Trojan .banker ?

nadine44 Messages postés 228 Statut Membre -  
nadine44 Messages postés 228 Statut Membre -
Bonjour,
bonsoir apres fait un scan avec malwarebytes , il m a trouvé trojan.banker , que j ai supprimé et j ai redemarré mon ordi afin que malwarebytes le supprime , j aimerais savoir si c est un virus dangereux et si il y a des consequences a avoir eu ce genre de virus , merci
Configuration: Windows Vista
Firefox 3.5.3

32 réponses

  • 1
  • 2
  1. MB_s Messages postés 17 Statut Membre 5
     
    Bonjour, regard mon pote, avec un trojan on peut prendre contrôle de ton ordinateur(voler tes mots de passes tes login, fermer ton ordinateur....)
    comment tu a pu l'avoir, a tu télécharger un truc suspect ?????
    0
  2. nadine44 Messages postés 228 Statut Membre 5
     
    bonsoir , ben justement , je sais pas mais malwarebytes l a detecté et supprimé et je voulais savoir ce que ce virus pouvait faire comme degats je prefere anticiper au cas ou
    0
  3. MB_s Messages postés 17 Statut Membre 5
     
    OK, pour voir si tu est piraté alor tu va de te déconnecté de msn et de skype....
    puis, tape dans la commande MS-Dos "netstat-n" et vérifie s'il y a une IP n'appartenant pas modem ou autre
    Et va vérifier dans ton pare feu windows s'il y a un programme que tu connais pas autorisé a ce connecté au réseaux
    s'il y a rien alors ta rien a t'en faire
    0
  4. nadine44 Messages postés 228 Statut Membre 5
     
    d accord , j ai regarde dans le pare feu et je n ai rien trouvé de suspect ( remarque je ne sais pas trop ce que je cherche )
    mais comment je fais pour nestat- n ? car je sais pas comment acceder a la commande ms-dos, merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Mike
     
    bonjours,

    info sur Trojan.Banker ;
    Trojan.Spy.Banker.BFK is a trojan horse capable of stealing usernames and passwords and sending them back to the attacker through a remote SMTP server.It also downloads other trojans from the internet >> réf. <<.

    Changez les password de vos instituts financières et autre ..
    0
  7. nadine44 Messages postés 228 Statut Membre 5
     
    merci mais je n ai aucune coordonnee bancaire sur mon ordi , j ai regardé le lien et ca fait peur !
    comment etre sur d en etre debarassé ?
    0
  8. MB_s Messages postés 17 Statut Membre 5
     
    Ton système d'exploitation est vista donc tu clik sur démmarer puis tape cmd puis entré(une fenêtre noir va s'ouvrir) et la tu tape netstat-n
    0
  9. nadine44 Messages postés 228 Statut Membre 5
     
    ok merci donc ca me met que :
    'nestat-n ' n est pas reconnu en tant que commande interne ou externe , un programme executable ou un fichier de commande
    0
  10. MB_s Messages postés 17 Statut Membre 5
     
    enlève les ""
    et ecrit netstat-n pas nestat-n
    0
  11. Mike
     
    re,

    Postez le rapport de suppression de Malwarebytes qui est disponible dans [Rapports/Logs].

    Et produisez ce rapport avec Rsit, pour vérifier l'état de votre pc..

    Téléchargez RSIT (de random/random) sur votre bureau.
    • Double cliquez sur RSIT.exe,
    • Appuyez sur [Continue] à l'écran « Disclaimer »,
    • RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
    >> le rapport Log.txt va s'ouvrir à l'écran..

