Bleme rundll apres infection

songoku21 Messages postés 44 Statut Membre -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
salut a tous ; voila mon pc a ete infecter dans le systeme 32 j ai reparer mais quand je l allume il me met
c:\windows\system32\sshnas21.dll est introuvable
comment remplacer ce fichier et ou dois je le trouver sur mon pc merci bien
Configuration: Windows Vista
Firefox 3.5.7

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection sur Windows Vista provoque le message d'erreur c:\windows\system32\sshnas21.dll introuvable, signalant un fichier système manquant lié potentiellement à un malware. Des solutions essentielles consistent à analyser l'ordinateur avec un antivirus et un antimalware à jour, puis à examiner les programmes et extensions susceptibles d'avoir modifié le système. En cas de persistance, des outils de nettoyage et de correction, tels que l'analyse hors ligne et la vérification des fichiers système (SFC), peuvent être envisagés. D'autres pistes incluent la restauration système, la sauvegarde des données et, si nécessaire, une réinstallation du système pour éviter que l'infection réapparaisse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    Ton PC contient encore des traces d'infection.
    C'est pour cela que tu as ce message d'erreur.
    On va traiter les traces d'infection ensemble.

    *********

    Désactive l’UAC (User Account Control) le temps de la désinfection.
    Démarrer > Panneau de configuration > Comptes d’utilisateurs > Désactiver le contrôle des comptes d’utilisateur.
    (Manipulation inverse pour le remettre en fin de désinfection).
    (Cela va permettre aux outils de désinfection de travailler correctement).

    ******

    Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
    = = = = >>> En cliquant ici <<< = = = =

    * Clique droit sur RSIT.exe puis sélectionne ‘Exécuter en tant qu’administrateur’ pour le lancer.
    * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
    * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
    * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
    * Poste le contenu de log.txt ainsi que le rapport info.txt.
    0
  2. songoku21 Messages postés 44 Statut Membre
     
    voila j ai fais comme yu ma dis j attend le rapport puis je te le donne
    0
  3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Ok, pas de souci.
    0
  4. songoku21 Messages postés 44 Statut Membre
     
    ca peu durer longtemps ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. songoku21 Messages postés 44 Statut Membre
     
    txt logfile of random's system information tool 1.06 2010-01-19 13:04:57

    ======Uninstall list======

    -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    -->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
    -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
    -->C:\Windows\UNNeroShowTime.exe /UNINSTALL
    -->C:\Windows\UNNeroVision.exe /UNINSTALL
    -->C:\Windows\UNRecode.exe /UNINSTALL
    -->MsiExec /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
    32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
    Adobe Acrobat 5.0-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
    Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
    AIDA32 v3.93-->"C:\Program Files\AIDA32 - Personal System Information\unins000.exe"
    AnyDVD-->"C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Program Files\SlySoft\AnyDVD"
    ArcSoft PhotoBase-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoBase\Uninst.isu"
    ArcSoft PhotoStudio 2000-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoStudio 2000\Uninst.isu"
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
    BitSpirit v3.2.0.109 Stable Release-->"C:\Program Files\BitSpirit\unins000.exe"
    Canon ScanGear Toolbox 3.0-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Canon\ScanGear Toolbox Ver3\Uninst.isu" -c"C:\Program Files\Canon\ScanGear Toolbox Ver3\uninst.dll"
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    CloneDVD2-->"C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\Elaborate Bytes\CloneDVD2"
    ConvertXtoDVD 2.2.3.258h-->"C:\Program Files\VSO\ConvertXtoDVD\unins000.exe"
    CoreAAC-->"C:\Program Files\CoreAAC\Uninstall.exe"
    DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
    DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
    DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
    DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
    eoEngine 4.9-->"C:\Program Files\EoRezo\unins000.exe"
    Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
    Favorit-->c:\users\audrey\appdata\local\nnnnm.bat
    Filmotech v2.42-->"C:\Program Files\Filmotech\unins000.exe"
    Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
    HP Deskjet & Photosmart Printer Driver Software 8.0.A-->C:\Program Files\HP\Digital Imaging\{981DE354-9301-440f-AAFC-025AA2354A93}\setup\hpzscr01.exe -datfile hppscr20.dat -onestop -showdisconnect -forcereboot
    HP DeskJet 840C Series (Remove only)-->C:\Program Files\HP DeskJet 840C Series\hpfiui.exe -c -vdivid=HPF -vpnum=90 -vinstport=LPT1: -vproduct=840C -huninstall
    HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
    HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}
    HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
    HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
    HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
    Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
    Live TV Toolbar-->C:\PROGRA~1\Live_TV\UNWISE.EXE C:\PROGRA~1\Live_TV\INSTALL.LOG
    MediaBar 2.0-->C:\Program Files\Shareaza Applications\Shareaza MediaBar\Uninstall.exe
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
    Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
    Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
    Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
    Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
    Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
    Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Mirar-->mshta.exe http://remove.getmirar.com/
    Modèles de sons Windows-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
    Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    Nero 7 Ultra Edition-->MsiExec.exe /I{4908C75E-E5E2-43F7-B1DF-023CBA831036}
    NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
    NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
    OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
    OmniPage Pro 9.0-->C:\Program Files\Caere\OmniPagePro90\Deinstall.exe "C:\Program Files\Caere\OmniPagePro90\uninstall.exe -f'C:\Program Files\Caere\OmniPagePro90\DeIsL1.isu'"
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
    Shareaza 2.4.0.0-->"C:\Program Files\Shareaza\Uninstall\unins000.exe"
    Ultra Mobile 3GP Video Converter 3.0.4.0421b-->"C:\Program Files\Ultra Mobile 3GP Video Converter\unins000.exe"
    Uniblue RegistryBooster 2009-->"C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe" REMOVE=TRUE MODIFY=FALSE
    Uniblue RegistryBooster 2009-->C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe
    Utherverse 3D Client-->"C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe" REMOVE=TRUE MODIFY=FALSE
    Utherverse 3D Client-->C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe
    VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
    VideoLAN VLC media player 0.8.6h-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    VirtualDubMOD 1.5.10.3 Fr-->"C:\Program Files\VirtualDubMOD\unins000.exe"
    Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
    Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
    Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
    Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
    Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}

