Infection en boucle: svchost.exe hijacker.gen
bisounours
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
d'abord bonne fin d'année, quand même :D
sinon pour mon probleme,
matériel:
windows vista officiel (si si je vous assure ca existe encore ^^ )
antivir personnal edition
malewarebyte's anti malware (ou a peu pres)
ad aware
hijack this
le tout mis a jour bien sur: les differents scans ne me donnet plus aucun resultat (rien d'anormal non plus dans le log hijack this d'apres ce que j'ai pu lire et mes petites connaissances)
le probleme:
toutes les 5 mn exactement, j'ai deux alertes d'antivir me signalement la presence de fichers svchost.exe dans des repertoires: "C:/windows/temp/***.tmp/svchost.exe" infecte par "tr/hijacker.gen"
si je supprime ca me le remet, si je refuse l"'acces ca recommence, et le repertoire "***.tmp" est toujours different voili voilou
si qq a une idée?
merci d'avance
d'abord bonne fin d'année, quand même :D
sinon pour mon probleme,
matériel:
windows vista officiel (si si je vous assure ca existe encore ^^ )
antivir personnal edition
malewarebyte's anti malware (ou a peu pres)
ad aware
hijack this
le tout mis a jour bien sur: les differents scans ne me donnet plus aucun resultat (rien d'anormal non plus dans le log hijack this d'apres ce que j'ai pu lire et mes petites connaissances)
le probleme:
toutes les 5 mn exactement, j'ai deux alertes d'antivir me signalement la presence de fichers svchost.exe dans des repertoires: "C:/windows/temp/***.tmp/svchost.exe" infecte par "tr/hijacker.gen"
si je supprime ca me le remet, si je refuse l"'acces ca recommence, et le repertoire "***.tmp" est toujours different voili voilou
si qq a une idée?
merci d'avance
A voir également:
- Infection en boucle: svchost.exe hijacker.gen
- Vlc lecture en boucle ✓ - Forum Lecteurs et supports vidéo
- Huawei s'allume et s'éteint en boucle - Forum Huawei
- Xiaomi s'éteint tout seul et se rallume en boucle - Forum Xiaomi
- Problème xiaomi redmi note 8t s'allume et s'éteint vibre - Forum Xiaomi
- Mon pc s'allume et s'éteint en boucle - Forum Virus
11 réponses
slt,
____
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
____
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
merci pour la vitesse
voici les rapports
info.txt
log.txt
c'est bien dense en tout cas!
merci d'avance
voici les rapports
info.txt
info.txt logfile of random's system information tool 1.06 2009-12-29 16:07:57
======Uninstall list======
7-Zip 4.57-->MsiExec.exe /I{23170F69-40C1-2701-0457-000001000000}
Ad-Aware-->"C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Reader 9.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A92000000001}
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x040c -removeonly
Avira AntiVir Personal - Free Antivirus-->D:\Avira\AntiVir Desktop\setup.exe /REMOVE
Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Plus Web Player-->D:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
HijackThis 2.0.2-->"D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
JDownloader-->E:\Program Files\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"D:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
ManyCam 2.4 (remove only)-->"D:\Program Files\ManyCam 2.4\uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft XNA Framework Redistributable 3.1-->MsiExec.exe /I{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.6)-->D:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Ray Adams ATI Tray Tools-->"C:\Program Files\Ray Adams\ATI Tray Tools\uninstall.exe"
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Spybot - Search & Destroy-->"D:\Program Files\Spybot - Search & Destroy\unins000.exe"
SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
SweetIM Toolbar for Internet Explorer 3.3-->MsiExec.exe /X{266C7330-C0F4-49E5-8F20-A56F9F822875}
TEFView 2.65-->"D:\Program Files\TablEdit\unins000.exe"
The KMPlayer v2.9.4.1435 FR-->"D:\Program Files\The KMPlayer FR\unins000.exe"
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
TuneUp Utilities-->D:\Program Files\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
TuxGuitar 1.2-->D:\Program Files\TuxGuitar-Jet\Uninstall.exe
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Utilitaire d'identification du processeur Intel(R)-->MsiExec.exe /X{A92A4DB0-CD37-42D1-BE1D-603D53C24328}
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->D:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
=====HijackThis Backups=====
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'Default user') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') [2009-12-29]
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'Default user') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'Default user') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [ZagrebLand] C:\Windows\TEMP\p.exe (User 'SYSTEM') [2009-12-29]
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) [2009-12-29]
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) [2009-12-29]
Hosts File Missing
======Security center information======
AV: System Defender
