virus google Fermé

Question

Bonjour,
quand je fais une recherche sur google je clique sur un lien j arrive sur une publicité et d autre site.

Comment regler ce probleme.

merci!!!!!

Utilisateur anonyme · Answer

Bonsoir

1-	Télécharge et installe le logiciel HijackThis   : 

  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html 

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l&#8217;installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge. 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

(Ne lance pas ce prg pour l'instant et fais la suite ... ) 


2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.   

-> http://images.malwareremoval.com/random/RSIT.exe 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur  " RSIT.exe "   pour le lancer.
 
 Clic droit sous VISTA (exécuter en tant que&#8230;)
 
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue "   pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). 

Poste le contenu de  " log.txt "   (c'est celui qui apparaît à l'écran), ainsi que de  " info.txt "   (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante ... 
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... 
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... ) 

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit   

@+

naruto_sasuke · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Saouli at 2009-12-06 12:57:12
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 7 GB (12%) free of 60 GB
Total RAM: 2046 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:21, on 2009-12-06
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Saouli\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Saouli.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} - 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

naruto_sasuke · Answer

info.txt logfile of random's system information tool 1.06 2009-12-06 12:57:24

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
µTorrent-->"C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Apple Application Support-->MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Google SketchUp 7-->MsiExec.exe /I{E80B8E43-EC59-4ECF-B15B-194A6B86DE46}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ImgBurn 2.3.2.0 Fr-->"C:\Program Files\ImgBurn\unins000.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
IsoBuster 2.6-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
LibUSB-Win32-0.1.12.1-->"C:\Program Files\LibUSB-Win32\unins000.exe"
LimeWire 5.3.6-->"C:\Program Files\LimeWire\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 7 Premium-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301033}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
QuickFreedom 1.1.0-->"C:\Program Files\QuickFreedom\unins000.exe"
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WebEx Support Manager for Internet Explorer-->MsiExec.exe /I{7FCC4EDC-6EE2-4309-ABD7-85F2667A7B90}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 	localhost
::1 	localhost

======Security center information======

AV: avast! antivirus 4.8.1368 [VPS 091206-0]
AS: Windows Defender
AS: avast! antivirus 4.8.1368 [VPS 091206-0]

======System event log======

Computer Name: PC-de-Saouli
Event Code: 7030
Message: Le service avast! Mail Scanner est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
Record Number: 95612
Source Name: Service Control Manager
Time Written: 20091206035135.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-Saouli
Event Code: 7030
Message: Le service avast! Web Scanner est marqué comme étant interactif. Cependant, le système est configuré pour ne pas autoriser les services interactifs. Ce service peut ne pas fonctionner correctement.
Record Number: 95613
Source Name: Service Control Manager
Time Written: 20091206035136.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-Saouli
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {71256891-15F5-484F-B19C-238D410BCCA5}
  	Utilisateur : PC-de-Saouli\Saouli
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : file:C:\Windows\system32\drivers\etc\hosts
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 95725
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20091206040840.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-Saouli
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {D21091B4-E0E0-4FB0-9918-0EFA1EC13B75}
  	Utilisateur : PC-de-Saouli\Saouli
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : driver:mchInjDrv
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 95726
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20091206040849.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-Saouli
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {EA3CE9E7-9405-400E-B1EB-B554B677D80D}
  	Utilisateur : PC-de-Saouli\Saouli
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : service:mchInjDrv
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 95727
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20091206040849.000000-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: PC-de-Saouli
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 6 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
Process 1544 (\Device\HarddiskVolume1\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 3168 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

Record Number: 16917
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091205234333.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000_Classes:
Process 1544 (\Device\HarddiskVolume1\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

Record Number: 16918
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091205234334.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 2868 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

Record Number: 16942
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091206002622.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 2912 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

Record Number: 16966
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091206035149.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 5 user registry handles leaked from \Registry\User\S-1-5-21-4083545200-3678536505-4126951756-1000:
Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary\Scanner
Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary
Process 1984 (\Device\HarddiskVolume1\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe) has opened key \REGISTRY\USER\S-1-5-21-4083545200-3678536505-4126951756-1000\Software\Ahead\Nero Home\MediaLibrary

Record Number: 16992
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091206045411.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: PC-de-Saouli
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 21592
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024185918.329050-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 5033
Message: Le pilote du Pare-feu Windows est correctement démarré.
Record Number: 21593
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024185919.267467-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x1cd20
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 21594
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024185920.374818-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 5024
Message: Le démarrage du service Pare-feu Windows s’est correctement déroulé.
Record Number: 21595
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024185920.949976-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 5032
Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

