Bleme rundll apres infection
Fermé
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
-
19 janv. 2010 à 12:54
crapoulou Messages postés 28161 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 20 janv. 2010 à 16:09
crapoulou Messages postés 28161 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 20 janv. 2010 à 16:09
A voir également:
- Bleme rundll apres infection
- Rundll problème ✓ - Forum Virus
- Url blacklist infection - Forum Virus
- Rundll le module spécifié est introuvable ✓ - Forum Virus
- Infection ? - Forum Sécurité
- RunDLL (Problème lors du démarrage) - Forum Virus
48 réponses
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 12:57
19 janv. 2010 à 12:57
Salut,
Ton PC contient encore des traces d'infection.
C'est pour cela que tu as ce message d'erreur.
On va traiter les traces d'infection ensemble.
*********
Désactive l’UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d’utilisateurs > Désactiver le contrôle des comptes d’utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
******
Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne ‘Exécuter en tant qu’administrateur’ pour le lancer.
* Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
* Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt ainsi que le rapport info.txt.
Ton PC contient encore des traces d'infection.
C'est pour cela que tu as ce message d'erreur.
On va traiter les traces d'infection ensemble.
*********
Désactive l’UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d’utilisateurs > Désactiver le contrôle des comptes d’utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
******
Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne ‘Exécuter en tant qu’administrateur’ pour le lancer.
* Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
* Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt ainsi que le rapport info.txt.
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:08
19 janv. 2010 à 13:08
voila j ai fais comme yu ma dis j attend le rapport puis je te le donne
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:10
19 janv. 2010 à 13:10
Ok, pas de souci.
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:11
19 janv. 2010 à 13:11
ca peu durer longtemps ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:13
19 janv. 2010 à 13:13
txt logfile of random's system information tool 1.06 2010-01-19 13:04:57
======Uninstall list======
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
AIDA32 v3.93-->"C:\Program Files\AIDA32 - Personal System Information\unins000.exe"
AnyDVD-->"C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Program Files\SlySoft\AnyDVD"
ArcSoft PhotoBase-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoBase\Uninst.isu"
ArcSoft PhotoStudio 2000-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoStudio 2000\Uninst.isu"
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
BitSpirit v3.2.0.109 Stable Release-->"C:\Program Files\BitSpirit\unins000.exe"
Canon ScanGear Toolbox 3.0-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Canon\ScanGear Toolbox Ver3\Uninst.isu" -c"C:\Program Files\Canon\ScanGear Toolbox Ver3\uninst.dll"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CloneDVD2-->"C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\Elaborate Bytes\CloneDVD2"
ConvertXtoDVD 2.2.3.258h-->"C:\Program Files\VSO\ConvertXtoDVD\unins000.exe"
CoreAAC-->"C:\Program Files\CoreAAC\Uninstall.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
eoEngine 4.9-->"C:\Program Files\EoRezo\unins000.exe"
Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
Favorit-->c:\users\audrey\appdata\local\nnnnm.bat
Filmotech v2.42-->"C:\Program Files\Filmotech\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Deskjet & Photosmart Printer Driver Software 8.0.A-->C:\Program Files\HP\Digital Imaging\{981DE354-9301-440f-AAFC-025AA2354A93}\setup\hpzscr01.exe -datfile hppscr20.dat -onestop -showdisconnect -forcereboot
HP DeskJet 840C Series (Remove only)-->C:\Program Files\HP DeskJet 840C Series\hpfiui.exe -c -vdivid=HPF -vpnum=90 -vinstport=LPT1: -vproduct=840C -huninstall
HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}
HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Live TV Toolbar-->C:\PROGRA~1\Live_TV\UNWISE.EXE C:\PROGRA~1\Live_TV\INSTALL.LOG
MediaBar 2.0-->C:\Program Files\Shareaza Applications\Shareaza MediaBar\Uninstall.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mirar-->mshta.exe http://remove.getmirar.com/
Modèles de sons Windows-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Nero 7 Ultra Edition-->MsiExec.exe /I{4908C75E-E5E2-43F7-B1DF-023CBA831036}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OmniPage Pro 9.0-->C:\Program Files\Caere\OmniPagePro90\Deinstall.exe "C:\Program Files\Caere\OmniPagePro90\uninstall.exe -f'C:\Program Files\Caere\OmniPagePro90\DeIsL1.isu'"
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Shareaza 2.4.0.0-->"C:\Program Files\Shareaza\Uninstall\unins000.exe"
Ultra Mobile 3GP Video Converter 3.0.4.0421b-->"C:\Program Files\Ultra Mobile 3GP Video Converter\unins000.exe"
Uniblue RegistryBooster 2009-->"C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe" REMOVE=TRUE MODIFY=FALSE
Uniblue RegistryBooster 2009-->C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe
Utherverse 3D Client-->"C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe" REMOVE=TRUE MODIFY=FALSE
Utherverse 3D Client-->C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VideoLAN VLC media player 0.8.6h-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VirtualDubMOD 1.5.10.3 Fr-->"C:\Program Files\VirtualDubMOD\unins000.exe"
Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
======Security center information======
AS: Windows Defender
======System event log======
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146498
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146496
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146494
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146492
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146490
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
=====Application event log=====
Computer Name: PC-de-Audrey
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
2 user registry handles leaked from \Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000:
Process 512 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000
Process 1168 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000
Record Number: 112
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080422205525.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 59
Source Name: Microsoft-Windows-WMI
Time Written: 20080422193655.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 58
Source Name: Microsoft-Windows-WMI
Time Written: 20080422193655.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.
