Virus google

naruto_sasuke -  
 Utilisateur anonyme -
Bonjour,
quand je fais une recherche sur google je clique sur un lien j arrive sur une publicité et d autre site.

Comment regler ce probleme.

merci!!!!!
Configuration: Windows Vista Internet Explorer 7.0

13 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    1- Télécharge et installe le logiciel HijackThis :

    https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    (Ne lance pas ce prg pour l'instant et fais la suite ... )

    2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer.

    Clic droit sous VISTA (exécuter en tant que…)

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

    Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante ...
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
    ( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit

    @+
    0
  2. naruto_sasuke
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Saouli at 2009-12-06 12:57:12
    Microsoft® Windows Vista™ Édition Familiale Premium
    System drive C: has 7 GB (12%) free of 60 GB
    Total RAM: 2046 MB (58% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:57:21, on 2009-12-06
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16916)
    Boot mode: Normal

    Running processes:
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Users\Saouli\Desktop\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Saouli.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
    O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    0
  3. naruto_sasuke
     
    info.txt logfile of random's system information tool 1.06 2009-12-06 12:57:24

    ======Uninstall list======

    -->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    µTorrent-->"C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
    Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
    Apple Application Support-->MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415}
    Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
    Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Google SketchUp 7-->MsiExec.exe /I{E80B8E43-EC59-4ECF-B15B-194A6B86DE46}
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    ImgBurn 2.3.2.0 Fr-->"C:\Program Files\ImgBurn\unins000.exe"
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
    IsoBuster 2.6-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
    iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
    Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
    LibUSB-Win32-0.1.12.1-->"C:\Program Files\LibUSB-Win32\unins000.exe"
    LimeWire 5.3.6-->"C:\Program Files\LimeWire\uninstall.exe"
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Nero 7 Premium-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301033}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
    QuickFreedom 1.1.0-->"C:\Program Files\QuickFreedom\unins000.exe"
    QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    WebEx Support Manager for Internet Explorer-->MsiExec.exe /I{7FCC4EDC-6EE2-4309-ABD7-85F2667A7B90}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

    ======Hosts File======

    127.0.0.1 localhost
    ::1 localhost

    ======Security center information======

    AV: avast! antivirus 4.8.1368 [VPS 091206-0]
    AS: Windows Defender
    AS: avast! antivirus 4.8.1368 [VPS 091206-0]

    ======System event log======

    Computer Name: PC-de-Saouli
    Event Code: 7030
    Message: Le service avast! Mail Scanner est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
    Record Number: 95612
    Source Name: Service Control Manager
    Time Written: 20091206035135.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-Saouli
    Event Code: 7030
    Message: Le service avast! Web Scanner est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
    Record Number: 95613
    Source Name: Service Control Manager
    Time Written: 20091206035136.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-Saouli
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {71256891-15F5-484F-B19C-238D410BCCA5}
    Utilisateur : PC-de-Saouli\Saouli
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : file:C:\Windows\system32\drivers\etc\hosts
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 95725
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20091206040840.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-Saouli
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {D21091B4-E0E0-4FB0-9918-0EFA1EC13B75}
    Utilisateur : PC-de-Saouli\Saouli
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : driver:mchInjDrv
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 95726
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20091206040849.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-Saouli
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {EA3CE9E7-9405-400E-B1EB-B554B677D80D}
    Utilisateur : PC-de-Saouli\Saouli
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : service:mchInjDrv
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 95727
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20091206040849.000000-000
    Event Type: Avertissement
    User:

    =====Application event log=====

    Computer Name: PC-de-Saouli
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    6 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
    Process 1544 (\Device\HarddiskVolume1\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

    Record Number: 16917
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20091205234333.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000_Classes:
    Process 1544 (\Device\HarddiskVolume1\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

    Record Number: 16918
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20091205234334.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
    Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

    Record Number: 16942
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20091206002622.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
    Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

    Record Number: 16966
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20091206035149.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
    Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
    Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
    Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

    Record Number: 16992
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20091206045411.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name: PC-de-Saouli
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 21592
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024185918.329050-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 5033
    Message: Le pilote du Pare-feu Windows est correctement démarré.
    Record Number: 21593
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024185919.267467-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-0-0
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 3