FW: System Defender
AS: Windows Defender (disabled)
======System event log======
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486288
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486289
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Absent(Absent)
Record Number: 486290
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486291
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 486294
Source Name: Tcpip
Time Written: 20091229144617.653690-000
Event Type: Avertissement
User:
=====Application event log=====
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\jqyo.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28278
Source Name: Avira AntiVir
Time Written: 20091229145109.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28279
Source Name: Avira AntiVir
Time Written: 20091229150140.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28280
Source Name: Avira AntiVir
Time Written: 20091229150141.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28281
Source Name: Avira AntiVir
Time Written: 20091229150653.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28282
Source Name: Avira AntiVir
Time Written: 20091229150654.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Security event log=====
Computer Name: PC-de-Nakamura
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x203319
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail : COQUELICOT
Adresse du réseau source : 78.232.138.51
Port source : 8224
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 92384
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091444.794089-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x203319
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92385
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091444.968882-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x203337
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail : COQUELICOT
Adresse du réseau source : 78.232.138.51
Port source : 8224
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 92386
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.226678-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x203337
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92387
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.508887-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-21-2844290143-3367304610-857735423-501
Nom du compte : Invité
Domaine du compte : PC-de-Nakamura
ID du compte : 0x20321d
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92388
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.717858-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=C:\Program Files\Mozilla Firefox;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Common Files\Teleca Shared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=1706
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
-----------------EOF-----------------
log.txt
Logfile of random's system information tool 1.06 (written by random/random) Run by Nakamura at 2009-12-29 16:07:51 Microsoft® Windows Vista™ Professionnel Service Pack 1 System drive C: has 29 GB (59%) free of 50 GB Total RAM: 2047 MB (51% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:07:56, on 29/12/2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe D:\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe C:\Program Files\SuperCopier2\SuperCopier2.exe D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe D:\Program Files\VideoLAN\VLC\vlc.exe D:\Program Files\Java\jre6\bin\javaw.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\avira\antivir desktop\avcenter.exe C:\Users\Nakamura\Desktop\RSIT.exe D:\Program Files\Trend Micro\HijackThis\Nakamura.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'Default user') O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: @D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe -- End of file - 4868 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - D:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-19 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208] "avgnt"=D:\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "AtiTrayTools"=C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe [2008-10-04 675328] "SuperCopier2.exe"=C:\Program Files\SuperCopier2\SuperCopier2.exe [2009-08-16 955392] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup SA.DAT SCHEDLGU.TXT C:\Users\Nakamura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup SA.DAT SCHEDLGU.TXT [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler] Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-04-24 122880] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorUser"=2 "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "UacDisableNotify"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "AllowLegacyWebView"= "AllowUnhashedWebView"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] shell\AutoRun\command - G:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] shell\AutoRun\command - H:\FarCryAutoCD.