Code d’erreur :	2
Record Number: 21596
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024185926.126621-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Smart Projects\IsoBuster
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

naruto_sasuke · Answer

############################## | UsbFix V6.059 |

User : Saouli (Administrateurs) # PC-DE-SAOULI
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:32:12 | 2009-12-06
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16916
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 091206-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 58,59 Go (6,86 Go free) # NTFS
D:\ -> Disque fixe local # 55,66 Go (6,19 Go free) # NTFS
E:\ -> Disque fixe local # 55,89 Go (55,8 Go free) # NTFS
F:\ -> Disque fixe local # 58,82 Go (53,98 Go free) # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 7,45 Go (4,22 Go free) [SONY] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 400
C:\Windows\system32\csrss.exe 468
C:\Windows\system32\wininit.exe 512
C:\Windows\system32\csrss.exe 520
C:\Windows\system32\services.exe 560
C:\Windows\system32\lsass.exe 572
C:\Windows\system32\lsm.exe 580
C:\Windows\system32\winlogon.exe 672
C:\Windows\system32\svchost.exe 784
C:\Windows\system32\svchost.exe 868
C:\Windows\System32\svchost.exe 900
C:\Windows\System32\svchost.exe 1000
C:\Windows\System32\svchost.exe 1068
C:\Windows\system32\svchost.exe 1100
C:\Windows\system32\SLsvc.exe 1232
C:\Windows\system32\svchost.exe 1296
C:\Windows\system32\svchost.exe 1492
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1704
C:\Windows\system32\Dwm.exe 1724
C:\Windows\Explorer.EXE 1756
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1788
C:\Windows\System32\spoolsv.exe 312
C:\Windows\system32	askeng.exe 324
C:\Windows\system32\svchost.exe 348
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 532
C:\Windows\system32\atashost.exe 1720
C:\Program Files\Bonjour\mDNSResponder.exe 1456
C:\Windows\system32\svchost.exe 1268
C:\Windows\system32\svchost.exe 2200
C:\Windows\System32\svchost.exe 2280
C:\Windows\system32\SearchIndexer.exe 2360
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2640
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2720
C:\Windows\system32	askeng.exe 2912
C:\Program Files\Windows Defender\MSASCui.exe 3056
C:\Program Files\Java\jre6\bin\jusched.exe 3240
C:\Program Files\iTunes\iTunesHelper.exe 3256
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 3300
C:\Program Files\Windows Sidebar\sidebar.exe 3340
C:\Program Files\Internet Download Manager\IDMan.exe 3460
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3488
C:\Windows\ehome\ehtray.exe 3520
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe 3528
C:\Program Files\Windows Media Player\wmpnscfg.exe 3552
C:\Program Files\Windows Media Player\wmpnetwk.exe 3660
C:\Windows\ehome\ehmsas.exe 3792
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe 3988
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe 4040
C:\Program Files\iPod\bin\iPodService.exe 2256
C:\Program Files\Internet Explorer\iexplore.exe 2660
C:\Windows\system32\wuauclt.exe 3764
C:\Windows\system32\conime.exe 168
C:\Windows\system32\WUDFHost.exe 2836
C:\Windows\system32	askeng.exe 2056
C:\Windows\ehome\mcupdate.EXE 1652
C:\Windows\system32\wbem\wmiprvse.exe 3732

################## | Fichiers # Dossiers infectieux |

I:\autorun.inf  
I:\copy.exe   
I:\host.exe  

################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{c1a9518f-8dd4-11de-a1ef-00e04c190aee}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\copy.exe

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.059 ! |

naruto_sasuke · Answer

Quoi faire apres cette analyse

naruto_sasuke · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3303
Windows 6.0.6000
Internet Explorer 7.0.6000.16916

2009-12-06 16:07:27
mbam-log-2009-12-06 (16-07-27).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|I:\|)
Eléments examinés: 181298
Temps écoulé: 1 hour(s), 23 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\I\copy.exe.UsbFix (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\I\host.exe.UsbFix (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Saouli\Desktop\UsbFix_Upload_Me\copy.exe.UsbFix (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\Users\Saouli\Desktop\UsbFix_Upload_Me\host.exe.UsbFix (Trojan.Dropper) -> Quarantined and deleted successfully.

naruto · Answer

quoi faire par la suite ?

merci de ton aide

naruto_sasuke · Answer

Merci pour ton aide mais les publicités revenaient alors, j ai restauré mon systeme le jours  où je n avais pas de probleme

naruto_sasuke · Answer

non,
malhereusement le probleme est revenu
alors je vais t envoyé rapport option 2 de UsbFix.