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-7
    Nom du compte : ANONYMOUS LOGON
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x1cd20
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x0
    Nom du processus : -

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : NtLmSsp
    Package d’authentification : NTLM
    Services en transit : -
    Nom du package (NTLM uniquement) : NTLM V1
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 21594
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024185920.374818-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 5024
    Message: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
    Record Number: 21595
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024185920.949976-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 5032
    Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

    Code d’erreur : 2
    Record Number: 21596
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024185926.126621-000
    Event Type: Échec de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Smart Projects\IsoBuster
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0605
    "NUMBER_OF_PROCESSORS"=2
    "CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
    "QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

    -----------------EOF-----------------
    0
    1. Utilisateur anonyme
       
      Re

      1)=> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
      https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
      * Va dans démarrer puis panneau de configuration
      * Double Clique sur l'icône "Comptes d'utilisateurs"
      * Clique ensuite sur désactiver et valide.


      2) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



      Télécharge et install UsbFix de C_XX
      Ici : : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
      Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


      # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

      # Choisi l option 1 (Recherche)

      # Laisse travailler l outil.

      # Ensuite post le rapport UsbFix.txt qui apparaîtra.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

      @+
      0
  4. naruto_sasuke
     
    ############################## | UsbFix V6.059 |

    User : Saouli (Administrateurs) # PC-DE-SAOULI
    Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 13:32:12 | 2009-12-06
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
    Internet Explorer 7.0.6000.16916
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1368 [VPS 091206-0] 4.8.1368 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 58,59 Go (6,86 Go free) # NTFS
    D:\ -> Disque fixe local # 55,66 Go (6,19 Go free) # NTFS
    E:\ -> Disque fixe local # 55,89 Go (55,8 Go free) # NTFS
    F:\ -> Disque fixe local # 58,82 Go (53,98 Go free) # NTFS
    G:\ -> Disque CD-ROM
    H:\ -> Disque CD-ROM
    I:\ -> Disque amovible # 7,45 Go (4,22 Go free) [SONY] # FAT32

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 400
    C:\Windows\system32\csrss.exe 468
    C:\Windows\system32\wininit.exe 512
    C:\Windows\system32\csrss.exe 520
    C:\Windows\system32\services.exe 560
    C:\Windows\system32\lsass.exe 572
    C:\Windows\system32\lsm.exe 580
    C:\Windows\system32\winlogon.exe 672
    C:\Windows\system32\svchost.exe 784
    C:\Windows\system32\svchost.exe 868
    C:\Windows\System32\svchost.exe 900
    C:\Windows\System32\svchost.exe 1000
    C:\Windows\System32\svchost.exe 1068
    C:\Windows\system32\svchost.exe 1100
    C:\Windows\system32\SLsvc.exe 1232
    C:\Windows\system32\svchost.exe 1296
    C:\Windows\system32\svchost.exe 1492
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1704
    C:\Windows\system32\Dwm.exe 1724
    C:\Windows\Explorer.EXE 1756
    C:\Program Files\Alwil Software\Avast4\ashServ.exe 1788
    C:\Windows\System32\spoolsv.exe 312
    C:\Windows\system32\taskeng.exe 324
    C:\Windows\system32\svchost.exe 348
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 532
    C:\Windows\system32\atashost.exe 1720
    C:\Program Files\Bonjour\mDNSResponder.exe 1456
    C:\Windows\system32\svchost.exe 1268
    C:\Windows\system32\svchost.exe 2200
    C:\Windows\System32\svchost.exe 2280
    C:\Windows\system32\SearchIndexer.exe 2360
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2640
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2720
    C:\Windows\system32\taskeng.exe 2912
    C:\Program Files\Windows Defender\MSASCui.exe 3056
    C:\Program Files\Java\jre6\bin\jusched.exe 3240
    C:\Program Files\iTunes\iTunesHelper.exe 3256
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe 3300
    C:\Program Files\Windows Sidebar\sidebar.exe 3340
    C:\Program Files\Internet Download Manager\IDMan.exe 3460
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3488
    C:\Windows\ehome\ehtray.exe 3520
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe 3528
    C:\Program Files\Windows Media Player\wmpnscfg.exe 3552
    C:\Program Files\Windows Media Player\wmpnetwk.exe 3660
    C:\Windows\ehome\ehmsas.exe 3792
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe 3988
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe 4040
    C:\Program Files\iPod\bin\iPodService.exe 2256
    C:\Program Files\Internet Explorer\iexplore.exe 2660
    C:\Windows\system32\wuauclt.exe 3764
    C:\Windows\system32\conime.exe 168
    C:\Windows\system32\WUDFHost.exe 2836
    C:\Windows\system32\taskeng.exe 2056
    C:\Windows\ehome\mcupdate.EXE 1652
    C:\Windows\system32\wbem\wmiprvse.exe 3732