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] shell\AutoRun\command - J:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K] shell\AutoRun\command - K:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b1abbf9-e664-11dd-8063-001a4d5bf5f0}] shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d6d5fde-598b-11de-adc8-00e04d96f31a}] shell\AutoRun\command - M:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91b36f9f-b4ca-11dd-bef0-001a4d5bf5f0}] shell\AutoRun\command - H:\GSeries.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9966a014-8e6a-11dd-bd55-806e6f6e6963}] shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfafabda-d680-11de-bccc-00e04d96f31a}] shell\AutoRun\command - J:\MI.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9eda668-285a-11de-ad20-00e04d96f31a}] shell\AutoRun\command - um.cmd shell\explore\command - um.cmd shell\open\command - um.cmd ======List of files/folders created in the last 1 months====== 2009-12-29 16:07:51 ----D---- C:\rsit 2009-12-29 15:31:19 ----D---- C:\ProgramData\Ubisoft 2009-12-28 12:35:46 ----A---- C:\Windows\system32\RTNUninst32.dll 2009-12-28 12:35:46 ----A---- C:\Windows\system32\RtNicProp32.dll 2009-12-20 21:18:43 ----D---- C:\Users\Nakamura\AppData\Roaming\ManyCam 2009-12-20 21:03:32 ----D---- C:\Users\Nakamura\AppData\Roaming\vlc 2009-12-20 16:13:54 ----D---- C:\Windows\pss 2009-12-20 10:33:59 ----D---- C:\Windows\system32\XPSViewer 2009-12-20 01:17:19 ----HD---- C:\Windows\Icons 2009-12-20 01:12:28 ----A---- C:\Windows\system32\lsdelete.exe 2009-12-20 00:48:45 ----D---- C:\ProgramData\Avira 2009-12-19 23:54:11 ----D---- C:\Users\Nakamura\AppData\Roaming\Malwarebytes 2009-12-19 23:54:07 ----D---- C:\ProgramData\Malwarebytes 2009-12-19 23:35:57 ----HDC---- C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6} 2009-12-19 23:35:48 ----D---- C:\ProgramData\Lavasoft 2009-12-19 23:35:48 ----D---- C:\Program Files\Lavasoft 2009-12-19 17:41:30 ----D---- C:\Program Files\Common Files\DivX Shared 2009-12-19 17:17:02 ----A---- C:\Windows\system32\TURegOpt.exe 2009-12-19 17:17:01 ----A---- C:\Windows\system32\uxtuneup.dll 2009-12-19 17:17:01 ----A---- C:\Windows\system32\authuitu.dll 2009-12-19 17:16:31 ----SHD---- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} 2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaws.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaw.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\java.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\deploytk.dll 2009-12-19 16:07:37 ----D---- C:\ProgramData\BitDefender 2009-12-19 13:43:42 ----D---- C:\Windows\A8B9466986544126BD28D0D2412CDED6.TMP 2009-12-19 03:58:54 ----D---- C:\ProgramData\Adobe 2009-12-19 03:58:52 ----D---- C:\Program Files\Common Files\Adobe 2009-12-19 03:11:58 ----A---- C:\Windows\_MSRSTRT.EXE 2009-12-14 11:29:35 ----A---- C:\Windows\wininit.ini 2009-12-10 11:48:01 ----A---- C:\Windows\system32\nshhttp.dll 2009-12-10 11:48:00 ----A---- C:\Windows\system32\httpapi.dll 2009-12-09 17:59:48 ----A---- C:\Windows\system32\winhttp.dll 2009-12-09 17:59:23 ----A---- C:\Windows\system32\rastls.dll 2009-12-09 17:59:22 ----A---- C:\Windows\system32\raschap.dll ======List of files/folders modified in the last 1 months====== 2009-12-29 16:07:56 ----D---- C:\Windows\Prefetch 2009-12-29 16:06:47 ----D---- C:\Windows\Temp 2009-12-29 15:42:37 ----D---- C:\Windows 2009-12-29 15:31:19 ----HD---- C:\ProgramData 2009-12-29 15:31:05 ----RSD---- C:\Windows\assembly 2009-12-29 15:26:42 ----HD---- C:\Program Files\InstallShield Installation Information 2009-12-28 23:36:39 ----D---- C:\Windows\system32\Tasks 2009-12-28 23:12:17 ----D---- C:\Windows\System32 2009-12-28 23:12:17 ----D---- C:\Windows\inf 2009-12-28 23:12:17 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-12-28 15:07:10 ----A---- C:\Windows\tefview.ini 2009-12-28 12:36:04 ----D---- C:\Windows\system32\drivers 2009-12-28 12:35:58 ----D---- C:\Windows\system32\catroot 2009-12-28 12:35:46 ----D---- C:\Program Files\Realtek 2009-12-22 10:27:05 ----D---- C:\Windows\system32\catroot2 2009-12-20 21:44:05 ----D---- C:\Program Files\Common Files 2009-12-20 17:53:05 ----D---- C:\Windows\system32\fr-FR 2009-12-20 17:53:05 ----D---- C:\Windows\system32\en-US 2009-12-20 17:18:30 ----D---- C:\Windows\system32\LogFiles 2009-12-20 12:17:25 ----D---- C:\Windows\Tasks 2009-12-20 10:41:29 ----D---- C:\Windows\rescache 2009-12-20 10:36:03 ----D---- C:\Windows\Microsoft.NET 2009-12-20 10:35:04 ----SHD---- C:\Windows\Installer 2009-12-20 10:34:01 ----D---- C:\Windows\winsxs 2009-12-20 10:33:59 ----RSD---- C:\Windows\Fonts 2009-12-20 10:33:59 ----D---- C:\Windows\system32\wbem 2009-12-20 02:12:02 ----SD---- C:\Users\Nakamura\AppData\Roaming\Microsoft 2009-12-20 01:56:42 ----D---- C:\Windows\fr-FR 2009-12-20 01:23:55 ----D---- C:\Windows\DigitalLocker 2009-12-20 00:12:11 ----SD---- C:\Windows\Downloaded Program Files 2009-12-19 23:40:21 ----D---- C:\ProgramData\Spybot - Search & Destroy 2009-12-19 23:36:53 ----DC---- C:\Windows\system32\DRVSTORE 2009-12-19 23:35:48 ----RD---- C:\Program Files 2009-12-19 17:16:37 ----D---- C:\ProgramData\TuneUp Software 2009-12-19 