPROC ?

poste le rapport qui ce trouve ici C:\combofix.txt

plopus · Answer

re

avant de faire toolcleaner qu'il poste bien ce rapport  C:\combofix.txt

sa peut toujours aider  ;)

@+

Utilisateur anonyme · Answer

re,
ces rapports datent au moins d'un quainzaine de jours, il vaut mieux tout recommencer
avira peut tout nettoyer à condition de ne pas se retrouver avec 2 autres antivirus, d'ou le bloquage au bout de 30 s ;-)

katson42 · Answer

Merci Electricien69 et Plopus, 
je suis actuellement sur mon lieu de stage, je fait tout ça dès que je rentre.

katson42 · Answer

Plopus, 

je n'ai pas de rapport ComboFix, l'analyse n'arrivait pas non plus à son terme (pourtant je l'avais laissé tourner près de 24h !!).

katson42 · Answer

Electricien 69, j'ai tout désinstaller, et exécuter ToolsCleaner.

Dont voici le rapport :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Genproc\outil\mbr.exe: trouvé !
C:\Genproc\Page\GenProc[*].html: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\selim\Desktop\ComboFix.exe: trouvé !
C:\Users\selim\Desktop\hijackthis.log: trouvé !
C:\Users\selim\Desktop\Rsit.exe: trouvé !
C:\Users\selim\Desktop\catchme.log: trouvé !
C:\Users\selim\Desktop\MsnFix: trouvé !
C:\Users\selim\Desktop\backups\hijackthis.log: trouvé !
C:\Users\selim\Desktop\MSNFix\MsnFix: trouvé !
C:\Users\selim\Desktop\MSNFix\MSNFix\incl\catchme.exe: trouvé !
C:\Users\selim\Desktop\Rapport de stage\hijackthis.log: trouvé !
C:\Windows\msnfix.txt: trouvé !
C:\Windows\System32\*.msnfix: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Users\selim\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\selim\Desktop\MSNFix\MSNFix\incl\catchme.exe: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Genproc\outil\mbr.exe: supprimé !
C:\Genproc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\selim\Desktop\hijackthis.log: supprimé !
C:\Users\selim\Desktop\Rsit.exe: supprimé !
C:\Users\selim\Desktop\catchme.log: supprimé !
C:\Users\selim\Desktop\backups\hijackthis.log: supprimé !
C:\Users\selim\Desktop\Rapport de stage\hijackthis.log: supprimé !
C:\Windows\msnfix.txt: supprimé !
C:\Windows\System32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Combofix: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Users\selim\Desktop\MsnFix: supprimé !



Je vais faire une analyse avec Antivir.

Utilisateur anonyme · Answer

ok, merci ;-)

katson42 · Answer

Je suis de retour du boulot, et malheureusement, l'analyse Antivir est restée bloqué toujours sur "ntoskrnl.exe".
Pourtant je pense avoir tout désinstallé.

katson42 · Answer

N'y a t'il pas un autre moyen d'éradiquer ce virus ?

Merci.

Utilisateur anonyme · Answer

essaye de faire une mise à jour de ton wondows depuis le site de microsoft et relance avira
je vais devoir te laisser, je pars demain matin tôt, je laisse la main à plopus

bon courage et à +

katson42 · Answer

Ok Electricien 69, je tente ça.

Bonne vacances.

Utilisateur anonyme · Answer

merci , bon courage ;-)

katson42 · Answer

Maintenant je ne peux même plus télécharger les mises à jour.....je suis toujours à 0%.
Ça commence à devenir désespéré.

plopus · Answer

bonsoir ici

Katsion :

sa tu connais ce jeux en ligne, tu t'en sert encore ?

O1 - Hosts: 88.191.30.28 L2testauthd.lineage2.com 


clic ici http://www.cijoint.fr/cj200908/cijKP2NOSR.txt et suit les instruction qui sont mises

et ensuite fait ceci :

    *  Télécharge Malwarebytes
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

katson42 · Answer

Salut Plopus, 

un pote m'avait installé ce jeu, je n'y est jamais joué. Je suis les instructions et reposte ensuite.