    Postez ce rapport, aussi disponible dans C:\RSIT\..
    0
  12. nadine44 Messages postés 228 Statut Membre 5
     
    aie ca me met plein de connections actives
    0
  13. nadine44 Messages postés 228 Statut Membre 5
     
    voila le rapporl log
    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2838
    Windows 6.0.6002 Service Pack 2

    21/09/2009 23:33:41
    mbam-log-2009-09-21 (23-33-41).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
    Eléments examinés: 164710
    Temps écoulé: 42 minute(s), 29 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Quarantined and deleted successfully.
    ensuite je m occupe de rsit
    0
  14. MB_s Messages postés 17 Statut Membre 5
     
    sa ne seré pa ton msn qui est infecté !!!!
    0
  15. nadine44 Messages postés 228 Statut Membre 5
     
    oui je pensais aussi a msn mais ca me met :
    Fichier(s) infecté(s):
    C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Quarantined and deleted successfully.
    0
  16. nadine44 Messages postés 228 Statut Membre 5
     
    voila un rapport :
    =====Uninstall list======

    ABBYY FineReader 6.0 Sprint-->MsiExec.exe /I{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
    Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL
    Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly
    Acer ePerformance Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D462BF9E-0C35-4705-BF9B-3DF9F3816643}\setup.exe" -l0x40c -removeonly
    Acer Picture Slide DVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{41581EF5-45A7-11DA-9D78-000129760D75}\Setup.exe" -uninstall
    Acer Plug and Record-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F6EFFB76-4A07-11DA-9D78-000129760D75}\Setup.exe" -uninstall
    Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
    Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
    Acer Zone MagicDirector-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F79A208D-D929-11D9-9D77-000129760D75}\Setup.exe" -uninstall
    Acer Zone Main Page-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}\Setup.exe" -uninstall
    Acer Zone MakeDisk-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\Setup.exe" -uninstall
    Acer Zone SoftDMA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\Setup.exe" -uninstall
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
    Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    ATI Catalyst Control Center Ex-->MsiExec.exe /I{94F5A370-E9E0-E543-E33D-BB80C25967B9}
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
    Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{93EA9C3E-BDFD-4309-A605-9B5BBC0CCEFD}\SETUP.EXE" -l0x40c UNINST
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Clean Virus MSN-->"C:\Program Files\AxBx\Clean Virus MSN\unins000.exe"
    DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
    eMule-->"C:\Program Files\eMule\Uninstall.exe"
    EPSON Attach To Email-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
    EPSON Copy Utility 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\SETUP.EXE" -l0x40c -UnInstall
    EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3D78F2A2-C893-4ABD-B5FE-AD7011837755}\SETUP.EXE" -l0x40c UNINST
    EPSON File Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x40c UNINST
    EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
    EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
    EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
    EPSON Stylus CX7300_CX8300_DX7400_DX8400 Manuel-->C:\Program Files\EPSON\TPMANUAL\ES_CX_DX\FRA\USE_G\DOCUNINS.EXE
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
    LimeWire 5.2.12-->"C:\Program Files\LimeWire\uninstall.exe"
    Logitech Desktop Messenger-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\setup.exe" -l0x40c UNINSTALL
    Logitech Webcam Software-->MsiExec.exe /I{AC96671C-2001-432C-9826-5266D84EF1DC}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly
    NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Programme de gestion Camera de Logitech®-->"C:\Program Files\Common Files\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
    Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AV: AntiVir Desktop (disabled) (outdated)
    AS: Windows Defender

    ======System event log======

    Computer Name: PC-de-nadine
    Event Code: 4385
    Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-212_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
    Record Number: 7137
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20090816235400.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-nadine
    Event Code: 4385
    Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-211_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
    Record Number: 7136
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20090816235400.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-nadine
    Event Code: 4385
    Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-210_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
    Record Number: 7135
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20090816235400.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-nadine
    Event Code: 4385
    Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-209_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
    Record Number: 7134
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20090816235400.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-nadine
    Event Code: 4385
    Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-208_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
    Record Number: 7133
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20090816235400.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM

    =====Application event log=====

    Computer Name: PC-de-nadine
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-600605231-1911183526-460213348-1000:
    Process 560 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-600605231-1911183526-460213348-1000

    Record Number: 428
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20090816190258.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-nadine
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {6947b33a-30ba-41e0-a3fb-02779ded4a48}
    Record Number: 423
    Source Name: VSS
    Time Written: 20090816190201.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-nadine
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {6947b33a-30ba-41e0-a3fb-02779ded4a48}
    Record Number: 417
    Source Name: VSS
    Time Written: 20090816185949.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-nadine
    Event Code: 1008
    Message: Le service Windows Search tente de supprimer l’ancien catalogue.

