Infection en boucle: svchost.exe hijacker.gen

bisounours -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

d'abord bonne fin d'année, quand même :D

sinon pour mon probleme,
matériel:
windows vista officiel (si si je vous assure ca existe encore ^^ )
antivir personnal edition
malewarebyte's anti malware (ou a peu pres)
ad aware
hijack this

le tout mis a jour bien sur: les differents scans ne me donnet plus aucun resultat (rien d'anormal non plus dans le log hijack this d'apres ce que j'ai pu lire et mes petites connaissances)

le probleme:

toutes les 5 mn exactement, j'ai deux alertes d'antivir me signalement la presence de fichers svchost.exe dans des repertoires: "C:/windows/temp/***.tmp/svchost.exe" infecte par "tr/hijacker.gen"

si je supprime ca me le remet, si je refuse l"'acces ca recommence, et le repertoire "***.tmp" est toujours different voili voilou

si qq a une idée?

merci d'avance
Configuration: Windows Vista
Firefox 3.5.6

11 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    ____

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. bisounours
     
    merci pour la vitesse

    voici les rapports

    info.txt
    info.txt logfile of random's system information tool 1.06 2009-12-29 16:07:57
    
    ======Uninstall list======
    
    7-Zip 4.57-->MsiExec.exe /I{23170F69-40C1-2701-0457-000001000000}
    Ad-Aware-->"C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe" REMOVE=TRUE MODIFY=FALSE
    Ad-Aware-->C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
    Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
    Adobe Reader 9.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A92000000001}
    Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x040c -removeonly
    Avira AntiVir Personal - Free Antivirus-->D:\Avira\AntiVir Desktop\setup.exe /REMOVE
    Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    DivX Plus Web Player-->D:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    HijackThis 2.0.2-->"D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
    JDownloader-->E:\Program Files\JDownloader\uninstall.exe
    Malwarebytes' Anti-Malware-->"D:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    ManyCam 2.4 (remove only)-->"D:\Program Files\ManyCam 2.4\uninstall.exe"
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
    Microsoft XNA Framework Redistributable 3.1-->MsiExec.exe /I{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.5.6)-->D:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Ray Adams ATI Tray Tools-->"C:\Program Files\Ray Adams\ATI Tray Tools\uninstall.exe"
    Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Spybot - Search & Destroy-->"D:\Program Files\Spybot - Search & Destroy\unins000.exe"
    SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
    SweetIM Toolbar for Internet Explorer 3.3-->MsiExec.exe /X{266C7330-C0F4-49E5-8F20-A56F9F822875}
    TEFView 2.65-->"D:\Program Files\TablEdit\unins000.exe"
    The KMPlayer v2.9.4.1435 FR-->"D:\Program Files\The KMPlayer FR\unins000.exe"
    TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
    TuneUp Utilities-->D:\Program Files\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
    TuxGuitar 1.2-->D:\Program Files\TuxGuitar-Jet\Uninstall.exe
    Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    Utilitaire d'identification du processeur Intel(R)-->MsiExec.exe /X{A92A4DB0-CD37-42D1-BE1D-603D53C24328}
    VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
    Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
    Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
    VLC media player 1.0.3-->D:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
    
    =====HijackThis Backups=====
    
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'Default user') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') [2009-12-29]
    O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'Default user') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'Default user') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [ZagrebLand] C:\Windows\TEMP\p.exe (User 'SYSTEM') [2009-12-29]
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) [2009-12-29]
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) [2009-12-29]
    
    Hosts File Missing
    ======Security center information======
    
    AV: System Defender
    FW: System Defender
    AS: Windows Defender (disabled)
    
    ======System event log======
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486288
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486289
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Absent(Absent)
    Record Number: 486290
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486291
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4226
    Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
    Record Number: 486294
    Source Name: Tcpip
    Time Written: 20091229144617.653690-000
    Event Type: Avertissement
    User: 
    
    =====Application event log=====
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\jqyo.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28278
    Source Name: Avira AntiVir
    Time Written: 20091229145109.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28279
    Source Name: Avira AntiVir
    Time Written: 20091229150140.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28280
    Source Name: Avira AntiVir
    Time Written: 20091229150141.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28281
    Source Name: Avira AntiVir
    Time Written: 20091229150653.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28282
    Source Name: Avira AntiVir
    Time Written: 20091229150654.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    =====Security event log=====
    
    Computer Name: PC-de-Nakamura
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.
    
    Sujet :
    	ID de sécurité :		S-1-0-0
    	Nom du compte :		-
    	Domaine du compte :		-
    	ID d’ouverture de session :		0x0
    
    Type d’ouverture de session :			3
    
    Nouvelle ouverture de session :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID d’ouverture de session :		0x203319
    	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}
    
    Informations sur le processus :
    	ID du processus :		0x0
    	Nom du processus :		-
    
    Informations sur le réseau :
    	Nom de la station de travail :	COQUELICOT
    	Adresse du réseau source :	78.232.138.51
    	Port source :		8224
    
    Informations détaillées sur l’authentification :
    	Processus d’ouverture de session :		NtLmSsp 
    	Package d’authentification :	NTLM
    	Services en transit :	-
    	Nom du package (NTLM uniquement) :	NTLM V1
    	Longueur de la clé :		128
    
    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
    
    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
    
    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
    
    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
    
    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
    
    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 92384
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091444.794089-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID du compte :		0x203319
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92385
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091444.968882-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.
    