    ======Security center information======

    AS: Windows Defender

    ======System event log======

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
    Record Number: 146498
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091021020017.000000-000
    Event Type: Avertissement
    User: PC-DE-CATHY-ET-\Audrey

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
    Record Number: 146496
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091021020017.000000-000
    Event Type: Avertissement
    User: PC-DE-CATHY-ET-\Audrey

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
    Record Number: 146494
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091021020017.000000-000
    Event Type: Avertissement
    User: PC-DE-CATHY-ET-\Audrey

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
    Record Number: 146492
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091021020017.000000-000
    Event Type: Avertissement
    User: PC-DE-CATHY-ET-\Audrey

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
    Record Number: 146490
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091021020017.000000-000
    Event Type: Avertissement
    User: PC-DE-CATHY-ET-\Audrey

    =====Application event log=====

    Computer Name: PC-de-Audrey
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    2 user registry handles leaked from \Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000:
    Process 512 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000
    Process 1168 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000

    Record Number: 112
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20080422205525.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Audrey
    Event Code: 63
    Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
    Record Number: 59
    Source Name: Microsoft-Windows-WMI
    Time Written: 20080422193655.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Audrey
    Event Code: 63
    Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
    Record Number: 58
    Source Name: Microsoft-Windows-WMI
    Time Written: 20080422193655.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-Audrey
    Event Code: 1008
    Message: Le service Windows Search tente de supprimer l’ancien catalogue.

    Record Number: 26
    Source Name: Microsoft-Windows-Search
    Time Written: 20080422193255.000000-000
    Event Type: Avertissement
    User:

    Computer Name: 26L2233A1-06
    Event Code: 1036
    Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
    Record Number: 13
    Source Name: Microsoft-Windows-SpoolerSpoolss
    Time Written: 20080422192841.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CATHY-ET-$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 2

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-21-1334444720-1997098445-1203299296-1000
    Nom du compte : Audrey
    Domaine du compte : PC-DE-CATHY-ET-
    ID d’ouverture de session : 0x26ca9
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x2f4
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Nom de la station de travail : PC-DE-CATHY-ET-
    Adresse du réseau source : 127.0.0.1
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : User32
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 57472
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090915145338.953324-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CATHY-ET-$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : Audrey
    Domaine du compte : PC-DE-CATHY-ET-
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2f4
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 57471
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090915145338.953324-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 57470
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090915145337.471315-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CATHY-ET-$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x270
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 57469
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090915145337.471315-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-Cathy-et-Valentin
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-CATHY-ET-$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x270
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 57468
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090915145337.471315-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
    "PROCESSOR_REVISION"=6b01
    "NUMBER_OF_PROCESSORS"=2

    -----------------EOF-----------------
    0
  7. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Non, ce n'est pas très long RSIT.
    0
  8. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Très bien pour le info.txt.
    Et le log.txt ?
    0
  9. songoku21 Messages postés 44 Statut Membre
     
    suis obliger de recommencer peration pc a planter
    0
  10. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Regarde avant si le rapport ne se situe pas ici :
    C:\rsit\info.txt
    0
  11. songoku21 Messages postés 44 Statut Membre
     
    vraiment desoler
    0
  12. songoku21 Messages postés 44 Statut Membre
     
    ou dois je regarder apres c:\rsit\info.txt
    0
  13. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Désolé de quoi ?
    Tu n'as pas à être désolé ;-)