naruto_sasuke · Answer

############################## | UsbFix V6.059 |

User : Saouli (Administrateurs) # PC-DE-SAOULI
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:10:10 | 2009-12-08
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16916
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (5,46 Go free) # NTFS
D:\ -> Disque fixe local # 55,66 Go (6,19 Go free) # NTFS
E:\ -> Disque fixe local # 55,89 Go (55,8 Go free) # NTFS
F:\ -> Disque fixe local # 58,82 Go (53,98 Go free) # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 424
C:\Windows\system32\csrss.exe 488
C:\Windows\system32\wininit.exe 532
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\services.exe 580
C:\Windows\system32\lsass.exe 592
C:\Windows\system32\lsm.exe 600
C:\Windows\system32\winlogon.exe 696
C:\Windows\system32\svchost.exe 816
C:\Windows\system32\svchost.exe 880
C:\Windows\System32\svchost.exe 912
C:\Windows\system32\LogonUI.exe 944
C:\Windows\System32\svchost.exe 1000
C:\Windows\System32\svchost.exe 1052
C:\Windows\system32\svchost.exe 1068
C:\Windows\system32\SLsvc.exe 1240
C:\Windows\system32\svchost.exe 1324
C:\Windows\system32\svchost.exe 1488
C:\Windows\System32\spoolsv.exe 1708
C:\Windows\system32	askeng.exe 1796
C:\Windows\system32\svchost.exe 1816
C:\Windows\system32\Dwm.exe 1836
C:\Windows\Explorer.EXE 1916
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 824
C:\Windows\system32\atashost.exe 776
C:\Program Files\Bonjour\mDNSResponder.exe 672
C:\Windows\system32\svchost.exe 1764
C:\Windows\system32\svchost.exe 1360
C:\Windows\System32\svchost.exe 780
C:\Windows\system32\SearchIndexer.exe 720
C:\Windows\system32	askeng.exe 2428
C:\Windows\system32unonce.exe 2540
C:\Windows\system32\conime.exe 2580
C:\Windows\system32\wbem\wmiprvse.exe 2896

################## | Fichiers # Dossiers infectieux |


################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{c1a9518f-8dd4-11de-a1ef-00e04c190aee}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[2006-09-18 16:43|--a------|24] C:\autoexec.bat 
[2008-01-19 02:45|-rahs----|333203] C:\bootmgr 
[2009-08-16 05:55|-ra-sc---|8192] C:\BOOTSECT.BAK 
[2006-09-18 16:43|--a------|10] C:\config.sys 
[2008-04-27 16:00|-rahsc---|0] C:\IO.SYS 
[2008-04-27 16:00|-rahsc---|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[2009-12-08 20:14|--a------|2830] C:\UsbFix.txt 
[2003-03-12 13:50|--ah-c---|140] C:\WM800918.bin 
[2009-11-30 19:55|--a------|4699979776] D:\bully.iso 
[2008-08-14 00:38|--a------|17942] D:\COPYING 
[2009-09-29 17:00|--a------|599759] D:\dop_ios_v8.elf 
[2009-12-05 17:21|--a------|0] D:\DVD.ibp 
[2009-08-12 02:28|--a------|4699979776] D:\medal of honor.iso 
[2009-06-05 03:13|--a------|4699979776] D:\METAL SLUG Anthology(compress).iso 
[2009-12-01 17:18|--a------|4699979776] D:
eed for speed nitro.iso 
[2009-11-30 17:51|--a------|4699979776] D:\News Super Mario Bros Wii.iso 
[2009-12-01 17:54|--a------|4699979776] D:
zruto gekitou ninja taisen ex 3.iso 
[2009-03-21 06:04|--a------|1459978240] D:\Pokcol.iso 
[2009-01-28 08:19|--a------|4699979776] D:\PRINCE OF PERSIA RIVAL SWORDS.iso 
[2008-11-24 14:17|--a------|2710] D:\READ.MII 
[2009-09-29 16:59|--a------|3196] D:eadme.txt 
[2009-12-01 17:27|--a------|4699979776] D:\sonic aux jeux olypiques.iso 
[2009-01-06 21:27|--a------|4699979776] D:\SUPER PAPER MARIO(compress).iso 
[2009-02-07 15:57|--a------|5006] E:eadme.txt 
[2009-09-26 17:02|---------|733716480] F:\Couvre-feu.avi 
[2009-09-26 20:12|---------|733663232] F:\Leviathan (2006).avi 
[2009-12-01 01:11|--a------|1459978240] F:\Naruto Gekitou Ninja Taisen 4 [NGC-JAP].ISO 
[2009-09-26 14:11|---------|746870784] F:\Terreur.Dans.La.Savane.2008..avi 
[2009-09-26 20:32|---------|666929134] F:\Ulysse Contre Hercule.avi 
[2009-09-26 14:21|---------|755604378] F:\Un appel manqu‚ (2008).avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |


################## | Upload | 

Veuillez envoyer le fichier : C:\Users\Saouli\Desktop\UsbFix_Upload_Me_PC-de-Saouli.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.059 ! |

naruto_sasuke · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Saouli\Desktop\Rsit.exe: trouvé !