Record Number: 26
Source Name: Microsoft-Windows-Search
Time Written: 20080422193255.000000-000
Event Type: Avertissement
User:
Computer Name: 26L2233A1-06
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 13
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20080422192841.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Security event log=====
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
Type d’ouverture de session : 2
Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-1334444720-1997098445-1203299296-1000
Nom du compte : Audrey
Domaine du compte : PC-DE-CATHY-ET-
ID d’ouverture de session : 0x26ca9
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x2f4
Nom du processus : C:\Windows\System32\winlogon.exe
Informations sur le réseau :
Nom de la station de travail : PC-DE-CATHY-ET-
Adresse du réseau source : 127.0.0.1
Port source : 0
Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57472
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145338.953324-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : Audrey
Domaine du compte : PC-DE-CATHY-ET-
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x2f4
Nom du processus : C:\Windows\System32\winlogon.exe
Informations sur le réseau :
Adresse du réseau : 127.0.0.1
Port : 0
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 57471
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145338.953324-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 57470
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
Type d’ouverture de session : 5
Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -
Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57469
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Adresse du réseau : -
Port : -
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 57468
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6b01
"NUMBER_OF_PROCESSORS"=2
-----------------EOF-----------------
======Uninstall list======
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
AIDA32 v3.93-->"C:\Program Files\AIDA32 - Personal System Information\unins000.exe"
AnyDVD-->"C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Program Files\SlySoft\AnyDVD"
ArcSoft PhotoBase-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoBase\Uninst.isu"
ArcSoft PhotoStudio 2000-->C:\Windows\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoStudio 2000\Uninst.isu"
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
BitSpirit v3.2.0.109 Stable Release-->"C:\Program Files\BitSpirit\unins000.exe"
Canon ScanGear Toolbox 3.0-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Canon\ScanGear Toolbox Ver3\Uninst.isu" -c"C:\Program Files\Canon\ScanGear Toolbox Ver3\uninst.dll"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CloneDVD2-->"C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\Elaborate Bytes\CloneDVD2"
ConvertXtoDVD 2.2.3.258h-->"C:\Program Files\VSO\ConvertXtoDVD\unins000.exe"
CoreAAC-->"C:\Program Files\CoreAAC\Uninstall.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
eoEngine 4.9-->"C:\Program Files\EoRezo\unins000.exe"
Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
Favorit-->c:\users\audrey\appdata\local\nnnnm.bat
Filmotech v2.42-->"C:\Program Files\Filmotech\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Deskjet & Photosmart Printer Driver Software 8.0.A-->C:\Program Files\HP\Digital Imaging\{981DE354-9301-440f-AAFC-025AA2354A93}\setup\hpzscr01.exe -datfile hppscr20.dat -onestop -showdisconnect -forcereboot
HP DeskJet 840C Series (Remove only)-->C:\Program Files\HP DeskJet 840C Series\hpfiui.exe -c -vdivid=HPF -vpnum=90 -vinstport=LPT1: -vproduct=840C -huninstall
HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}
HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Live TV Toolbar-->C:\PROGRA~1\Live_TV\UNWISE.EXE C:\PROGRA~1\Live_TV\INSTALL.LOG
MediaBar 2.0-->C:\Program Files\Shareaza Applications\Shareaza MediaBar\Uninstall.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mirar-->mshta.exe http://remove.getmirar.com/
Modèles de sons Windows-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Nero 7 Ultra Edition-->MsiExec.exe /I{4908C75E-E5E2-43F7-B1DF-023CBA831036}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OmniPage Pro 9.0-->C:\Program Files\Caere\OmniPagePro90\Deinstall.exe "C:\Program Files\Caere\OmniPagePro90\uninstall.exe -f'C:\Program Files\Caere\OmniPagePro90\DeIsL1.isu'"
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Shareaza 2.4.0.0-->"C:\Program Files\Shareaza\Uninstall\unins000.exe"
Ultra Mobile 3GP Video Converter 3.0.4.0421b-->"C:\Program Files\Ultra Mobile 3GP Video Converter\unins000.exe"
Uniblue RegistryBooster 2009-->"C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe" REMOVE=TRUE MODIFY=FALSE
Uniblue RegistryBooster 2009-->C:\ProgramData\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe
Utherverse 3D Client-->"C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe" REMOVE=TRUE MODIFY=FALSE
Utherverse 3D Client-->C:\ProgramData\{D69E3569-8909-42B8-ACE5-A7351D3562E2}\UtherverseSetup.exe