    Sujet :
    	ID de sécurité :		S-1-0-0
    	Nom du compte :		-
    	Domaine du compte :		-
    	ID d’ouverture de session :		0x0
    
    Type d’ouverture de session :			3
    
    Nouvelle ouverture de session :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID d’ouverture de session :		0x203337
    	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}
    
    Informations sur le processus :
    	ID du processus :		0x0
    	Nom du processus :		-
    
    Informations sur le réseau :
    	Nom de la station de travail :	COQUELICOT
    	Adresse du réseau source :	78.232.138.51
    	Port source :		8224
    
    Informations détaillées sur l’authentification :
    	Processus d’ouverture de session :		NtLmSsp 
    	Package d’authentification :	NTLM
    	Services en transit :	-
    	Nom du package (NTLM uniquement) :	NTLM V1
    	Longueur de la clé :		128
    
    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
    
    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
    
    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
    
    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
    
    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
    
    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 92386
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.226678-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID du compte :		0x203337
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92387
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.508887-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-21-2844290143-3367304610-857735423-501
    	Nom du compte :		Invité
    	Domaine du compte :		PC-de-Nakamura
    	ID du compte :		0x20321d
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92388
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.717858-000
    Event Type: Succès de l'audit
    User: 
    
    ======Environment variables======
    
    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "NUMBER_OF_PROCESSORS"=2
    "OS"=Windows_NT
    "Path"=C:\Program Files\Mozilla Firefox;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Common Files\Teleca Shared
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_REVISION"=1706
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    
    -----------------EOF-----------------
    


    log.txt

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Nakamura at 2009-12-29 16:07:51
    Microsoft® Windows Vista™ Professionnel  Service Pack 1
    System drive C: has 29 GB (59%) free of 50 GB
    Total RAM: 2047 MB (51% free)
    
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:07:56, on 29/12/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18226)
    Boot mode: Normal
    
    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\RtHDVCpl.exe
    D:\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    D:\Program Files\VideoLAN\VLC\vlc.exe
    D:\Program Files\Java\jre6\bin\javaw.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\avira\antivir desktop\avcenter.exe
    C:\Users\Nakamura\Desktop\RSIT.exe
    D:\Program Files\Trend Micro\HijackThis\Nakamura.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'Default user')
    O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix: 
    O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
    O23 - Service: @D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    
    --
    End of file - 4868 bytes
    
    ======Registry dump======
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    Java(tm) Plug-In 2 SSV Helper - D:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-19 41760]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208]
    "avgnt"=D:\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "AtiTrayTools"=C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe [2008-10-04 675328]
    "SuperCopier2.exe"=C:\Program Files\SuperCopier2\SuperCopier2.exe [2009-08-16 955392]
    
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    SA.DAT
    SCHEDLGU.TXT
    
    C:\Users\Nakamura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    SA.DAT
    SCHEDLGU.TXT
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
    Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-04-24 122880]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "ConsentPromptBehaviorUser"=2
    "EnableLUA"=0
    "dontdisplaylastusername"=0
    "legalnoticecaption"=
    "legalnoticetext"=
    "shutdownwithoutlogon"=1
    "undockwithoutlogon"=1
    "EnableUIADesktopToggle"=0
    "UacDisableNotify"=0
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "AllowLegacyWebView"=
    "AllowUnhashedWebView"=
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
    shell\AutoRun\command - G:\autorun.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
    shell\AutoRun\command - H:\FarCryAutoCD.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
    shell\AutoRun\command - J:\autorun.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
    shell\AutoRun\command - K:\autorun.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b1abbf9-e664-11dd-8063-001a4d5bf5f0}]
    shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d6d5fde-598b-11de-adc8-00e04d96f31a}]
    shell\AutoRun\command - M:\LaunchU3.exe -a
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91b36f9f-b4ca-11dd-bef0-001a4d5bf5f0}]
    shell\AutoRun\command - H:\GSeries.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9966a014-8e6a-11dd-bd55-806e6f6e6963}]
    shell\AutoRun\command - wd_windows_tools\setup.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfafabda-d680-11de-bccc-00e04d96f31a}]
    shell\AutoRun\command - J:\MI.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9eda668-285a-11de-ad20-00e04d96f31a}]
    shell\AutoRun\command - um.cmd
    shell\explore\command - um.cmd
    shell\open\command - um.cmd
    