Merci.

plopus · Answer

salut

ok fait les instructions et desinstalle ce jeux si tu ne t'en sert pas, on supprimera les traces ensuite

dans ajout et suppression du programme du panneau de configuration, desinstalle le jeux + tout les autres logiciels que tu ne te sert pas ou peu

et fait ce que jte demande

katson42 · Answer

Salut Plopus,

Le jeu est déjà désinstallé, il ne reste que les traces. J'ai tenté de faire une analyse avec MalwareBytes, mais c'est toujours le même problème, l'analyse bloque.
Y a t'il quelque chose que j'aurais mal fait  ?

Merci.

plopus · Answer

heu tu as oublié sa

http://www.cijoint.fr/cj200908/cijKP2NOSR.txt

clic sur le lien et LIT et FAIT et poste le rapport ensuite tu fait malwarebyte

katson42 · Answer

Désolé Plopus, j'avais oublié de poster le rapport :


No active process named explorer.exe was found!
No active process named TeaTimer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver ad3fwr73 not found.
Service\Driver ad3fwr73 not found.
========== FILES ==========
LoadLibrary failed for C:\Windows\system32\UACkvxmxcbrof.dll
C:\Windows\system32\UACkvxmxcbrof.dll NOT unregistered.
C:\Windows\system32\UACkvxmxcbrof.dll moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
->Temp folder emptied: 0 bytes
 
User: Default
 
User: Default User
 
User: Invité
 
User: Public
 
User: selim
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 37136 bytes
%systemroot%\System32 .tmp files removed: 37136 bytes
Windows Temp folder emptied: 170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,07 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08132009_230551

Files moved on Reboot...

Registry entries deleted on Reboot...

plopus · Answer

si malwarebyte sa marche pas poste un nouveau RSIT

katson42 · Answer

Salut Plopus,

voici le premier rapport (log.txt) :

Logfile of random's system information tool 1.06 (written by random/random)
Run by selim at 2009-08-15 00:50:20
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 125 GB (55%) free of 228 GB
Total RAM: 2045 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:50:42, on 15/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\Explorer.exe
C:\Users\selim\Desktop\RSIT.exe
C:\Program Files	rend micro\selim.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: 88.191.30.28 L2authd.lineage2.com
O1 - Hosts: 88.191.30.28 L2testauthd.lineage2.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Unknown owner - C:\Program Files\Gene6 FTP Server\G6FTPSERVER.EXE (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Apache Tomcat (Tomcat6) - Apache Software Foundation - C:\Program Files\Apache Software Foundation\Tomcat 6.0\bin	omcat6.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

katson42 · Answer

Et le second (info.txt) :