15:14:10 ----D---- C:\Windows\system32\Macromed 2009-12-19 15:03:15 ----D---- C:\Users\Nakamura\AppData\Roaming\Mozilla 2009-12-19 13:44:20 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2009-12-19 13:40:49 ----D---- C:\Program Files\Common Files\Real 2009-12-19 13:40:46 ----D---- C:\Users\Nakamura\AppData\Roaming\Real 2009-12-19 13:37:20 ----D---- C:\Program Files\Common Files\PX Storage Engine 2009-12-19 13:36:49 ----D---- C:\Windows\system32\Adobe 2009-12-19 13:36:00 ----D---- C:\Program Files\Common Files\microsoft shared 2009-12-19 03:12:07 ----D---- C:\Windows\ShellNew 2009-12-19 02:50:52 ----D---- C:\Users\Nakamura\AppData\Roaming\Adobe 2009-12-18 23:08:56 ----D---- C:\Program Files\CCleaner 2009-12-18 22:22:49 ----D---- C:\Program Files\Unlocker 2009-12-18 14:47:05 ----D---- C:\vista 2009-12-14 20:14:36 ----D---- C:\Windows\Minidump 2009-12-13 18:35:57 ----SHD---- C:\System Volume Information 2009-12-13 12:52:50 ----D---- C:\Windows\system32\WDI 2009-12-12 14:47:10 ----D---- C:\Users\Nakamura\AppData\Roaming\uTorrent 2009-12-11 07:39:53 ----D---- C:\Windows\Debug 2009-12-10 14:32:16 ----D---- C:\Users\Nakamura\AppData\Roaming\codeblocks 2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 atitray;atitray; \??\C:\Program Files\Ray Adams\ATI Tray Tools\atitray.sys [2008-09-08 18336] R1 avgio;avgio; \??\D:\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 BIOS;BIOS; \??\C:\Windows\system32\drivers\BIOS.sys [2005-03-16 13696] R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 TVicPort;TVicPort; \??\C:\Windows\System32\drivers\TVicPort.sys [2005-03-30 14544] R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-01-13 279712] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-21 56816] R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-01-13 25888] R3 Afc;PPdus ASPI Shell; C:\Windows\system32\drivers\Afc.sys [2006-11-10 18688] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-11-25 5143552] R3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver; C:\Windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-09-02 176128] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064] R3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088] R3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016] S1 TVicPort64;TVicPort64; \??\C:\Windows\SysWOW64\drivers\TVicPort64.sys [] S2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys [] S3 avshws;YouUp Simulated Hardware; C:\Windows\system32\DRIVERS\youup.sys [2009-04-27 57472] S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632] S3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\Windows\system32\DRIVERS\mcdbus.sys [] S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192] S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888] S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504] S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328] S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-11-25 172032] R2 AntiVirSchedulerService;Avira AntiVir Planificateur; D:\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; D:\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-12-17 1044808] R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [] S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2009-12-19 1181328] S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-28 2806062] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 TuneUp.Defrag;@D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [2009-12-19 435016] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504] S4 AppMgmt;Gestion d'applications; C:\Windows\system32\svchost.exe [2008-01-19 21504] S4 CscService;Fichiers hors connexion; C:\Windows\System32\svchost.exe [2008-01-19 21504] S4 YouupServiceWinService;YouupServiceWinService; C:\Users\Nakamura\AppData\Local\Temp\YouUpService\YouupService.exe [] -----------------EOF-----------------
c'est bien dense en tout cas!
merci d'avance
branche tous tes supports externes
puis colle un rapport usbfix option 2
suivi d'un nouveau rapport RSIT
puis colle un rapport usbfix option 2
suivi d'un nouveau rapport RSIT
Re,
pour rsit
voili
############################## | UsbFix V6.068 | User : Nakamura (Administrateurs) # PC-DE-NAKAMURA Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8 Start at: 16:11:39 | 30/12/2009 Website : http://pagesperso-orange.fr/NosTools/index.html Contact : FindyKill.Contact@gmail.com Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1 Internet Explorer 7.0.6001.18000 Windows Firewall Status : Disabled AV : System Defender [ Enabled | Updated ] FW : System Defender[ Enabled ] C:\ -> Disque fixe local # 48,83 Go (25,4 Go free) # NTFS D:\ -> Disque fixe local # 138,67 Go (137,79 Go free) # NTFS E:\ -> Disque fixe local # 138,67 Go (122,59 Go free) # NTFS F:\ -> Disque fixe local # 138,67 Go (138,58 Go free) # NTFS G:\ -> Disque CD-ROM H:\ -> Disque amovible # 980,05 Mo (719,89 Mo free) # FAT32 ############################## | Processus actifs | C:\Windows\System32\smss.exe 448 C:\Windows\system32\csrss.exe 524 C:\Windows\system32\wininit.exe 556 