    
    ======List of files/folders created in the last 1 months======
    
    2009-12-29 16:07:51 ----D---- C:\rsit
    2009-12-29 15:31:19 ----D---- C:\ProgramData\Ubisoft
    2009-12-28 12:35:46 ----A---- C:\Windows\system32\RTNUninst32.dll
    2009-12-28 12:35:46 ----A---- C:\Windows\system32\RtNicProp32.dll
    2009-12-20 21:18:43 ----D---- C:\Users\Nakamura\AppData\Roaming\ManyCam
    2009-12-20 21:03:32 ----D---- C:\Users\Nakamura\AppData\Roaming\vlc
    2009-12-20 16:13:54 ----D---- C:\Windows\pss
    2009-12-20 10:33:59 ----D---- C:\Windows\system32\XPSViewer
    2009-12-20 01:17:19 ----HD---- C:\Windows\Icons
    2009-12-20 01:12:28 ----A---- C:\Windows\system32\lsdelete.exe
    2009-12-20 00:48:45 ----D---- C:\ProgramData\Avira
    2009-12-19 23:54:11 ----D---- C:\Users\Nakamura\AppData\Roaming\Malwarebytes
    2009-12-19 23:54:07 ----D---- C:\ProgramData\Malwarebytes
    2009-12-19 23:35:57 ----HDC---- C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
    2009-12-19 23:35:48 ----D---- C:\ProgramData\Lavasoft
    2009-12-19 23:35:48 ----D---- C:\Program Files\Lavasoft
    2009-12-19 17:41:30 ----D---- C:\Program Files\Common Files\DivX Shared
    2009-12-19 17:17:02 ----A---- C:\Windows\system32\TURegOpt.exe
    2009-12-19 17:17:01 ----A---- C:\Windows\system32\uxtuneup.dll
    2009-12-19 17:17:01 ----A---- C:\Windows\system32\authuitu.dll
    2009-12-19 17:16:31 ----SHD---- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaws.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaw.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\java.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\deploytk.dll
    2009-12-19 16:07:37 ----D---- C:\ProgramData\BitDefender
    2009-12-19 13:43:42 ----D---- C:\Windows\A8B9466986544126BD28D0D2412CDED6.TMP
    2009-12-19 03:58:54 ----D---- C:\ProgramData\Adobe
    2009-12-19 03:58:52 ----D---- C:\Program Files\Common Files\Adobe
    2009-12-19 03:11:58 ----A---- C:\Windows\_MSRSTRT.EXE
    2009-12-14 11:29:35 ----A---- C:\Windows\wininit.ini
    2009-12-10 11:48:01 ----A---- C:\Windows\system32\nshhttp.dll
    2009-12-10 11:48:00 ----A---- C:\Windows\system32\httpapi.dll
    2009-12-09 17:59:48 ----A---- C:\Windows\system32\winhttp.dll
    2009-12-09 17:59:23 ----A---- C:\Windows\system32\rastls.dll
    2009-12-09 17:59:22 ----A---- C:\Windows\system32\raschap.dll
    
    ======List of files/folders modified in the last 1 months======
    
    2009-12-29 16:07:56 ----D---- C:\Windows\Prefetch
    2009-12-29 16:06:47 ----D---- C:\Windows\Temp
    2009-12-29 15:42:37 ----D---- C:\Windows
    2009-12-29 15:31:19 ----HD---- C:\ProgramData
    2009-12-29 15:31:05 ----RSD---- C:\Windows\assembly
    2009-12-29 15:26:42 ----HD---- C:\Program Files\InstallShield Installation Information
    2009-12-28 23:36:39 ----D---- C:\Windows\system32\Tasks
    2009-12-28 23:12:17 ----D---- C:\Windows\System32
    2009-12-28 23:12:17 ----D---- C:\Windows\inf
    2009-12-28 23:12:17 ----A---- C:\Windows\system32\PerfStringBackup.INI
    2009-12-28 15:07:10 ----A---- C:\Windows\tefview.ini
    2009-12-28 12:36:04 ----D---- C:\Windows\system32\drivers
    2009-12-28 12:35:58 ----D---- C:\Windows\system32\catroot
    2009-12-28 12:35:46 ----D---- C:\Program Files\Realtek
    2009-12-22 10:27:05 ----D---- C:\Windows\system32\catroot2
    2009-12-20 21:44:05 ----D---- C:\Program Files\Common Files
    2009-12-20 17:53:05 ----D---- C:\Windows\system32\fr-FR
    2009-12-20 17:53:05 ----D---- C:\Windows\system32\en-US
    2009-12-20 17:18:30 ----D---- C:\Windows\system32\LogFiles
    2009-12-20 12:17:25 ----D---- C:\Windows\Tasks
    2009-12-20 10:41:29 ----D---- C:\Windows\rescache
    2009-12-20 10:36:03 ----D---- C:\Windows\Microsoft.NET
    2009-12-20 10:35:04 ----SHD---- C:\Windows\Installer
    2009-12-20 10:34:01 ----D---- C:\Windows\winsxs
    2009-12-20 10:33:59 ----RSD---- C:\Windows\Fonts
    2009-12-20 10:33:59 ----D---- C:\Windows\system32\wbem
    2009-12-20 02:12:02 ----SD---- C:\Users\Nakamura\AppData\Roaming\Microsoft
    2009-12-20 01:56:42 ----D---- C:\Windows\fr-FR
    2009-12-20 01:23:55 ----D---- C:\Windows\DigitalLocker
    2009-12-20 00:12:11 ----SD---- C:\Windows\Downloaded Program Files
    2009-12-19 23:40:21 ----D---- C:\ProgramData\Spybot - Search & Destroy
    2009-12-19 23:36:53 ----DC---- C:\Windows\system32\DRVSTORE
    2009-12-19 23:35:48 ----RD---- C:\Program Files
    2009-12-19 17:16:37 ----D---- C:\ProgramData\TuneUp Software
    2009-12-19 15:14:10 ----D---- C:\Windows\system32\Macromed
    2009-12-19 15:03:15 ----D---- C:\Users\Nakamura\AppData\Roaming\Mozilla
    2009-12-19 13:44:20 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
    2009-12-19 13:40:49 ----D---- C:\Program Files\Common Files\Real
    2009-12-19 13:40:46 ----D---- C:\Users\Nakamura\AppData\Roaming\Real
    2009-12-19 13:37:20 ----D---- C:\Program Files\Common Files\PX Storage Engine
    2009-12-19 13:36:49 ----D---- C:\Windows\system32\Adobe
    2009-12-19 13:36:00 ----D---- C:\Program Files\Common Files\microsoft shared
    2009-12-19 03:12:07 ----D---- C:\Windows\ShellNew
    2009-12-19 02:50:52 ----D---- C:\Users\Nakamura\AppData\Roaming\Adobe
    2009-12-18 23:08:56 ----D---- C:\Program Files\CCleaner
    2009-12-18 22:22:49 ----D---- C:\Program Files\Unlocker
    2009-12-18 14:47:05 ----D---- C:\vista
    2009-12-14 20:14:36 ----D---- C:\Windows\Minidump
    2009-12-13 18:35:57 ----SHD---- C:\System Volume Information
    2009-12-13 12:52:50 ----D---- C:\Windows\system32\WDI
    2009-12-12 14:47:10 ----D---- C:\Users\Nakamura\AppData\Roaming\uTorrent
    2009-12-11 07:39:53 ----D---- C:\Windows\Debug
    2009-12-10 14:32:16 ----D---- C:\Users\Nakamura\AppData\Roaming\codeblocks
    2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe
    