info.txt logfile of random's system information tool 1.06 2009-08-15 00:50:49

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero8\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
7-Zip 4.63-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Apache Tomcat 6.0 (remove only)-->"C:\Program Files\Apache Software Foundation\Tomcat 6.0\Uninstall.exe"
ArcSoft MediaConverter 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59E1EEA6-EDBC-45C1-9754-A88119760547}\SETUP.EXE" -l0x40c 
Assistant Personnalisation du systéme Dell-->MsiExec.exe /I{9954484F-6EE4-4040-94E3-4B380646F867}
AusLogics Disk Defrag-->"C:\Program Files\AusLogics Disk Defrag\unins000.exe"
AviDecode-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45BA6F47-ED29-4ACB-8F40-BBAD4D644EE5}\Setup.exe" 
Avidemux 2.4-->C:\Program Files\Avidemux 2.4\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AxCrypt (Désinstaller uniquement)-->"C:\Program Files\Axon Data\AxCrypt\AxCryptU.exe"
Azureus-->C:\Program Files\Azureus\Uninstall.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}
ConsumerUpdate-->MsiExec.exe /I{7C6999B2-1A35-4F2C-8DB7-3CB46B640CC9}
CrypTool 1.4.21-->C:\Program Files\CrypTool\uninstall.exe
DellSupport-->MsiExec.exe /X{7EFA5E6F-74F7-4AFB-8AEA-AA790BD3A76D}
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Download Manager 2.3.6-->C:\Program Files\Download Manager\uninst.exe
DV M2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6B58EEEB-2C83-4A08-93F4-BBB80AEDB370}\Setup.exe" 
EclipseIlabs 0.9.7-->"C:\EclipseIlabs\unins000.exe"
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Guide de l'utilisateur-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CD29180-A95E-11D3-A4EB-00C04F7BDB2C}\setup.exe" 
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
J2SE Development Kit 5.0 Update 12-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150120}
J2SE Runtime Environment 5.0 Update 12-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
Java(TM) SE Development Kit 6-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160000}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
JOnAS 4.10.3-->C:\JOnAS-4.10.3\Uninstall.exe
KhalInstallWrapper-->MsiExec.exe /I{56918C0C-0D87-4CA6-92BF-4975A43AC719}
K-Lite Codec Pack 4.4.2 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
La boite a couleurs version 1.6.14-->"C:\Program Files\LaBoiteACouleurs\unins000.exe"
LimeWire PRO 5.1.2-->"C:\Program Files\LimeWire\uninstall.exe"
Logitech SetPoint-->C:\Program Files\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe -runfromtemp -l0x040c -removeonly
Macromedia Extension Manager-->MsiExec.exe /I{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}
Macromedia Flash 8 Video Encoder-->MsiExec.exe /X{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}
Macromedia Flash 8-->MsiExec.exe /I{2BD5C305-1B27-4D41-B690-7A61172D2FEB}
Macromedia Flash Player 8-->MsiExec.exe /X{885A63EA-382B-4DD4-A755-14809B8557D6}
Madrics Superbox Pro and Superbox3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{55EEC3B1-3F34-4E59-8D42-E2C6A51B1D5E}\setup.exe" -l0x9 
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Media Player Classic fr-->"C:\Users\selim\Media Player Classic\uninstall.exe"
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Device Emulator version 1.0 - FRA-->MsiExec.exe /X{F6E08BCD-8411-4943-85B6-C8F79AC613AC}
Microsoft Document Explorer 2005 Language Pack - FRA-->MsiExec.exe /X{A0EEDF22-8A8A-45C3-9571-FCCE846ABAED}
Microsoft Document Explorer 2005-->C:\Program Files\Common Files\Microsoft Shared\Help 8\Microsoft Document Explorer 2005\install.exe
Microsoft Document Explorer 2005-->MsiExec.exe /X{44D4AF75-6870-41F5-9181-662EA05507E1}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{59E4543A-D49D-4489-B445-473D763C79AF}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office Visio MUI (English) 2007-->MsiExec.exe /X{90120000-0054-0409-0000-0000000FF1CE}
Microsoft Office Visio Professional 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall VISPRO /dll OSETUP.DLL
Microsoft Office Visio Professional 2007-->MsiExec.exe /X{90120000-0051-0000-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-1A2E11197791}
Microsoft SQL Server 2005 Mobile [FRA] Developer Tools-->MsiExec.exe /X{8BBF1F9B-846E-412E-A291-D471E5BED251}