    ################## | Fichiers # Dossiers infectieux |

    I:\autorun.inf
    I:\copy.exe
    I:\host.exe

    ################## | Spyware.OnlineGames |

    ################## | Registre # Clés infectieuses |

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{c1a9518f-8dd4-11de-a1ef-00e04c190aee}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\copy.exe

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.059 ! |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. naruto_sasuke
     
    Quoi faire apres cette analyse
    0
    1. Utilisateur anonyme
       
      Re

      Un peu de patience pour commencer...

      Ensuite:

      1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

      # Clic droit"exécuter en temps qu'administrateur" sur le raccourci UsbFix présent sur ton bureau

      # choisi l option 2 (Suppression)

      # Ton bureau disparaîtra et le pc redémarrera.

      # Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

      # Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:UsbFix.txt )

      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


      2)Télécharge Malwarebytes anti malware ici
      http://www.malwarebytes.org/mbam.php

      * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

      (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

      * Potasse le tuto pour te familiariser avec le prg :

      https://forum.pcastuces.com/sujet.asp?f=31&s=3

      (cela dis, il est très simple d’utilisation).

      relance malwarebytes en suivant scrupuleusement ces consignes :

      ! Déconnecte toi et ferme toutes applications en cours !

      * Lance Malwarebyte's .

      Fais un examen dit "Complet" .

      --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
      --> à la fin tu cliques sur "résultat" .
      --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

      Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


      Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


      @+
      0
  7. naruto_sasuke
     
    Malwarebytes' Anti-Malware 1.42
    Version de la base de données: 3303
    Windows 6.0.6000
    Internet Explorer 7.0.6000.16916

    2009-12-06 16:07:27
    mbam-log-2009-12-06 (16-07-27).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|I:\|)
    Eléments examinés: 181298
    Temps écoulé: 1 hour(s), 23 minute(s), 24 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\UsbFix\Quarantine\I\copy.exe.UsbFix (Worm.Perlovga) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\I\host.exe.UsbFix (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\Saouli\Desktop\UsbFix_Upload_Me\copy.exe.UsbFix (Worm.Perlovga) -> Quarantined and deleted successfully.
    C:\Users\Saouli\Desktop\UsbFix_Upload_Me\host.exe.UsbFix (Trojan.Dropper) -> Quarantined and deleted successfully.
    0
  8. naruto
     
    quoi faire par la suite ?

    merci de ton aide
    0
    1. Utilisateur anonyme
       
      Bonsoir

      Il manque le rapport option 2 de UsbFix.

      Ou en sont tes problèmes de publicité?
      @+
      0
  9. naruto_sasuke
     
    Merci pour ton aide mais les publicités revenaient alors, j ai restauré mon systeme le jours où je n avais pas de probleme
    0
    1. Utilisateur anonyme
       
      Bonsoir

      Donc ton problème est résolu?On peut clore le post?
      0
  10. naruto_sasuke
     
    non,
    malhereusement le probleme est revenu
    alors je vais t envoyé rapport option 2 de UsbFix.
    0
  11. naruto_sasuke
     