C:\Windows\system32\csrss.exe 572 C:\Windows\system32\services.exe 608 C:\Windows\system32\lsass.exe 636 C:\Windows\system32\lsm.exe 644 C:\Windows\system32\svchost.exe 804 C:\Windows\system32\winlogon.exe 844 C:\Windows\system32\svchost.exe 928 C:\Windows\system32\atiesrxx.exe 1016 C:\Windows\System32\svchost.exe 1040 C:\Windows\System32\svchost.exe 1064 C:\Windows\system32\svchost.exe 1116 C:\Windows\system32\SLsvc.exe 1268 C:\Windows\system32\atieclxx.exe 1308 C:\Windows\system32\svchost.exe 1332 C:\Windows\system32\svchost.exe 1476 D:\Avira\AntiVir Desktop\sched.exe 1668 C:\Windows\system32\svchost.exe 1680 C:\Windows\system32\taskeng.exe 1724 C:\Windows\system32\Dwm.exe 1908 C:\Windows\system32\conime.exe 208 D:\Avira\AntiVir Desktop\avguard.exe 908 C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe 1624 C:\Windows\system32\svchost.exe 1944 D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 1564 D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 2068 C:\Windows\system32\taskeng.exe 2140 C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE 2344 C:\Windows\explorer.exe 2400 C:\Program Files\Windows Media Player\wmpnscfg.exe 2744 C:\Program Files\Windows Media Player\wmpnetwk.exe 2160 D:\Program Files\Mozilla Firefox\firefox.exe 2304 C:\Windows\system32\wbem\wmiprvse.exe 2420 ################## | Elements infectieux | ################## | Registre | ################## | Mountpoints2 | ################## | Cracks > Keygens > Serials | ################## | ! Fin du rapport # UsbFix V6.068 ! |
pour rsit
Logfile of random's system information tool 1.06 (written by random/random) Run by Nakamura at 2009-12-30 16:14:14 Microsoft® Windows Vista™ Professionnel Service Pack 1 System drive C: has 26 GB (52%) free of 50 GB Total RAM: 2047 MB (59% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:14:21, on 30/12/2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\conime.exe D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\Windows\explorer.exe C:\Program Files\Windows Media Player\wmpnscfg.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\The KMPlayer FR\KMPlayer.exe C:\Users\Nakamura\Desktop\RSIT.exe D:\Program Files\Trend Micro\HijackThis\Nakamura.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'Default user') O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: @D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe -- End of file - 4549 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - D:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-19 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208] "avgnt"=D:\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] ""= [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "AtiTrayTools"=C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe [2008-10-04 675328] "SuperCopier2.exe"=C:\Program Files\SuperCopier2\SuperCopier2.exe [2009-08-16 955392] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup SA.DAT SCHEDLGU.TXT C:\Users\Nakamura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup SA.DAT SCHEDLGU.TXT [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler] Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-04-24 122880] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorUser"=2 "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "UacDisableNotify"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"=128 "NoDriveTypeAutoRun"=128 "HonorAutoRunSetting"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "AllowLegacyWebView"= "AllowUnhashedWebView"= "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======List of files/folders created in the last 1 months====== 2009-12-30 16:04:05 ----RASHD---- C:\autorun.inf 2009-12-30 16:00:40 ----A---- C:\UsbFix.txt 2009-12-30 15:41:01 ----D---- C:\UsbFix 2009-12-30 02:02:10 ----A---- C:\Windows\ntbtlog.txt 2009-12-29 16:07:51 ----D---- C:\rsit 2009-12-29 15:31:19 ----D---- C:\ProgramData\Ubisoft 2009-12-28 12:35:46 ----A---- C:\Windows\system32\RTNUninst32.dll 2009-12-28 12:35:46 ----A---- C:\Windows\system32\RtNicProp32.dll 2009-12-20 21:18:43 ----D---- C:\Users\Nakamura\AppData\Roaming\ManyCam 2009-12-20 21:03:32 ----D---- C:\Users\Nakamura\AppData\Roaming\vlc 2009-12-20 16:13:54 ----D---- C:\Windows\pss 2009-12-20 10:33:59 ----D---- C:\Windows\system32\XPSViewer 2009-12-20 01:17:19 ----HD---- C:\Windows\Icons 2009-12-20 01:12:28 ----A---- C:\Windows\system32\lsdelete.exe 2009-12-20 00:48:45 ----D---- C:\ProgramData\Avira 2009-12-19 23:54:11 ----D---- C:\Users\Nakamura\AppData\Roaming\Malwarebytes 2009-12-19 23:54:07 ----D---- C:\ProgramData\Malwarebytes 2009-12-19 23:35:57 ----HDC---- C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6} 2009-12-19 23:35:48 ----D---- C:\ProgramData\Lavasoft 2009-12-19 23:35:48 ----D---- C:\Program Files\Lavasoft 2009-12-19 17:41:30 ----D---- C:\Program Files\Common Files\DivX Shared 2009-12-19 17:17:02 ----A---- C:\Windows\system32\TURegOpt.exe 2009-12-19 17:17:01 ----A---- C:\Windows\system32\uxtuneup.dll 2009-12-19 17:17:01 ----A---- C:\Windows\system32\authuitu.dll 2009-12-19 17:16:31 ----SHD---- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} 2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaws.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaw.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\java.exe 2009-12-19 16:25:48 ----A---- C:\Windows\system32\deploytk.dll 2009-12-19 16:07:37 ----D---- C:\ProgramData\BitDefender 2009-12-19 13:43:42 ----D---- C:\Windows\A8B9466986544126BD28D0D2412CDED6.TMP 2009-12-19 03:58:54 ----D---- C:\ProgramData\Adobe 2009-12-19 03:58:52 ----D---- C:\Program Files\Common Files\Adobe 2009-12-19 03:11:58 ----A---- C:\Windows\_MSRSTRT.EXE 2009-12-14 11:29:35 ----A---- C:\Windows\wininit.ini 2009-12-10 11:48:01 ----A---- C:\Windows\system32\nshhttp.dll 2009-12-10 11:48:00 ----A---- C:\Windows\system32\httpapi.dll 2009-12-09 17:59:48 ----A---- C:\Windows\system32\winhttp.dll 2009-12-09 17:59:23 ----A---- C:\Windows\system32\rastls.dll 2009-12-09 17:59:22 ----A---- C:\Windows\system32\raschap.dll ======List of files/folders modified in the last 1 months====== 2009-12-30 16:10:56 ----D---- C:\Windows\Temp 2009-12-30 16:03:34 ----SHD---- C:\$Recycle.Bin 2009-12-30 15:48:10 ----D---- C:\Windows\Prefetch 2009-12-30 12:06:56 ----A---- C:\Windows\tefview.ini 2009-12-30 11:38:37 ----D---- C:\Windows\system32\Tasks 2009-12-30 02:02:10 ----D---- C:\Windows 2009-12-29 15:31:19 ----HD---- C:\ProgramData 2009-12-29 15:31:05 ----RSD---- C:\Windows\assembly 2009-12-29 15:26:42 ----HD---- C:\Program Files\InstallShield Installation Information 2009-12-28 23:12:17 ----D---- C:\Windows\System32 2009-12-28 23:12:17 ----D---- C:\Windows\inf 2009-12-28 23:12:17 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-12-28 12:36:04 ----D---- C:\Windows\system32\drivers 2009-12-28 12:35:58 ----D---- C:\Windows\system32\catroot 2009-12-28 12:35:46 ----D---- C:\Program Files\Realtek 2009-12-22 10:27:05 ----D---- C:\Windows\system32\catroot2 2009-12-20 21:44:05 ----D---- C:\Program Files\Common Files 2009-12-20 17:53:05 ----D---- C:\Windows\system32\fr-FR 2009-12-20 17:53:05 ----D---- C:\Windows\system32\en-US 2009-12-20 17:18:30 ----D---- C:\Windows\system32\LogFiles 2009-12-20 12:17:25 ----D---- C:\Windows\Tasks 2009-12-20 10:41:29 ----D---- C:\Windows\rescache 2009-12-20 10:36:03 ----D---- C:\Windows\Microsoft.NET 2009-12-20 10:35:04 ----SHD---- C:\Windows\Installer 2009-12-20 10:34:01 ----D---- C:\Windows\winsxs 2009-12-20 10:33:59 ----RSD---- C:\Windows\Fonts 2009-12-20 10:33:59 ----D---- C:\Windows\system32\wbem 2009-12-20 02:12:02 ----SD---- C:\Users\Nakamura\AppData\Roaming\Microsoft 2009-12-20 01:56:42 ----D---- C:\Windows\fr-FR 2009-12-20 01:23:55 ----D---- C:\Windows\DigitalLocker 2009-12-20 00:12:11 ----SD---- C:\Windows\Downloaded Program Files 2009-12-19 23:40:21 ----D---- C:\ProgramData\Spybot - Search & Destroy 2009-12-19 23:36:53 ----DC---- C:\Windows\system32\DRVSTORE 2009-12-19 23:35:48 ----RD---- C:\Program Files 2009-12-19 17:16:37 ----D---- C:\ProgramData\TuneUp Software 2009-12-19 15:14:10 ----D---- C:\Windows\system32\Macromed 2009-12-19 15:03:15 ----D---- C:\Users\Nakamura\AppData\Roaming\Mozilla 2009-12-19 13:44:20 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2009-12-19 13:40:49 ----D---- C:\Program Files\Common Files\Real 2009-12-19 13:40:46 ----D---- C:\Users\Nakamura\AppData\Roaming\Real 2009-12-19 13:37:20 ----D---- C:\Program Files\Common Files\PX Storage Engine 2009-12-19 13:36:49 ----D---- C:\Windows\system32\Adobe 2009-12-19 13:36:00 ----D---- C:\Program Files\Common Files\microsoft shared 2009-12-19 03:12:07 ----D---- C:\Windows\ShellNew 2009-12-19 02:50:52 ----D---- C:\Users\Nakamura\AppData\Roaming\Adobe 2009-12-18 23:08:56 ----D---- C:\Program Files\CCleaner 2009-12-18 22:22:49 ----D---- C:\Program Files\Unlocker 2009-12-18 14:47:05 ----D---- C:\vista 2009-12-14 20:14:36 ----D---- C:\Windows\Minidump 2009-12-13 18:35:57 ----SHD---- C:\System Volume Information 2009-12-13 12:52:50 ----D---- C:\Windows\system32\WDI 2009-12-12 14:47:10 ----D---- C:\Users\Nakamura\AppData\Roaming\uTorrent 2009-12-11 07:39:53 ----D---- C:\Windows\Debug 2009-12-10 14:32:16 ----D---- C:\Users\Nakamura\AppData\Roaming\codeblocks 2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 atitray;atitray; \??\C:\Program Files\Ray Adams\ATI Tray Tools\atitray.sys [2008-09-08 18336] R1 avgio;avgio; \??\D:\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 BIOS;BIOS; \??\C:\Windows\system32\drivers\BIOS.sys [2005-03-16 13696] R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 TVicPort;TVicPort; \??\C:\Windows\System32\drivers\TVicPort.sys [2005-03-30 14544] R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-01-13 279712] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-21 56816] R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-01-13 25888] R3 Afc;PPdus ASPI Shell; C:\Windows\system32\drivers\Afc.sys [2006-11-10 18688] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-11-25 5143552] R3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver; C:\Windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-09-02 176128] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064] R3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088] R3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016] S1 TVicPort64;TVicPort64; \??