Microsoft SQL Server 2005 Tools Express Edition-->MsiExec.exe /I{3F59A7E0-BC01-4435-9E93-C7D7015C21DA}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{A3DAD26A-8CEA-44C2-8077-CE53239A56B3}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{335EE0D1-CBF2-499A-8830-7DA4ADDD60F8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual J# 2.0 Redistributable Package-->C:\Windows\Microsoft.NET\Framework\v2.0.50727\Microsoft Visual J# 2.0 Redistributable Package\install.exe
Microsoft Visual Studio 2005 Professional - Français-->c:\Program Files\Microsoft Visual Studio 8\Microsoft Visual Studio 2005 Professional Edition - FRA\setup.exe
Microsoft Visual Studio 6.0 Enterprise Edition-->"C:\Program Files\Microsoft Visual Studio\Common\Setup\1033\Setup.exe"
Microsoft VM for Java-->RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall
Microsoft Web Publishing Wizard 1.53-->RunDll32 ADVPACK.DLL,LaunchINFSection C:\Windows\INF\wpie3x86.inf,WebPostUninstall
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4a30-933D-EFDEBA76AD9C}
Module de prise en charge linguistique de Microsoft Document Explorer 2005 - FRA-->C:\Program Files\Common Files\Microsoft Shared\Help 8\Microsoft Document Explorer 2005 Language Pack - FRA\install.exe
Module de prise en charge linguistique de Microsoft Visual J# 2.0 Redistributable - FRA-->C:\Windows\Microsoft.NET\Framework\v2.0.50727\Module de prise en charge linguistique de Microsoft Visual J# 2.0 Redistributable - FRA\install.exe
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSDN Library for Visual Studio 2005 - French-->MsiExec.exe /X{EFCD9685-7D8B-44D2-B79A-06AD85173269}
MSDN Library pour Visual Studio 2005 - Français-->msiexec /i {EFCD9685-7D8B-44D2-B79A-06AD85173269}
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MySQL Tools for 5.0-->MsiExec.exe /I{FCB10DE3-E190-4A7E-B06A-FAC61567ABFC}
Navman NavDesk 2008-->C:\Program Files\InstallShield Installation Information\{9C8732C3-32DE-4569-9E90-30040D76DABC}\Setup.exe -runfromtemp -l0x040c -removeonly
Nero 8 Demo-->MsiExec.exe /X{B4649EFB-54CB-42AB-8536-8FED519E1036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NetBeans IDE 6.5-->"C:\Program Files\NetBeans 6.5\uninstall.exe"
Nokia Connectivity Cable Driver-->MsiExec.exe /X{B3164E9E-BE08-4F3B-94BC-C6D09C0205E1}
Nokia PC Suite-->C:\ProgramData\Installations\{D5577624-0626-4C4B-87AA-D966DA1739D6}\Nokia_PC_Suite_rel_7_0_9_2_eng.exe
Nokia PC Suite-->MsiExec.exe /I{D5577624-0626-4C4B-87AA-D966DA1739D6}
Notepad++-->C:\Program Files\Notepad++\uninstall.exe
Opera 9.63-->MsiExec.exe /X{1BC4026B-1957-4514-9058-2B542557F143}
Oracle Data Provider for .NET Help-->MsiExec.exe /I{6AA003BF-73E5-4911-ADB7-71DD5674DDD4}
Oracle Database 10g Express Edition-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{F0BC0F9E-C4A8-485C-93ED-424DB9EA3F75} /l1036 
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Package de pilotes Windows - Nokia Modem  (05/22/2008 3.8)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository
okia_bluetooth.inf_5e0e55c3
okia_bluetooth.inf
Package de pilotes Windows - Nokia Modem  (05/22/2008 7.00.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository
okbtmdm.inf_dcd936c5
okbtmdm.inf
Package de pilotes Windows - Nokia pccsmcfd  (10/12/2007 6.85.4.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf
Packet Tracer 4.1-->"C:\Program Files\Packet Tracer 4.1\unins000.exe"
PC Connectivity Solution-->MsiExec.exe /I{1A524CFE-DF85-4555-8BC2-0C89DBD8BC2C}
PDF Password Cracker Pro v2.0-->"C:\Program Files\PDF Password Cracker Pro v2.0\unins000.exe"
QuickTime-->MsiExec.exe /I{5B09BD67-4C99-46A1-8161-B7208CE18121}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
RocketDock 1.3.5-->"C:\Program Files\RocketDock\unins000.exe"
Roxio MyDVD DE-->MsiExec.exe /I{D639085F-4B6E-4105-9F37-A0DBB023E2FB}
SigmaTel Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup.exe" -l0x40c -remove -removeonly
Sonic Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}
SopCast 2.0.4-->C:\Program Files\SopCast\uninst.exe
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Subtitle Workshop 2.51-->"C:\Program Files\URUSoft\Subtitle Workshop\uninstall.exe"
URL Assistant-->regsvr32 /u /s "C:\Program Files\BAE\BAE.dll"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Veetle TV 0.9.15-->C:\Program Files\Veetle\UninstallVeetleTV.exe
VideoLAN VLC media player 0.8.6e-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VMware Workstation-->MsiExec.exe /I{A3FF5CB2-FB35-4658-8751-9EDE1D65B3AA}
WampServer 2.0-->"c:\wamp\unins000.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinPcap 4.0.2-->C:\Program Files\WinPcap\uninstall.exe
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