    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R1 atitray;atitray; \??\C:\Program Files\Ray Adams\ATI Tray Tools\atitray.sys [2008-09-08 18336]
    R1 avgio;avgio; \??\D:\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
    R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
    R1 BIOS;BIOS; \??\C:\Windows\system32\drivers\BIOS.sys [2005-03-16 13696]
    R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720]
    R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
    R1 TVicPort;TVicPort; \??\C:\Windows\System32\drivers\TVicPort.sys [2005-03-30 14544]
    R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-01-13 279712]
    R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-21 56816]
    R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-01-13 25888]
    R3 Afc;PPdus ASPI Shell; C:\Windows\system32\drivers\Afc.sys [2006-11-10 18688]
    R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-11-25 5143552]
    R3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
    R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928]
    R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver; C:\Windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632]
    R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-09-02 176128]
    R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]
    R3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088]
    R3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016]
    S1 TVicPort64;TVicPort64; \??\C:\Windows\SysWOW64\drivers\TVicPort64.sys []
    S2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys []
    S3 avshws;YouUp Simulated Hardware; C:\Windows\system32\DRIVERS\youup.sys [2009-04-27 57472]
    S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
    S3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\Windows\system32\DRIVERS\mcdbus.sys []
    S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
    S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
    S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
    S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
    S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
    S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]
    
    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-11-25 172032]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur; D:\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    R2 AntiVirService;Avira AntiVir Guard; D:\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
    R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]
    R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-12-17 1044808]
    R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S3 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe []
    S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2009-12-19 1181328]
    S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-28 2806062]
    S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
    S3 TuneUp.Defrag;@D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [2009-12-19 435016]
    S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504]
    S4 AppMgmt;Gestion d'applications; C:\Windows\system32\svchost.exe [2008-01-19 21504]
    S4 CscService;Fichiers hors connexion; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S4 YouupServiceWinService;YouupServiceWinService; C:\Users\Nakamura\AppData\Local\Temp\YouUpService\YouupService.exe []
    
    -----------------EOF-----------------
    
    


    c'est bien dense en tout cas!

    merci d'avance
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    branche tous tes supports externes

    puis colle un rapport usbfix option 2

    suivi d'un nouveau rapport RSIT
    0
  4. Bisounours
     
    Re,

    ############################## | UsbFix V6.068 |
    
    User : Nakamura (Administrateurs) # PC-DE-NAKAMURA
    Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
    Start at: 16:11:39 | 30/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com
    
    Intel(R) Core(TM)2 Duo CPU     E8200  @ 2.66GHz
    Microsoft® Windows Vista™ Professionnel  (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled
    AV : System Defender  [ Enabled | Updated ]
    FW : System Defender[ Enabled ]
    
    C:\ -> Disque fixe local # 48,83 Go (25,4 Go free) # NTFS
    D:\ -> Disque fixe local # 138,67 Go (137,79 Go free) # NTFS
    E:\ -> Disque fixe local # 138,67 Go (122,59 Go free) # NTFS
    F:\ -> Disque fixe local # 138,67 Go (138,58 Go free) # NTFS
    G:\ -> Disque CD-ROM
    H:\ -> Disque amovible # 980,05 Mo (719,89 Mo free) # FAT32
    
    ############################## | Processus actifs |
    
    C:\Windows\System32\smss.exe 448
    C:\Windows\system32\csrss.exe 524
    C:\Windows\system32\wininit.exe 556
    C:\Windows\system32\csrss.exe 572
    C:\Windows\system32\services.exe 608
    C:\Windows\system32\lsass.exe 636
    C:\Windows\system32\lsm.exe 644
    C:\Windows\system32\svchost.exe 804
    C:\Windows\system32\winlogon.exe 844
    C:\Windows\system32\svchost.exe 928
    C:\Windows\system32\atiesrxx.exe 1016
    C:\Windows\System32\svchost.exe 1040
    C:\Windows\System32\svchost.exe 1064
    C:\Windows\system32\svchost.exe 1116
    C:\Windows\system32\SLsvc.exe 1268
    C:\Windows\system32\atieclxx.exe 1308
    C:\Windows\system32\svchost.exe 1332
    C:\Windows\system32\svchost.exe 1476
    D:\Avira\AntiVir Desktop\sched.exe 1668
    C:\Windows\system32\svchost.exe 1680
    C:\Windows\system32\taskeng.exe 1724
    C:\Windows\system32\Dwm.exe 1908
    C:\Windows\system32\conime.exe 208
    D:\Avira\AntiVir Desktop\avguard.exe 908
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe 1624
    C:\Windows\system32\svchost.exe 1944
    D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 1564
    D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 2068
    C:\Windows\system32\taskeng.exe 2140
    C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE 2344
    C:\Windows\explorer.exe 2400
    C:\Program Files\Windows Media Player\wmpnscfg.exe 2744
    C:\Program Files\Windows Media Player\wmpnetwk.exe 2160
    D:\Program Files\Mozilla Firefox\firefox.exe 2304
    C:\Windows\system32\wbem\wmiprvse.exe 2420
    