    ############################## | UsbFix V6.059 |

    User : Saouli (Administrateurs) # PC-DE-SAOULI
    Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 20:10:10 | 2009-12-08
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
    Internet Explorer 7.0.6000.16916
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 58,59 Go (5,46 Go free) # NTFS
    D:\ -> Disque fixe local # 55,66 Go (6,19 Go free) # NTFS
    E:\ -> Disque fixe local # 55,89 Go (55,8 Go free) # NTFS
    F:\ -> Disque fixe local # 58,82 Go (53,98 Go free) # NTFS
    G:\ -> Disque CD-ROM
    H:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 424
    C:\Windows\system32\csrss.exe 488
    C:\Windows\system32\wininit.exe 532
    C:\Windows\system32\csrss.exe 540
    C:\Windows\system32\services.exe 580
    C:\Windows\system32\lsass.exe 592
    C:\Windows\system32\lsm.exe 600
    C:\Windows\system32\winlogon.exe 696
    C:\Windows\system32\svchost.exe 816
    C:\Windows\system32\svchost.exe 880
    C:\Windows\System32\svchost.exe 912
    C:\Windows\system32\LogonUI.exe 944
    C:\Windows\System32\svchost.exe 1000
    C:\Windows\System32\svchost.exe 1052
    C:\Windows\system32\svchost.exe 1068
    C:\Windows\system32\SLsvc.exe 1240
    C:\Windows\system32\svchost.exe 1324
    C:\Windows\system32\svchost.exe 1488
    C:\Windows\System32\spoolsv.exe 1708
    C:\Windows\system32\taskeng.exe 1796
    C:\Windows\system32\svchost.exe 1816
    C:\Windows\system32\Dwm.exe 1836
    C:\Windows\Explorer.EXE 1916
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 824
    C:\Windows\system32\atashost.exe 776
    C:\Program Files\Bonjour\mDNSResponder.exe 672
    C:\Windows\system32\svchost.exe 1764
    C:\Windows\system32\svchost.exe 1360
    C:\Windows\System32\svchost.exe 780
    C:\Windows\system32\SearchIndexer.exe 720
    C:\Windows\system32\taskeng.exe 2428
    C:\Windows\system32\runonce.exe 2540
    C:\Windows\system32\conime.exe 2580
    C:\Windows\system32\wbem\wmiprvse.exe 2896

    ################## | Fichiers # Dossiers infectieux |

    ################## | Spyware.OnlineGames |

    ################## | Registre # Clés infectieuses |

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{c1a9518f-8dd4-11de-a1ef-00e04c190aee}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [2006-09-18 16:43|--a------|24] C:\autoexec.bat
    [2008-01-19 02:45|-rahs----|333203] C:\bootmgr
    [2009-08-16 05:55|-ra-sc---|8192] C:\BOOTSECT.BAK
    [2006-09-18 16:43|--a------|10] C:\config.sys
    [2008-04-27 16:00|-rahsc---|0] C:\IO.SYS
    [2008-04-27 16:00|-rahsc---|0] C:\MSDOS.SYS
    [?|?|?] C:\pagefile.sys
    [2009-12-08 20:14|--a------|2830] C:\UsbFix.txt
    [2003-03-12 13:50|--ah-c---|140] C:\WM800918.bin
    [2009-11-30 19:55|--a------|4699979776] D:\bully.iso
    [2008-08-14 00:38|--a------|17942] D:\COPYING
    [2009-09-29 17:00|--a------|599759] D:\dop_ios_v8.elf
    [2009-12-05 17:21|--a------|0] D:\DVD.ibp
    [2009-08-12 02:28|--a------|4699979776] D:\medal of honor.iso
    [2009-06-05 03:13|--a------|4699979776] D:\METAL SLUG Anthology(compress).iso
    [2009-12-01 17:18|--a------|4699979776] D:\need for speed nitro.iso
    [2009-11-30 17:51|--a------|4699979776] D:\News Super Mario Bros Wii.iso
    [2009-12-01 17:54|--a------|4699979776] D:\nzruto gekitou ninja taisen ex 3.iso
    [2009-03-21 06:04|--a------|1459978240] D:\Pokcol.iso
    [2009-01-28 08:19|--a------|4699979776] D:\PRINCE OF PERSIA RIVAL SWORDS.iso
    [2008-11-24 14:17|--a------|2710] D:\READ.MII
    [2009-09-29 16:59|--a------|3196] D:\readme.txt
    [2009-12-01 17:27|--a------|4699979776] D:\sonic aux jeux olypiques.iso
    [2009-01-06 21:27|--a------|4699979776] D:\SUPER PAPER MARIO(compress).iso
    [2009-02-07 15:57|--a------|5006] E:\readme.txt
    [2009-09-26 17:02|---------|733716480] F:\Couvre-feu.avi
    [2009-09-26 20:12|---------|733663232] F:\Leviathan (2006).avi
    [2009-12-01 01:11|--a------|1459978240] F:\Naruto Gekitou Ninja Taisen 4 [NGC-JAP].ISO
    [2009-09-26 14:11|---------|746870784] F:\Terreur.Dans.La.Savane.2008..avi
    [2009-09-26 20:32|---------|666929134] F:\Ulysse Contre Hercule.avi
    [2009-09-26 14:21|---------|755604378] F:\Un appel manqu‚ (2008).avi