88.191.30.28  L2authd.lineage2.com
88.191.30.28  L2testauthd.lineage2.com

======System event log======

Computer Name: PC-de-selim
Event Code: 7000
Message: Le service npkcrypt n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 216346
Source Name: Service Control Manager
Time Written: 20090813211005.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 6008
Message: L'arrêt système précédant à 12:23:22 le 14/08/2009 n'était pas prévu.
Record Number: 216439
Source Name: EventLog
Time Written: 20090814165814.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 216449
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090814165825.485043-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 7000
Message: Le service Gene6 FTP Server n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 216493
Source Name: Service Control Manager
Time Written: 20090814165948.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 7000
Message: Le service npkcrypt n'a pas pu démarrer en raison de l'erreur : 
Le chemin d'accès spécifié est introuvable.
Record Number: 216502
Source Name: Service Control Manager
Time Written: 20090814165948.000000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-de-selim
Event Code: 1002
Message: Le programme mbam.exe version 1.40.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 156c Heure de début : 01ca1c61fe1e5af9 Heure de fin : 11
Record Number: 70352
Source Name: Application Hang
Time Written: 20090814064828.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-901158219-3693705265-2263795286-1000:
Process 968 (\Device\HarddiskVolume3\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-901158219-3693705265-2263795286-1000

Record Number: 70355
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090814064845.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-selim
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-901158219-3693705265-2263795286-1000_Classes:
Process 968 (\Device\HarddiskVolume3\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-901158219-3693705265-2263795286-1000_CLASSES

Record Number: 70356
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090814064847.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-selim
Event Code: 1002
Message: Le programme firefox.exe version 1.9.1.3497 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 310 Heure de début : 01ca1d055ab8aba1 Heure de fin : 84
Record Number: 70439
Source Name: Application Hang
Time Written: 20090814224801.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-selim
Event Code: 1002
Message: Le programme Explorer.EXE version 6.0.6001.18164 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 974 Heure de début : 01ca1d053ba5f561 Heure de fin : 15
Record Number: 70440
Source Name: Application Hang
Time Written: 20090814224842.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-de-selim
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x1ce17a95
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC_SÉLIM
	Adresse du réseau source :	192.168.0.10
	Port source :		2849

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 61232
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125222902.372000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0x1ce17a95

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 61233
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125222902.384000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x1cf8604a
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC_SÉLIM
	Adresse du réseau source :	192.168.0.10
	Port source :		3636

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 61234
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125230106.130000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID du compte :		0x1cf8604a

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 61235
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125230106.147000-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-selim
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x1d46aa26
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	PC_SÉLIM
	Adresse du réseau source :	192.168.0.10
	Port source :		4292