    Si tu ne l'as pas dans le dossier, relance RSIT.
    0
  14. songoku21 Messages postés 44 Statut Membre
     
    Run by Audrey at 2010-01-19 13:21:50
    Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
    System drive C: has 52 GB (34%) free of 153 GB
    Total RAM: 1023 MB (39% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:23:08, on 19/01/2010
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v8.00 (8.00.6001.18865)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\RtHDVCpl.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\PixArt\Pac207\Monitor.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Users\Audrey\AppData\Roaming\WhereSphere\WhereSphere.exe
    C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
    C:\Users\Audrey\AppData\Local\hqjktmn.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Users\Audrey\Desktop\RSIT.exe
    C:\Program Files\trend micro\Audrey.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.shareazaweb.com/sidebar.html?src=ssb
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.adbsearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mirarsearch.com/?useie5=1&q=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
    O2 - BHO: UrlHelper Class - {CFC4F59B-A2DA-4e12-B337-52A4F871E10C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaIEHelper.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: Mirar - {EA519AF7-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
    O3 - Toolbar: Shareaza MediaBar - {196C3A46-4758-433D-A600-802C804AF39C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaMediaBar.dll
    O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: Mirar - {EA519AF6-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [hpfsched] C:\Windows\hpfsched.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [WhereSphere] C:\Users\Audrey\AppData\Roaming\WhereSphere\wheresphere.exe
    O4 - HKCU\..\Run: [SfKg6wIPuS] C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA
    O4 - HKCU\..\Run: [hqjktmn] "c:\users\audrey\appdata\local\hqjktmn.exe" hqjktmn
    O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
    O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Télécharger en Utilisant &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\Windows\system32\spool\drivers\w32x86\hpzstatn.exe
    O23 - Service: Kwanzy Service - Unknown owner - C:\ProgramData\Kwanzy\kwanzy131.exe (file missing)
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    0
  15. songoku21 Messages postés 44 Statut Membre
     
    voila si tu t y retrouve ......... chapeau pour moi c du chinois tt ca mdr
    0
  16. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Plusieurs infection.

    Recherche avec Ad-Remover :
    Télécharge Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    = = = =>>> En cliquant ici <<<= = = =

    /!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

    * Double clique sur le programme d'installation, et installe le dans son emplacement par défaut. (C:\Program files)
    * Clique droit sur l'icône Ad-remover située sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur".
    * Réponds ‘Oui’ au message d’alerte automatique.
    * Au menu principal choisi l'option ‘S’ et tape ensuite [Entrée]
    * Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    0
  17. songoku21 Messages postés 44 Statut Membre
     
    oki je met ca en route et te tien au courant
    0
  18. songoku21 Messages postés 44 Statut Membre
     
    le lien que tu ma donner n est plus valable !
    0
  19. songoku21 Messages postés 44 Statut Membre
     
    ok ca y es j ai tele charger le programme je me deconnecte et je l envoi
    0
  20. songoku21 Messages postés 44 Statut Membre
     
    j arrive pas a prendre ad remove j arrive sur une page 404 no found
    0
  21. songoku21 Messages postés 44 Statut Membre
     
    ======= LOGFILE OF AD-REMOVER 1.1.4.6_H | ONLY XP/VISTA/7 =======
    .
    Updated by C_XX on 18.01.2010 at 18:32
    Contact: AdRemover.contact@gmail.com
    Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Launch at: 14:14:32, mar. 19/01/2010 | Normal Boot | Option: SCAN
    Executed from: C:\Ad-Remover\
    Operating system: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
    Computer Name: PC-DE-CATHY-ET- | Current user: Audrey
    .
    ============== FOUND ELEMENT(S) ==============
    .
    Service: *Kwanzy Service*