    ################## | Elements infectieux |
    
    
    ################## | Registre |
    
    
    ################## | Mountpoints2 |
    
    
    ################## | Cracks > Keygens > Serials |
     
    
    ################## | ! Fin du rapport # UsbFix V6.068 ! |
    


    pour rsit

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Nakamura at 2009-12-30 16:14:14
    Microsoft® Windows Vista™ Professionnel  Service Pack 1
    System drive C: has 26 GB (52%) free of 50 GB
    Total RAM: 2047 MB (59% free)
    
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:14:21, on 30/12/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18226)
    Boot mode: Normal
    
    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\conime.exe
    D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
    C:\Windows\explorer.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Program Files\The KMPlayer FR\KMPlayer.exe
    C:\Users\Nakamura\Desktop\RSIT.exe
    D:\Program Files\Trend Micro\HijackThis\Nakamura.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe (User 'Default user')
    O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix: 
    O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
    O23 - Service: @D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    
    --
    End of file - 4549 bytes
    
    ======Registry dump======
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    Java(tm) Plug-In 2 SSV Helper - D:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-19 41760]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-10-11 4702208]
    "avgnt"=D:\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    ""= []
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "AtiTrayTools"=C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe [2008-10-04 675328]
    "SuperCopier2.exe"=C:\Program Files\SuperCopier2\SuperCopier2.exe [2009-08-16 955392]
    
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    SA.DAT
    SCHEDLGU.TXT
    
    C:\Users\Nakamura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    SA.DAT
    SCHEDLGU.TXT
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
    Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll [2007-04-24 122880]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "ConsentPromptBehaviorUser"=2
    "EnableLUA"=0
    "dontdisplaylastusername"=0
    "legalnoticecaption"=
    "legalnoticetext"=
    "shutdownwithoutlogon"=1
    "undockwithoutlogon"=1
    "EnableUIADesktopToggle"=0
    "UacDisableNotify"=0
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveAutoRun"=128
    "NoDriveTypeAutoRun"=128
    "HonorAutoRunSetting"=0
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "AllowLegacyWebView"=
    "AllowUnhashedWebView"=
    "NoDriveAutoRun"=
    "NoDriveTypeAutoRun"=
    "HonorAutoRunSetting"=
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    
    ======List of files/folders created in the last 1 months======
    
    2009-12-30 16:04:05 ----RASHD---- C:\autorun.inf
    2009-12-30 16:00:40 ----A---- C:\UsbFix.txt
    2009-12-30 15:41:01 ----D---- C:\UsbFix
    2009-12-30 02:02:10 ----A---- C:\Windows\ntbtlog.txt
    2009-12-29 16:07:51 ----D---- C:\rsit
    2009-12-29 15:31:19 ----D---- C:\ProgramData\Ubisoft
    2009-12-28 12:35:46 ----A---- C:\Windows\system32\RTNUninst32.dll
    2009-12-28 12:35:46 ----A---- C:\Windows\system32\RtNicProp32.dll
    2009-12-20 21:18:43 ----D---- C:\Users\Nakamura\AppData\Roaming\ManyCam
    2009-12-20 21:03:32 ----D---- C:\Users\Nakamura\AppData\Roaming\vlc
    2009-12-20 16:13:54 ----D---- C:\Windows\pss
    2009-12-20 10:33:59 ----D---- C:\Windows\system32\XPSViewer
    2009-12-20 01:17:19 ----HD---- C:\Windows\Icons
    2009-12-20 01:12:28 ----A---- C:\Windows\system32\lsdelete.exe
    2009-12-20 00:48:45 ----D---- C:\ProgramData\Avira
    2009-12-19 23:54:11 ----D---- C:\Users\Nakamura\AppData\Roaming\Malwarebytes
    2009-12-19 23:54:07 ----D---- C:\ProgramData\Malwarebytes
    2009-12-19 23:35:57 ----HDC---- C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
    2009-12-19 23:35:48 ----D---- C:\ProgramData\Lavasoft
    2009-12-19 23:35:48 ----D---- C:\Program Files\Lavasoft
    2009-12-19 17:41:30 ----D---- C:\Program Files\Common Files\DivX Shared
    2009-12-19 17:17:02 ----A---- C:\Windows\system32\TURegOpt.exe
    2009-12-19 17:17:01 ----A---- C:\Windows\system32\uxtuneup.dll
    2009-12-19 17:17:01 ----A---- C:\Windows\system32\authuitu.dll
    2009-12-19 17:16:31 ----SHD---- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaws.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\javaw.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\java.exe
    2009-12-19 16:25:48 ----A---- C:\Windows\system32\deploytk.dll
    2009-12-19 16:07:37 ----D---- C:\ProgramData\BitDefender
    2009-12-19 13:43:42 ----D---- C:\Windows\A8B9466986544126BD28D0D2412CDED6.TMP
    2009-12-19 03:58:54 ----D---- C:\ProgramData\Adobe
    2009-12-19 03:58:52 ----D---- C:\Program Files\Common Files\Adobe
    2009-12-19 03:11:58 ----A---- C:\Windows\_MSRSTRT.EXE
    2009-12-14 11:29:35 ----A---- C:\Windows\wininit.ini
    2009-12-10 11:48:01 ----A---- C:\Windows\system32\nshhttp.dll
    2009-12-10 11:48:00 ----A---- C:\Windows\system32\httpapi.dll
    2009-12-09 17:59:48 ----A---- C:\Windows\system32\winhttp.dll
    2009-12-09 17:59:23 ----A---- C:\Windows\system32\rastls.dll
    2009-12-09 17:59:22 ----A---- C:\Windows\system32\raschap.dll
    