\C:\Windows\SysWOW64\drivers\TVicPort64.sys [] S2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys [] S3 avshws;YouUp Simulated Hardware; C:\Windows\system32\DRIVERS\youup.sys [2009-04-27 57472] S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632] S3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\Windows\system32\DRIVERS\mcdbus.sys [] S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192] S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888] S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504] S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328] S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-11-25 172032] R2 AntiVirSchedulerService;Avira AntiVir Planificateur; D:\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; D:\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-12-17 1044808] R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504] R3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [] S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2009-12-19 1181328] S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-28 2806062] S3 TuneUp.Defrag;@D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [2009-12-19 435016] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504] S4 AppMgmt;Gestion d'applications; C:\Windows\system32\svchost.exe [2008-01-19 21504] S4 CscService;Fichiers hors connexion; C:\Windows\System32\svchost.exe [2008-01-19 21504] S4 YouupServiceWinService;YouupServiceWinService; C:\Users\Nakamura\AppData\Local\Temp\YouUpService\YouupService.exe [] -----------------EOF-----------------
info.txt logfile of random's system information tool 1.06 2009-12-29 16:07:57
======Uninstall list======
7-Zip 4.57-->MsiExec.exe /I{23170F69-40C1-2701-0457-000001000000}
Ad-Aware-->"C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Reader 9.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A92000000001}
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x040c -removeonly
Avira AntiVir Personal - Free Antivirus-->D:\Avira\AntiVir Desktop\setup.exe /REMOVE
Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Plus Web Player-->D:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
HijackThis 2.0.2-->"D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
JDownloader-->E:\Program Files\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"D:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
ManyCam 2.4 (remove only)-->"D:\Program Files\ManyCam 2.4\uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft XNA Framework Redistributable 3.1-->MsiExec.exe /I{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.6)-->D:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Ray Adams ATI Tray Tools-->"C:\Program Files\Ray Adams\ATI Tray Tools\uninstall.exe"
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Spybot - Search & Destroy-->"D:\Program Files\Spybot - Search & Destroy\unins000.exe"
SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
SweetIM Toolbar for Internet Explorer 3.3-->MsiExec.exe /X{266C7330-C0F4-49E5-8F20-A56F9F822875}
TEFView 2.65-->"D:\Program Files\TablEdit\unins000.exe"
The KMPlayer v2.9.4.1435 FR-->"D:\Program Files\The KMPlayer FR\unins000.exe"
TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
TuneUp Utilities-->D:\Program Files\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
TuxGuitar 1.2-->D:\Program Files\TuxGuitar-Jet\Uninstall.exe
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Utilitaire d'identification du processeur Intel(R)-->MsiExec.exe /X{A92A4DB0-CD37-42D1-BE1D-603D53C24328}
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->D:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
=====HijackThis Backups=====
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'Default user') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') [2009-12-29]
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'Default user') [2009-12-29]
O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'Default user') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'SYSTEM') [2009-12-29]
O4 - HKUS\S-1-5-18\..\Run: [ZagrebLand] C:\Windows\TEMP\p.exe (User 'SYSTEM') [2009-12-29]
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) [2009-12-29]
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) [2009-12-29]
Hosts File Missing
======Security center information======
AV: System Defender
FW: System Defender
AS: Windows Defender (disabled)
======System event log======
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486288
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486289
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Absent(Absent)
Record Number: 486290
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4375
Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
Record Number: 486291
Source Name: Microsoft-Windows-Servicing