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VideoLAN VLC media player 0.8.6h-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VirtualDubMOD 1.5.10.3 Fr-->"C:\Program Files\VirtualDubMOD\unins000.exe"
Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
======Security center information======
AS: Windows Defender
======System event log======
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146498
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146496
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146494
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146492
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948465(Service Pack) à l’état Installation demandée(Install Requested)
Record Number: 146490
Source Name: Microsoft-Windows-Servicing
Time Written: 20091021020017.000000-000
Event Type: Avertissement
User: PC-DE-CATHY-ET-\Audrey
=====Application event log=====
Computer Name: PC-de-Audrey
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
2 user registry handles leaked from \Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000:
Process 512 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000
Process 1168 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1334444720-1997098445-1203299296-1000
Record Number: 112
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080422205525.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 59
Source Name: Microsoft-Windows-WMI
Time Written: 20080422193655.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 58
Source Name: Microsoft-Windows-WMI
Time Written: 20080422193655.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Audrey
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.
Record Number: 26
Source Name: Microsoft-Windows-Search
Time Written: 20080422193255.000000-000
Event Type: Avertissement
User:
Computer Name: 26L2233A1-06
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 13
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20080422192841.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
=====Security event log=====
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
Type d’ouverture de session : 2
Nouvelle ouverture de session :
ID de sécurité : S-1-5-21-1334444720-1997098445-1203299296-1000
Nom du compte : Audrey
Domaine du compte : PC-DE-CATHY-ET-
ID d’ouverture de session : 0x26ca9
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x2f4
Nom du processus : C:\Windows\System32\winlogon.exe
Informations sur le réseau :
Nom de la station de travail : PC-DE-CATHY-ET-
Adresse du réseau source : 127.0.0.1
Port source : 0
Informations détaillées sur l’authentification :
Processus d’ouverture de session : User32
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57472
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145338.953324-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : Audrey
Domaine du compte : PC-DE-CATHY-ET-
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x2f4
Nom du processus : C:\Windows\System32\winlogon.exe
Informations sur le réseau :
Adresse du réseau : 127.0.0.1
Port : 0
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 57471
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145338.953324-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 57470
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
Type d’ouverture de session : 5
Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -
Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0
Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.
Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57469
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
Computer Name: PC-de-Cathy-et-Valentin
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.
Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CATHY-ET-$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}
Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost
Informations sur le processus :
ID du processus : 0x270
Nom du processus : C:\Windows\System32\services.exe
Informations sur le réseau :
Adresse du réseau : -
Port : -
Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 57468
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090915145337.471315-000
Event Type: Succès de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6b01
"NUMBER_OF_PROCESSORS"=2
-----------------EOF-----------------
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:13
19 janv. 2010 à 13:13
Non, ce n'est pas très long RSIT.
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:16
19 janv. 2010 à 13:16
Très bien pour le info.txt.
Et le log.txt ?
Et le log.txt ?
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:21
19 janv. 2010 à 13:21
suis obliger de recommencer peration pc a planter
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:22
19 janv. 2010 à 13:22
Regarde avant si le rapport ne se situe pas ici :
C:\rsit\info.txt
C:\rsit\info.txt
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:22
19 janv. 2010 à 13:22
vraiment desoler
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:24
19 janv. 2010 à 13:24
ou dois je regarder apres c:\rsit\info.txt
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:24
19 janv. 2010 à 13:24
Désolé de quoi ?