    ======List of files/folders modified in the last 1 months======
    
    2009-12-30 16:10:56 ----D---- C:\Windows\Temp
    2009-12-30 16:03:34 ----SHD---- C:\$Recycle.Bin
    2009-12-30 15:48:10 ----D---- C:\Windows\Prefetch
    2009-12-30 12:06:56 ----A---- C:\Windows\tefview.ini
    2009-12-30 11:38:37 ----D---- C:\Windows\system32\Tasks
    2009-12-30 02:02:10 ----D---- C:\Windows
    2009-12-29 15:31:19 ----HD---- C:\ProgramData
    2009-12-29 15:31:05 ----RSD---- C:\Windows\assembly
    2009-12-29 15:26:42 ----HD---- C:\Program Files\InstallShield Installation Information
    2009-12-28 23:12:17 ----D---- C:\Windows\System32
    2009-12-28 23:12:17 ----D---- C:\Windows\inf
    2009-12-28 23:12:17 ----A---- C:\Windows\system32\PerfStringBackup.INI
    2009-12-28 12:36:04 ----D---- C:\Windows\system32\drivers
    2009-12-28 12:35:58 ----D---- C:\Windows\system32\catroot
    2009-12-28 12:35:46 ----D---- C:\Program Files\Realtek
    2009-12-22 10:27:05 ----D---- C:\Windows\system32\catroot2
    2009-12-20 21:44:05 ----D---- C:\Program Files\Common Files
    2009-12-20 17:53:05 ----D---- C:\Windows\system32\fr-FR
    2009-12-20 17:53:05 ----D---- C:\Windows\system32\en-US
    2009-12-20 17:18:30 ----D---- C:\Windows\system32\LogFiles
    2009-12-20 12:17:25 ----D---- C:\Windows\Tasks
    2009-12-20 10:41:29 ----D---- C:\Windows\rescache
    2009-12-20 10:36:03 ----D---- C:\Windows\Microsoft.NET
    2009-12-20 10:35:04 ----SHD---- C:\Windows\Installer
    2009-12-20 10:34:01 ----D---- C:\Windows\winsxs
    2009-12-20 10:33:59 ----RSD---- C:\Windows\Fonts
    2009-12-20 10:33:59 ----D---- C:\Windows\system32\wbem
    2009-12-20 02:12:02 ----SD---- C:\Users\Nakamura\AppData\Roaming\Microsoft
    2009-12-20 01:56:42 ----D---- C:\Windows\fr-FR
    2009-12-20 01:23:55 ----D---- C:\Windows\DigitalLocker
    2009-12-20 00:12:11 ----SD---- C:\Windows\Downloaded Program Files
    2009-12-19 23:40:21 ----D---- C:\ProgramData\Spybot - Search & Destroy
    2009-12-19 23:36:53 ----DC---- C:\Windows\system32\DRVSTORE
    2009-12-19 23:35:48 ----RD---- C:\Program Files
    2009-12-19 17:16:37 ----D---- C:\ProgramData\TuneUp Software
    2009-12-19 15:14:10 ----D---- C:\Windows\system32\Macromed
    2009-12-19 15:03:15 ----D---- C:\Users\Nakamura\AppData\Roaming\Mozilla
    2009-12-19 13:44:20 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
    2009-12-19 13:40:49 ----D---- C:\Program Files\Common Files\Real
    2009-12-19 13:40:46 ----D---- C:\Users\Nakamura\AppData\Roaming\Real
    2009-12-19 13:37:20 ----D---- C:\Program Files\Common Files\PX Storage Engine
    2009-12-19 13:36:49 ----D---- C:\Windows\system32\Adobe
    2009-12-19 13:36:00 ----D---- C:\Program Files\Common Files\microsoft shared
    2009-12-19 03:12:07 ----D---- C:\Windows\ShellNew
    2009-12-19 02:50:52 ----D---- C:\Users\Nakamura\AppData\Roaming\Adobe
    2009-12-18 23:08:56 ----D---- C:\Program Files\CCleaner
    2009-12-18 22:22:49 ----D---- C:\Program Files\Unlocker
    2009-12-18 14:47:05 ----D---- C:\vista
    2009-12-14 20:14:36 ----D---- C:\Windows\Minidump
    2009-12-13 18:35:57 ----SHD---- C:\System Volume Information
    2009-12-13 12:52:50 ----D---- C:\Windows\system32\WDI
    2009-12-12 14:47:10 ----D---- C:\Users\Nakamura\AppData\Roaming\uTorrent
    2009-12-11 07:39:53 ----D---- C:\Windows\Debug
    2009-12-10 14:32:16 ----D---- C:\Users\Nakamura\AppData\Roaming\codeblocks
    2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe
    