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 61236
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090125233306.241000-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ANT_HOME"=C:\EclipseIlabs\ant
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"JAR_HOME"=N:\classes\jar
"JAVA_HOME"=C:\EclipseIlabs\java5
"M2_HOME"=C:\Program Files\Apache Software Foundation\apache-maven-2.1.0\bin
"MAVEN_OPTS"=-Xmx512M
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\EclipseIlabs\subversion;C:\EclipseIlabs\java5\bin;C:\EclipseIlabs\ant\bin;C:\EclipseIlabs\maven2\bin;C:\Program Files\PC Connectivity Solution;C:\oraclexe\app\oracle\product\10.2.0\server\bin;D:\oracle\product\10.2.0\db_1\bin;c:\program files\common filesoxio shared\dllshared;c:\program files\common filesoxio shared\9.0\dllshared;C:\Program Files\Microsoft SQL Server\90\Tools\binn;C:\Program Files\QuickTime\QTSystem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0604
"QTJAVA"=C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"VS80COMNTOOLS"=c:\Program Files\Microsoft Visual Studio 8\Common7\Tools\
"windir"=%SystemRoot%

-----------------EOF-----------------

plopus · Answer

salut

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://forum.malekal.com/viewtopic.php?f=59&t=6517
==> Vas dans "Démarrer" puis Panneau de configuration.
==> Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
==> Clique sur Continuer.
==> Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
==> Valide par OK et redémarre.

puis


clic ici  http://www.cijoint.fr/cj200908/cijZdbhEeL.txt  et fait ce qui est dit
(execute OTM en clic droit et executer en administrateur)

ensuite

Fais un scan en ligne Kaspersky :

• Désactive ton antivirus
• Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
• Clique sur "Kaspersky Online Scanner Cliquez-ici"
• Lis le texte d'information, puis clique sur « J'accepte »
• Si une fenêtre te demande t'exécuter un programme, accepte
• Une fois la mise à jour téléchargée, choisis "Poste de travail" pour le scan.
• A la fin de l'analyse, clique sur « Enregistrer rapport » et poste le dans ta prochaine réponse.

Tutoriel illustré : https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky

katson42 · Answer

Salut Plopus, 

j'ai fais ce que tu m'as demandé de faire. Mais l'analyse de Kapersky s'arrête aussi sur le "ntosknrl.exe"...je ne sais vraiment plus quoi faire.
Voici le screen : https://imageshack.com/

Merci.

plopus · Answer

AVANT DE FAIRE LE SCAN EN LIGNE FAIRE CE QUE JAI MIS :

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

==> Vas dans "Démarrer" puis Panneau de configuration.
==> Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
==> Clique sur Continuer.
==> Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
==> Valide par OK et redémarre.

PUIS (il faut clic sur le lien...)


clic ici http://www.cijoint.fr/cj200908/cijZdbhEeL.txt et fait ce qui est dit
(execute OTM en clic droit et executer en administrateur)

katson42 · Answer

J'ai fait aussi les étapes que tu as mentionnés avant. L'UAC est désactivée depuis un bon moment.

Voici d'ailleurs le rapport d'OTM :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named TeaTimer.exe was found!
No active process named iexplorer.exe was found!
No active process named C:\Users\delphine\AppData\Local\ymiyeog.exe was found!
========== SERVICES/DRIVERS ==========

Service\Driver npkcrypt deleted successfully.
Service\Driver asbueia1 not found.
Service\Driver asbueia1 not found.
Service\Driver asbueia1 not found.
Service\Driver npkcusb deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Updates\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
->Temp folder emptied: 0 bytes
 
User: Default
 
User: Default User
 
User: Invité
 
User: Public
 
User: selim
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 1941 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08152009_100856

Files moved on Reboot...