    Record Number: 383
    Source Name: Microsoft-Windows-Search
    Time Written: 20090816195239.000000-000
    Event Type: Avertissement
    User:

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 1036
    Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
    Record Number: 362
    Source Name: Microsoft-Windows-SpoolerSpoolss
    Time Written: 20090816194343.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 4647
    Message: Fermeture de session initiée par l’utilisateur :

    Sujet :
    ID de sécurité : S-1-5-21-3661433547-1227533398-2457628172-500
    Nom du compte : Administrator
    Domaine du compte : LH-Q2TUUYFIDCG8
    ID d’ouverture de session : 0x27c79

    Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
    Record Number: 304
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20061213094621.717335-000
    Event Type: Succès de l'audit
    User:

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 303
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20061213094546.186085-000
    Event Type: Succès de l'audit
    User:

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : LH-Q2TUUYFIDCG8$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x294
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 302
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20061213094546.186085-000
    Event Type: Succès de l'audit
    User:

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : LH-Q2TUUYFIDCG8$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x294
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 301
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20061213094546.186085-000
    Event Type: Succès de l'audit
    User:

    Computer Name: LH-Q2TUUYFIDCG8
    Event Code: 1102
    Message: Le journal d’audit a été effacé.
    Objet :
    ID de sécurité : S-1-5-21-3661433547-1227533398-2457628172-500
    Nom de compte : Administrator
    Nom de domaine : LH-Q2TUUYFIDCG8
    ID de connexion : 0x27c79
    Record Number: 300
    Source Name: Microsoft-Windows-Eventlog
    Time Written: 20061213094509.904835-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
    "PROCESSOR_REVISION"=0604
    "NUMBER_OF_PROCESSORS"=2

    -----------------EOF-----------------
    0
  17. nadine44 Messages postés 228 Statut Membre 5
     
    et voila le secon rapport :
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by nadine at 2009-09-22 01:43:35
    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
    System drive C: has 37 GB (50%) free of 73 GB
    Total RAM: 894 MB (45% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:44:10, on 22/09/2009
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v8.00 (8.00.6001.18813)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\System32\LVCOMSX.EXE
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\SFR\Kit\9props.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Users\nadine\Desktop\RSIT.exe
    C:\Program Files\trend micro\nadine.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\Windows\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
    O4 - HKLM\..\Run: [Messenger Update] msnmsgrs.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\SFR\Kit\9props.exe" /trayicon
    O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O13 - Gopher Prefix:
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O18 - Protocol: bwa0 - {F48B8E9D-2944-4D31-A287-38B970F70030} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\Users\nadine\AppData\Local\Temp\AVSETUP_4ab7cef4\basic\avupgsvc.exe (file missing)
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  18. Mike
     
    re,

    nadine44, rsit produit les rapport info.txt que vous venez de poster
    Et le rapport log.txt que nous avons besoin pour vérification !

    postez c:\Rsit\Log.txt
    0
  19. nadine44 Messages postés 228 Statut Membre 5
     
    y a un rapport de bon ?
    0
  20. nadine44 Messages postés 228 Statut Membre 5
     
    rsit a genere 2 rapports , et j ai posté les 2
    0
  21. Mike
     
    re,

    • Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire ..
    • Copier/ coller le contenu de la Citation suivante dans le Bloc-Note,
    • Dans le bloc-note sélectionner -> Fichier -> Enregistrer sous..
    • Sauvegarder le Bloc-Note sous SupInf.Bat (sur le bureau)
    • Faites un clic-droit sur SupInf.Bat et "Exécuter en tant qu'Admin.."

    reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\?????????" /f    
    reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Messenger Update /f
    reg delete "HKcu\Software\Microsoft\Windows\CurrentVersion\Run" /v ????r /f
    del /F /Q /A C:\Windows\admintxt.txt
    if exist C:\Windows\admintxt.txt (echo admintxt.txt not deleting >> C:\Sup_Inf.txt) else echo admintxt.txt IS deleting >> C:\Sup_Inf.txt
    start notepad C:\Sup_Inf.txt 

    Si le rapport qui s'ouvre à l'écran montre :
    admintxt.txt IS deleting

    C'est correct

    Sinon allez supprimer C:\Windows\admintxt.txt
    0
  • 1
  • 2