    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R1 atitray;atitray; \??\C:\Program Files\Ray Adams\ATI Tray Tools\atitray.sys [2008-09-08 18336]
    R1 avgio;avgio; \??\D:\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
    R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
    R1 BIOS;BIOS; \??\C:\Windows\system32\drivers\BIOS.sys [2005-03-16 13696]
    R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-19 350720]
    R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
    R1 TVicPort;TVicPort; \??\C:\Windows\System32\drivers\TVicPort.sys [2005-03-30 14544]
    R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-01-13 279712]
    R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-21 56816]
    R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-01-13 25888]
    R3 Afc;PPdus ASPI Shell; C:\Windows\system32\drivers\Afc.sys [2006-11-10 18688]
    R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-11-25 5143552]
    R3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
    R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-10-16 1971928]
    R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver; C:\Windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632]
    R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-09-02 176128]
    R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]
    R3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088]
    R3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016]
    S1 TVicPort64;TVicPort64; \??\C:\Windows\SysWOW64\drivers\TVicPort64.sys []
    S2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys []
    S3 avshws;YouUp Simulated Hardware; C:\Windows\system32\DRIVERS\youup.sys [2009-04-27 57472]
    S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
    S3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\Windows\system32\DRIVERS\mcdbus.sys []
    S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
    S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
    S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
    S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
    S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
    S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]
    
    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2009-11-25 172032]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur; D:\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    R2 AntiVirService;Avira AntiVir Guard; D:\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
    R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]
    R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-12-17 1044808]
    R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    R3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
    S3 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe []
    S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2009-12-19 1181328]
    S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-04-28 2806062]
    S3 TuneUp.Defrag;@D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [2009-12-19 435016]
    S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504]
    S4 AppMgmt;Gestion d'applications; C:\Windows\system32\svchost.exe [2008-01-19 21504]
    S4 CscService;Fichiers hors connexion; C:\Windows\System32\svchost.exe [2008-01-19 21504]
    S4 YouupServiceWinService;YouupServiceWinService; C:\Users\Nakamura\AppData\Local\Temp\YouUpService\YouupService.exe []
    
    -----------------EOF-----------------
    


    info.txt logfile of random's system information tool 1.06 2009-12-29 16:07:57
    
    ======Uninstall list======
    
    7-Zip 4.57-->MsiExec.exe /I{23170F69-40C1-2701-0457-000001000000}
    Ad-Aware-->"C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe" REMOVE=TRUE MODIFY=FALSE
    Ad-Aware-->C:\ProgramData\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
    Adobe AIR-->MsiExec.exe /I{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
    Adobe Reader 9.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A92000000001}
    Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x040c -removeonly
    Avira AntiVir Personal - Free Antivirus-->D:\Avira\AntiVir Desktop\setup.exe /REMOVE
    Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    DivX Plus Web Player-->D:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    HijackThis 2.0.2-->"D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
    JDownloader-->E:\Program Files\JDownloader\uninstall.exe
    Malwarebytes' Anti-Malware-->"D:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    ManyCam 2.4 (remove only)-->"D:\Program Files\ManyCam 2.4\uninstall.exe"
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
    Microsoft XNA Framework Redistributable 3.1-->MsiExec.exe /I{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.5.6)-->D:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Ray Adams ATI Tray Tools-->"C:\Program Files\Ray Adams\ATI Tray Tools\uninstall.exe"
    Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Spybot - Search & Destroy-->"D:\Program Files\Spybot - Search & Destroy\unins000.exe"
    SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
    SweetIM Toolbar for Internet Explorer 3.3-->MsiExec.exe /X{266C7330-C0F4-49E5-8F20-A56F9F822875}
    TEFView 2.65-->"D:\Program Files\TablEdit\unins000.exe"
    The KMPlayer v2.9.4.1435 FR-->"D:\Program Files\The KMPlayer FR\unins000.exe"
    TI Connect 1.6-->MsiExec.exe /I{A8B94669-8654-4126-BD28-D0D2412CDED6}
    TuneUp Utilities-->D:\Program Files\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
    TuxGuitar 1.2-->D:\Program Files\TuxGuitar-Jet\Uninstall.exe
    Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    Utilitaire d'identification du processeur Intel(R)-->MsiExec.exe /X{A92A4DB0-CD37-42D1-BE1D-603D53C24328}
    VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
    Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
    Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
    VLC media player 1.0.3-->D:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
    
    =====HijackThis Backups=====
    
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\inks.tmp\svchost.exe (User 'Default user') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') [2009-12-29]
    O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\TEMP\sshnas.dll,DllWork (User 'Default user') [2009-12-29]
    O4 - HKUS\.DEFAULT\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'Default user') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [RegistryMonitor1] "C:\Windows\TEMP\ipxw.tmp\svchost.exe" (User 'SYSTEM') [2009-12-29]
    O4 - HKUS\S-1-5-18\..\Run: [ZagrebLand] C:\Windows\TEMP\p.exe (User 'SYSTEM') [2009-12-29]
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing) [2009-12-29]
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) [2009-12-29]
    
    Hosts File Missing
    ======Security center information======
    
    AV: System Defender
    FW: System Defender
    AS: Windows Defender (disabled)
    