Registry entries deleted on Reboot...

plopus · Answer

Arrive tu as faire un scan RAPIDE avec malwarebyte, fait une mise a jour te lance en un supprime si des elemnts sont trouvées puis poste le rapport

et réessaye le scan en ligne au passage tu noteras le chemin d'acces au fichiers sur lequel les analyse ce bloque mais a priori c'est un fichier legitime

katson42 · Answer

Ok, je fais ça et je reposte.
Merci.

katson42 · Answer

L'analyse MalwareBytes rapide bloque aussi sur un fichier (plus de 15 minutes sur le même) :

https://imageshack.com/

C'est le fichier C:\Windows\system32\NTIO.SYS 

Aucune des analyses que je fais (Antivir, Kapersky, MalwareBytes) ne va à son terme.

plopus · Answer

clic droit sur le lien ci dessous et choisit "enregistré la cible du lien sous"
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacmenet du fichier sur LE BUREAU et tu le RENOMME en CF

une fois telecharger CF sur ton bureau, tu desactive ton antivirus et toutes tes defences de meme que le pare feu si autre que celui de windows

lance le suit les indications et ne touche a rien pendant le scan et poste le rapport a la fin

katson42 · Answer

Salut Plopus,

il n' a rien à faire, j'ai fais ce que tu m'as demandé de faire. ComboFIx démarre bien il faite tour à tour ses étapes, mais ensuite il redémarre et me dit que le rapport est en train de s'écrire.....mais le problème c'est qu'il est resté comme ça près de 36h et n'a toujours pas fini, j'ai donc redémarré le PC.

Ce virus est vraiment coriace. Dois-je maintenant passer par l'étape de formatage puis restauration (avec ma partition "recovery" qui je l'espère n'est pas infectée) ?

Merci.

plopus · Answer

salut

tu as pas de rapport dans C:/combofix.txt

si non relance le une fois en te deconnectant bien d'internet et en fermant toutes tes applications

katson42 · Answer

Salut Plopus, 

le problème c'est que Combofix me fait redémarrer le PC, donc tous les programmes redémarrent.
Je vais quand même essayer.

Merci.

katson42 · Answer

Salut Ploplus,

il m'est impossible de faire une analyse complète avec ComboFix. Je n'ai pas de rapport....
Je ne sais vraiment plus quoi faire.

plopus · Answer

redemarre ton PC au bip tapote F8 et choisit mode sans echec lance combofix puis une fois qu'il te demande de redemarré tu accepte mais tu au bip tu rappui sur F8 pour aller en moide sans echec voir si il peut finir le travail enregitsre le rapport et poste le

katson42 · Answer

Salut,

j'ai essayé la manip que tu m'as conseillé mais ça ne marche pas. Si je tente de redémarrer en mode sans échec après le premier lancement de ComboFix celui-ci ne se relance plus...
Aurais-tu une autre idée STP . 

Merci.

plopus · Answer

tu l'as fait ou c'est ce que tu pense ?

katson42 · Answer

Je l'ai fait Plopus et ça ne marche pas.

plopus · Answer

ok le fichier combofix est bien renommé ? comme demandé 

essaye ceci :

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
http://www.gmer.net/
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

katson42 · Answer

Oui Plopus, j'ai renommé ComboFix en CF, comme je lance les analyse en mode sans échec je pense que tous les logiciels de protections sont désactivés. Et comme ne n'ai plus accès au gestionnaire des taches je ne peux malheureusement pas vérifier.

Je teste la solution avec Gmer.

Merci.

katson42 · Answer

Salut Plopus, 

j'ai essayé la solution avec GMER (en mode sans échec). Au démarrage, il repère des infections, me demande si je veux faire un scan complet. Après avoir accepté, je le laisse tourner pratiquement 24h et...rien.
Le scan dure aussi longtemps d'habitude?
De plus, sans l'onglet "Services", j'en ai plusieurs en rouge, dois-je le enlever .

Merci.

plopus · Answer

ne le fais pas en mode sans echec

essaye en mode normal tu laisse le scan ce finir et copie colle le rapport pour que je puisse voir les lignes stps

Analyse antivirus impossible

54 réponses

Discussions similaires