Time Written: 20091229142055.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 486294
Source Name: Tcpip
Time Written: 20091229144617.653690-000
Event Type: Avertissement
User:
=====Application event log=====
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\jqyo.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28278
Source Name: Avira AntiVir
Time Written: 20091229145109.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28279
Source Name: Avira AntiVir
Time Written: 20091229150140.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28280
Source Name: Avira AntiVir
Time Written: 20091229150141.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28281
Source Name: Avira AntiVir
Time Written: 20091229150653.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Nakamura
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
Record Number: 28282
Source Name: Avira AntiVir
Time Written: 20091229150654.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Security event log=====
Computer Name: PC-de-Nakamura
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x203319
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail : COQUELICOT
Adresse du réseau source : 78.232.138.51
Port source : 8224
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 92384
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091444.794089-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x203319
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92385
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091444.968882-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0
Type d’ouverture de session : 3
Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x203337
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x0
Nom du processus : -
Informations sur le réseau :
Nom de la station de travail : COQUELICOT
Adresse du réseau source : 78.232.138.51
Port source : 8224
Informations détaillées sur l’authentification :
Processus d’ouverture de session : NtLmSsp
Package d’authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 92386
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.226678-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x203337
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92387
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.508887-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Nakamura
Event Code: 4634
Message: Fermeture de session d’un compte.
Sujet :
ID de sécurité : S-1-5-21-2844290143-3367304610-857735423-501
Nom du compte : Invité
Domaine du compte : PC-de-Nakamura
ID du compte : 0x20321d
Type d’ouverture de session : 3
Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 92388
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090924091445.717858-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=C:\Program Files\Mozilla Firefox;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Common Files\Teleca Shared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=1706
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
-----------------EOF-----------------
voili
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
toujours le message d'erreur masica doit venir d'un probleme avec mozilla
il n'est la que quand j'utilise mozilla, je vais chercher des liens
merci
il n'est la que quand j'utilise mozilla, je vais chercher des liens
merci
j'ai dit une erreur
c'est des qu'un programme se connecte a internet (msn, jdonwlaoder, mozilla,...) que ca se lance
c'est pas grave, je formate tout et je reinstalle d'ici un mois et ca ira mieux
merci pour ton aide et bon reveillon!!!
c'est des qu'un programme se connecte a internet (msn, jdonwlaoder, mozilla,...) que ca se lance
c'est pas grave, je formate tout et je reinstalle d'ici un mois et ca ira mieux
merci pour ton aide et bon reveillon!!!
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
probleme reglé
desinstallation mozilla, msn, ...
debranchage internet
scan par des anti spyware, trojan, ...
reinstallation de antivir sans connecter internet (tout mis dans un dossier pour les mises a jour et touty quanti)
scan
redemarrage
puis reinstallation de tout et plus d eprobleme
(pour les désinstallation, j'ai tout supprimer partout meme les trucs qui restent normalement)
voila
merci beaucoup de ton aide, en esperant ne plus avoir de probleme a l'avenir (je rigoles :D , je sais que j'en aurais encore tout plein)
je te souhaite encore un bon reveillon (ca se fete sur une semaine ces trucs la) et a la prochaine
desinstallation mozilla, msn, ...
debranchage internet
scan par des anti spyware, trojan, ...
reinstallation de antivir sans connecter internet (tout mis dans un dossier pour les mises a jour et touty quanti)
scan
redemarrage
puis reinstallation de tout et plus d eprobleme
(pour les désinstallation, j'ai tout supprimer partout meme les trucs qui restent normalement)
voila
merci beaucoup de ton aide, en esperant ne plus avoir de probleme a l'avenir (je rigoles :D , je sais que j'en aurais encore tout plein)
je te souhaite encore un bon reveillon (ca se fete sur une semaine ces trucs la) et a la prochaine