    ======System event log======
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486288
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486289
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Absent(Absent)
    Record Number: 486290
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4375
    Message: Windows Servicing a échoué lors de la définition du package KB976325 (Security Update) à l’état Résolution(Resolving)
    Record Number: 486291
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091229142055.000000-000
    Event Type: Erreur
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4226
    Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
    Record Number: 486294
    Source Name: Tcpip
    Time Written: 20091229144617.653690-000
    Event Type: Avertissement
    User: 
    
    =====Application event log=====
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\jqyo.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28278
    Source Name: Avira AntiVir
    Time Written: 20091229145109.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28279
    Source Name: Avira AntiVir
    Time Written: 20091229150140.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\nqqg.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28280
    Source Name: Avira AntiVir
    Time Written: 20091229150141.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28281
    Source Name: Avira AntiVir
    Time Written: 20091229150653.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    Computer Name: PC-de-Nakamura
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\Windows\Temp\ykop.tmp\svchost.exe un code suspect avec la désignation 'TR/Hijacker.Gen'!
    Record Number: 28282
    Source Name: Avira AntiVir
    Time Written: 20091229150654.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM
    
    =====Security event log=====
    
    Computer Name: PC-de-Nakamura
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.
    
    Sujet :
    	ID de sécurité :		S-1-0-0
    	Nom du compte :		-
    	Domaine du compte :		-
    	ID d’ouverture de session :		0x0
    
    Type d’ouverture de session :			3
    
    Nouvelle ouverture de session :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID d’ouverture de session :		0x203319
    	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}
    
    Informations sur le processus :
    	ID du processus :		0x0
    	Nom du processus :		-
    
    Informations sur le réseau :
    	Nom de la station de travail :	COQUELICOT
    	Adresse du réseau source :	78.232.138.51
    	Port source :		8224
    
    Informations détaillées sur l’authentification :
    	Processus d’ouverture de session :		NtLmSsp 
    	Package d’authentification :	NTLM
    	Services en transit :	-
    	Nom du package (NTLM uniquement) :	NTLM V1
    	Longueur de la clé :		128
    
    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
    
    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
    
    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
    
    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
    
    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
    
    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 92384
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091444.794089-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID du compte :		0x203319
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92385
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091444.968882-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.
    
    Sujet :
    	ID de sécurité :		S-1-0-0
    	Nom du compte :		-
    	Domaine du compte :		-
    	ID d’ouverture de session :		0x0
    
    Type d’ouverture de session :			3
    
    Nouvelle ouverture de session :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID d’ouverture de session :		0x203337
    	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}
    
    Informations sur le processus :
    	ID du processus :		0x0
    	Nom du processus :		-
    
    Informations sur le réseau :
    	Nom de la station de travail :	COQUELICOT
    	Adresse du réseau source :	78.232.138.51
    	Port source :		8224
    
    Informations détaillées sur l’authentification :
    	Processus d’ouverture de session :		NtLmSsp 
    	Package d’authentification :	NTLM
    	Services en transit :	-
    	Nom du package (NTLM uniquement) :	NTLM V1
    	Longueur de la clé :		128
    
    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
    
    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
    
    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
    
    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
    
    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
    
    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 92386
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.226678-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-7
    	Nom du compte :		ANONYMOUS LOGON
    	Domaine du compte :		AUTORITE NT
    	ID du compte :		0x203337
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92387
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.508887-000
    Event Type: Succès de l'audit
    User: 
    
    Computer Name: PC-de-Nakamura
    Event Code: 4634
    Message: Fermeture de session d’un compte.
    
    Sujet :
    	ID de sécurité :		S-1-5-21-2844290143-3367304610-857735423-501
    	Nom du compte :		Invité
    	Domaine du compte :		PC-de-Nakamura
    	ID du compte :		0x20321d
    
    Type d’ouverture de session :			3
    
    Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
    Record Number: 92388
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090924091445.717858-000
    Event Type: Succès de l'audit
    User: 
    
    ======Environment variables======
    
    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "NUMBER_OF_PROCESSORS"=2
    "OS"=Windows_NT
    "Path"=C:\Program Files\Mozilla Firefox;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Common Files\Teleca Shared
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_REVISION"=1706
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    
    -----------------EOF-----------------
    


    voili
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    comment va le pc?
    0
  7. bisounours
     
    toujours le message d'erreur masica doit venir d'un probleme avec mozilla

    il n'est la que quand j'utilise mozilla, je vais chercher des liens

    merci
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire firefox puis remets le et dis si cela persiste
    0
  9. bisounours
     
    j'ai dit une erreur

    c'est des qu'un programme se connecte a internet (msn, jdonwlaoder, mozilla,...) que ca se lance

    c'est pas grave, je formate tout et je reinstalle d'ici un mois et ca ira mieux

    merci pour ton aide et bon reveillon!!!
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  11. bisounours
     
    probleme reglé

    desinstallation mozilla, msn, ...
    debranchage internet
    scan par des anti spyware, trojan, ...
    reinstallation de antivir sans connecter internet (tout mis dans un dossier pour les mises a jour et touty quanti)
    scan
    redemarrage

    puis reinstallation de tout et plus d eprobleme

    (pour les désinstallation, j'ai tout supprimer partout meme les trucs qui restent normalement)

    voila

    merci beaucoup de ton aide, en esperant ne plus avoir de probleme a l'avenir (je rigoles :D , je sais que j'en aurais encore tout plein)

    je te souhaite encore un bon reveillon (ca se fete sur une semaine ces trucs la) et a la prochaine
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as fais combofix? le rapport?
    0