---------------------------------
--> Suppression: 

C:\UsbFix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Saouli\Desktop\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

naruto_sasuke · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Saouli at 2009-12-11 17:41:29
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 3 GB (5%) free of 60 GB
Total RAM: 2046 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:37, on 2009-12-11
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\qtplugin.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Saouli\Desktop\RSIT.exe
C:\Program Files	rend micro\Saouli.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RegistryMonitor1] C:\Windows\system32\qtplugin.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RegistryMonitor1] "C:\Windows\System32\qtplugin.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\qwdt.tmp\svchost.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\qwdt.tmp\svchost.exe" (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} - 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

naruto_sasuke · Answer

info.txt logfile of random's system information tool 1.06 2009-12-11 17:41:40

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
µTorrent-->"C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Apple Application Support-->MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Google SketchUp 7-->MsiExec.exe /I{E80B8E43-EC59-4ECF-B15B-194A6B86DE46}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ImgBurn 2.3.2.0 Fr-->"C:\Program Files\ImgBurn\unins000.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
IsoBuster 2.6-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
LibUSB-Win32-0.1.12.1-->"C:\Program Files\LibUSB-Win32\unins000.exe"
LimeWire 5.3.6-->"C:\Program Files\LimeWire\uninstall.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 7 Premium-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301033}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
QuickFreedom 1.1.0-->"C:\Program Files\QuickFreedom\unins000.exe"
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WebEx Support Manager for Internet Explorer-->MsiExec.exe /I{7FCC4EDC-6EE2-4309-ABD7-85F2667A7B90}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-de-Saouli
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
Record Number: 100775
Source Name: Microsoft-Windows-Servicing
Time Written: 20091211220153.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
Record Number: 100776
Source Name: Microsoft-Windows-Servicing
Time Written: 20091211220153.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Intermédiaire(Staged)
Record Number: 100777
Source Name: Microsoft-Windows-Servicing
Time Written: 20091211220153.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Installation demandée(Install Requested)
Record Number: 100778
Source Name: Microsoft-Windows-Servicing
Time Written: 20091211220153.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Saouli
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB971737(Update) à l’état Installation demandée(Install Requested)
Record Number: 100780
Source Name: Microsoft-Windows-Servicing
Time Written: 20091211220153.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: PC-de-Saouli
Event Code: 8193
Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\servicing\TrustedInstaller.exe ; Description = Programme d’installation pour les modules Windows ; Hr = 0x800423f4).
Record Number: 17610
Source Name: System Restore
Time Written: 20091211215853.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-Saouli
Event Code: 12290
Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070037. hr = 0x00000000. 

Opération :
   Événement PrepareForBackup
   Événement PrepareForBackup

Contexte :
   Contexte d’exécution: ASR Writer
   Contexte d’exécution: Writer
   ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}
   Nom du rédacteur: ASR Writer
   ID d’instance du rédacteur: {247e7f93-6acb-4616-a761-0af13d227585}
Record Number: 17621
Source Name: VSS
Time Written: 20091211220452.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-Saouli
Event Code: 8193
Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\system32\svchost.exe -k netsvcs ; Description = Windows Update ; Hr = 0x800423f4).
Record Number: 17622
Source Name: System Restore
Time Written: 20091211220452.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-Saouli
Event Code: 1002
Message: Le programme ToolsCleaner2.exe version 0.0.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 1228 Heure de début : 01ca7ab1aa899481 Heure de fin : 11
Record Number: 17624
Source Name: Application Hang
Time Written: 20091211223142.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-Saouli
Event Code: 1002
Message: Le programme ToolsCleaner2.exe version 0.0.0.0 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 139c Heure de début : 01ca7ab2bc8a8ac2 Heure de fin : 17
Record Number: 17626
Source Name: Application Hang
Time Written: 20091211223928.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-de-Saouli
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-DE-SAOULI$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x244
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 21499
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024165123.164023-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-DE-SAOULI$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			5

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x244
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		Advapi  
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 21500
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024165123.164023-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 21501
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024165123.164023-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 5033
Message: Le pilote du Pare-feu Windows est correctement démarré.
Record Number: 21502
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024165124.162982-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-Saouli
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x1d7a7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x0
	Nom du processus :		-

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	NTLM V1
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 21503
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091024165125.239085-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Smart Projects\IsoBuster
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

Virus google

13 réponses

Discussions similaires