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.
    # E:\autorun.inf -> Dossier créé par UsbFix.
    # F:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Cracks / Keygens / Serials |

    ################## | Upload |

    Veuillez envoyer le fichier : C:\Users\Saouli\Desktop\UsbFix_Upload_Me_PC-de-Saouli.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.059 ! |
    0
    1. Utilisateur anonyme
       
      Bonjour

      On reprends depuis le début.Donc la première chose à faire est:

      1)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles

      ---> Télécharge Toolscleaner sur ton Bureau.
      https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
      * Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista)pour le lancer.
      * Clique sur Recherche et laisse le scan agir.
      * Clique sur Suppression pour finaliser.
      * Tu peux, si tu le souhaites, te servir des Options Facultatives.
      * Clique sur Quitter pour obtenir le rapport.
      * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


      2)Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

      -> http://images.malwareremoval.com/random/RSIT.exe

      ! Déconnecte toi et ferme toutes tes applications en cours !

      Double-clique sur " RSIT.exe " pour le lancer.

      Clic droit sous VISTA (exécuter en tant que…)

      -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

      * Devant l'option "List files/folders created ..." , tu choisis : 2 months

      * clique ensuite sur " Continue " pour lancer l'analyse ...


      -> laisse faire le scan et ne touche pas au PC ...


      Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

      Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

      Important : poste un rapport, puis l'autre dans la réponse suivante ...
      Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
      ( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

      ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit

      @+
      0
  12. naruto_sasuke
     
    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\UsbFix.txt: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\Users\Saouli\Desktop\Rsit.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\UsbFix.txt: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\Users\Saouli\Desktop\Rsit.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    0
  13. naruto_sasuke
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Saouli at 2009-12-11 17:41:29
    Microsoft® Windows Vista™ Édition Familiale Premium
    System drive C: has 3 GB (5%) free of 60 GB
    Total RAM: 2046 MB (54% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:41:37, on 2009-12-11
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16916)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\System32\qtplugin.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Users\Saouli\Desktop\RSIT.exe
    C:\Program Files\trend micro\Saouli.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [RegistryMonitor1] C:\Windows\system32\qtplugin.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [RegistryMonitor1] "C:\Windows\System32\qtplugin.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\qwdt.tmp\svchost.exe" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\qwdt.tmp\svchost.exe" (User 'Default user')
    O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
    O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    0
  14. naruto_sasuke
     
    info.txt logfile of random's system information tool 1.06 2009-12-11 17:41:40

    ======Uninstall list======

    -->C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    µTorrent-->"C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
    Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
    Apple Application Support-->MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415}
    Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Google SketchUp 7-->MsiExec.exe /I{E80B8E43-EC59-4ECF-B15B-194A6B86DE46}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    ImgBurn 2.3.2.0 Fr-->"C:\Program Files\ImgBurn\unins000.exe"
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
    IsoBuster 2.6-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
    iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
    Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
    LibUSB-Win32-0.1.12.1-->"C:\Program Files\LibUSB-Win32\unins000.exe"
    LimeWire 5.3.6-->"C:\Program Files\LimeWire\uninstall.exe"
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Nero 7 Premium-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301033}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
    QuickFreedom 1.1.0-->"C:\Program Files\QuickFreedom\unins000.exe"
    QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    WebEx Support Manager for Internet Explorer-->MsiExec.exe /I{7FCC4EDC-6EE2-4309-ABD7-85F2667A7B90}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