    C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\7wvfry9r.default\searchplugins\askcom.xml
    C:\Windows\System32\nvs2.inf
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\EoRezo
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
    C:\Program Files\EoRezo
    C:\Program Files\Everest Poker
    C:\Program Files\Live_TV
    C:\Users\Audrey\AppData\Roaming\EoRezo
    C:\Users\Audrey\AppData\Roaming\ItsLabel
    C:\Users\Audrey\AppData\Roaming\WhereSphere
    C:\Users\Audrey\AppData\LocalLow\SweetIM
    C:\ProgramData\SweetIM
    C:\Windows\system32\5978.dll
    C:\Windows\system32\5978.dll
    C:\Users\Public\Desktop\Everest Poker.lnk
    C:\Users\Audrey\Desktop\programme bureau\Everest Poker.exe
    C:\Program Files\Mozilla FireFox\searchplugins\kwanzy127.xml
    C:\Program Files\Mozilla FireFox\searchplugins\kwanzy129.xml
    C:\Program Files\Mozilla FireFox\searchplugins\kwanzy131.xml
    C:\Users\Audrey\AppData\Local\cfmiftp.bat
    C:\Users\Audrey\AppData\Local\hqjktmn.dat
    C:\Users\Audrey\AppData\Local\hqjktmn.exe
    C:\Users\Audrey\AppData\Local\hqjktmn_nav.dat
    C:\Users\Audrey\AppData\Local\hqjktmn_navps.dat
    C:\Users\Audrey\AppData\Local\jehknilo.bat
    C:\Users\Audrey\AppData\Local\myckgqu.bat
    C:\Users\Audrey\AppData\Local\owgxhpiq.bat
    C:\Users\Audrey\AppData\Local\qtwidf.bat
    C:\Users\Audrey\AppData\Local\thbifres.bat
    .
    HKCU\software\EoRezo
    HKCU\software\fcn
    HKCU\software\Grand Virtual
    HKCU\software\ItsLabel
    HKCU\software\LanConfig
    HKCU\software\Live_TV
    HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000\Software\Sweetim
    HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\hqjktmn
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\WhereSphere
    HKCU\software\SweetIM
    HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
    HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\CLSID\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
    HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
    HKLM\software\classes\EoRezoBHO.EoBho
    HKLM\software\classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
    HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\software\EoRezo
    HKLM\software\ItsLabel
    HKLM\software\Live_TV
    HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
    HKLM\software\microsoft\windows\currentversion\uninstall\{EA519AF6-C803-4784-89AA-4785081B6C5A}
    HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
    HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
    HKLM\software\microsoft\windows\currentversion\uninstall\hqjktmn
    HKLM\software\SweetIM
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\EoRezo
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\fcn
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Grand Virtual
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\ItsLabel
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\LanConfig
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Live_TV
    HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\SweetIM
    .
    ============== Added scan ==============
    .
    .
    * Mozilla FireFox Version 3.5.7 [fr] *
    .
    ProfilePath: 7wvfry9r.default (Audrey)
    .
    (Audrey, prefs.js) Browser.download.dir, C:\Users\Audrey\Downloads
    (Audrey, prefs.js) Browser.download.lastDir, C:\Users\Audrey\Documents\Aurore Personnel\image ecole
    (Audrey, prefs.js) Browser.search.defaultenginename, Bing
    (Audrey, prefs.js) Browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
    (Audrey, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    (Audrey, prefs.js) Extensions.enabledItems, {e45a0de0-b4de-11de-8a39-0800200c9a66}:2,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{4E551550-1870-479D-BF66-DF77900E100E}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
    (Audrey, prefs.js) Keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=
    (Audrey, prefs.js) Privacy.popups.showBrowserMessage, false
    .
    .
    * Internet Explorer Version 8.0.6001.18865 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\Windows\system32\blank.htm
    Show_ToolBar: yes
    Search Page:
    Enable Browser Extensions: yes
    Start Page: hxxp://home.adbsearch.com/
    Use Search Asst: no
    Search Bar: hxxp://search.shareazaweb.com/sidebar.html?src=ssb
    SearchAssistant:
    Start Page Redirect Cache: hxxp://be.msn.com/defaultf.aspx?lang=fr-be&ocid=iehp
    Start Page Redirect Cache_TIMESTAMP: f346a7def45cca01
    Start Page Redirect Cache AcceptLangs: fr-be
    Use Custom Search URL: 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Start Page: hxxp://home.sweetim.com
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Use Custom Search URL: 1 (0x1)
    Search Bar: hxxp://www.mirarsearch.com/?useie5=1&q=
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] RegistryBoosterv2 0 1114 3657 - With Keygen rar.torrent
    C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] Uniblue RegistryBooster V 3 0 0 0 Final incl keygen.torrent
    C:\Users\Audrey\Desktop\keygen.exe
    C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\keygen.exe
    C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\vsoConvertXtoDVD2_setup.exe
    C:\Users\Audrey\Documents\Installation\(App).-.Partition.Magic.8.0.With.Serial.Number.zip
    C:\Users\Audrey\Documents\Installation\Nero Start Smart 6.6.0.1 + Serial.rar
    C:\Users\Audrey\Documents\Mes fichiers re‡us\crack.exe
    .
    ===================================
    .
    8615 Byte(s) - C:\Ad-Report-SCAN[1].log
    .
    262 File(s) - C:\Users\Audrey\AppData\Local\Temp
    6 File(s) - C:\Windows\Temp
    125 File(s) - C:\Windows\Prefetch
    .
    2 File(s) - C:\Ad-Remover\BACKUP
    0 File(s) - C:\Ad-Remover\QUARANTINE
    .
    End at: 14:20:03 | mar. 19/01/2010 - SCAN[1]
    .
    ============== E.O.F ==============
    .
    0
  • 1
  • 2
  • 3