    ======Security center information======

    AS: Windows Defender

    ======System event log======

    Computer Name: PC-de-Saouli
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
    Record Number: 100775
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091211220153.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
    Record Number: 100776
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091211220153.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
    Record Number: 100777
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091211220153.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Installation demandée(Install Requested)
    Record Number: 100778
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091211220153.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Saouli
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Installation demandée(Install Requested)
    Record Number: 100780
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091211220153.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Application event log=====

    Computer Name: PC-de-Saouli
    Event Code: 8193
    Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\servicing\TrustedInstaller.exe ; Description = Programme d’installation pour les modules Windows ; Hr = 0x800423f4).
    Record Number: 17610
    Source Name: System Restore
    Time Written: 20091211215853.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-Saouli
    Event Code: 12290
    Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070037. hr = 0x00000000.

    Opération :
    Événement PrepareForBackup
    Événement PrepareForBackup

    Contexte :
    Contexte d’exécution: ASR Writer
    Contexte d’exécution: Writer
    ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}
    Nom du rédacteur: ASR Writer
    ID d’instance du rédacteur: {247e7f93-6acb-4616-a761-0af13d227585}
    Record Number: 17621
    Source Name: VSS
    Time Written: 20091211220452.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-Saouli
    Event Code: 8193
    Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\system32\svchost.exe -k netsvcs ; Description = Windows Update ; Hr = 0x800423f4).
    Record Number: 17622
    Source Name: System Restore
    Time Written: 20091211220452.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-Saouli
    Event Code: 1002
    Message: Le programme ToolsCleaner2.exe version 0.0.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 1228 Heure de début : 01ca7ab1aa899481 Heure de fin : 11
    Record Number: 17624
    Source Name: Application Hang
    Time Written: 20091211223142.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-Saouli
    Event Code: 1002
    Message: Le programme ToolsCleaner2.exe version 0.0.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 139c Heure de début : 01ca7ab2bc8a8ac2 Heure de fin : 17
    Record Number: 17626
    Source Name: Application Hang
    Time Written: 20091211223928.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: PC-de-Saouli
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-SAOULI$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x244
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 21499
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024165123.164023-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-SAOULI$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x244
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 21500
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024165123.164023-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 21501
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024165123.164023-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 5033
    Message: Le pilote du Pare-feu Windows est correctement démarré.
    Record Number: 21502
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024165124.162982-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Saouli
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-0-0
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 3

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-7
    Nom du compte : ANONYMOUS LOGON
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x1d7a7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x0
    Nom du processus : -

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : NtLmSsp
    Package d’authentification : NTLM
    Services en transit : -
    Nom du package (NTLM uniquement) : NTLM V1
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 21503
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20091024165125.239085-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Smart Projects\IsoBuster
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0605
    "NUMBER_OF_PROCESSORS"=2
    "CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
    "QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

    -----------------EOF-----------------
    0
    1. Utilisateur anonyme
       
      Bonjour

      1)Mets à jour ton PC.
      Vista SP1 et installe IE8

      Et seulement après tu passe au:
      2)Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
      ->Renomme le pour l’enregistrer sur ton bureau en asdehi (tout simplement pour que l’infection ne le contre pas)
      -> Double clique combofix.exe.
      -> Tape sur la touche 1 (Yes) pour démarrer le scan.
      -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

      NOTE : Le rapport se trouve également ici : C:\Combofix.txt

      Avant d'utiliser ComboFix :

      -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

      -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

      Une fois fait, sur ton bureau double-clic sur Combofix.exe.

      - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

      - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

      - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

      - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

      -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

      -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

      /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


      ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

      @+
      0