Tu n'as pas à être désolé ;-)
Si tu ne l'as pas dans le dossier, relance RSIT.
Tu n'as pas à être désolé ;-)
Si tu ne l'as pas dans le dossier, relance RSIT.
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:27
19 janv. 2010 à 13:27
Run by Audrey at 2010-01-19 13:21:50
Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
System drive C: has 52 GB (34%) free of 153 GB
Total RAM: 1023 MB (39% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:23:08, on 19/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Audrey\AppData\Roaming\WhereSphere\WhereSphere.exe
C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Audrey\Desktop\RSIT.exe
C:\Program Files\trend micro\Audrey.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.shareazaweb.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.adbsearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mirarsearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O2 - BHO: UrlHelper Class - {CFC4F59B-A2DA-4e12-B337-52A4F871E10C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: Mirar - {EA519AF7-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
O3 - Toolbar: Shareaza MediaBar - {196C3A46-4758-433D-A600-802C804AF39C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaMediaBar.dll
O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Mirar - {EA519AF6-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpfsched] C:\Windows\hpfsched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WhereSphere] C:\Users\Audrey\AppData\Roaming\WhereSphere\wheresphere.exe
O4 - HKCU\..\Run: [SfKg6wIPuS] C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA
O4 - HKCU\..\Run: [hqjktmn] "c:\users\audrey\appdata\local\hqjktmn.exe" hqjktmn
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en Utilisant &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\Windows\system32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: Kwanzy Service - Unknown owner - C:\ProgramData\Kwanzy\kwanzy131.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
System drive C: has 52 GB (34%) free of 153 GB
Total RAM: 1023 MB (39% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:23:08, on 19/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Audrey\AppData\Roaming\WhereSphere\WhereSphere.exe
C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Audrey\Desktop\RSIT.exe
C:\Program Files\trend micro\Audrey.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.shareazaweb.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.adbsearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mirarsearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O2 - BHO: UrlHelper Class - {CFC4F59B-A2DA-4e12-B337-52A4F871E10C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: Mirar - {EA519AF7-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
O3 - Toolbar: Shareaza MediaBar - {196C3A46-4758-433D-A600-802C804AF39C} - C:\Program Files\Shareaza Applications\Shareaza MediaBar\ShareazaMediaBar.dll
O3 - Toolbar: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Program Files\Live_TV\tbLive.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Mirar - {EA519AF6-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpfsched] C:\Windows\hpfsched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WhereSphere] C:\Users\Audrey\AppData\Roaming\WhereSphere\wheresphere.exe
O4 - HKCU\..\Run: [SfKg6wIPuS] C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\oulwsv.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA
O4 - HKCU\..\Run: [hqjktmn] "c:\users\audrey\appdata\local\hqjktmn.exe" hqjktmn
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en Utilisant &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\Windows\system32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: Kwanzy Service - Unknown owner - C:\ProgramData\Kwanzy\kwanzy131.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:28
19 janv. 2010 à 13:28
voila si tu t y retrouve ......... chapeau pour moi c du chinois tt ca mdr
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
19 janv. 2010 à 13:30
19 janv. 2010 à 13:30
Plusieurs infection.
Recherche avec Ad-Remover :
Télécharge Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Double clique sur le programme d'installation, et installe le dans son emplacement par défaut. (C:\Program files)
* Clique droit sur l'icône Ad-remover située sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur".
* Réponds ‘Oui’ au message d’alerte automatique.
* Au menu principal choisi l'option ‘S’ et tape ensuite [Entrée]
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Recherche avec Ad-Remover :
Télécharge Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Double clique sur le programme d'installation, et installe le dans son emplacement par défaut. (C:\Program files)
* Clique droit sur l'icône Ad-remover située sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur".
* Réponds ‘Oui’ au message d’alerte automatique.
* Au menu principal choisi l'option ‘S’ et tape ensuite [Entrée]
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:51
19 janv. 2010 à 13:51
oki je met ca en route et te tien au courant
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:52
19 janv. 2010 à 13:52
le lien que tu ma donner n est plus valable !
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:54
19 janv. 2010 à 13:54
ok ca y es j ai tele charger le programme je me deconnecte et je l envoi
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 13:56
19 janv. 2010 à 13:56
j arrive pas a prendre ad remove j arrive sur une page 404 no found
songoku21
Messages postés
44
Date d'inscription
lundi 18 janvier 2010
Statut
Membre
Dernière intervention
20 janvier 2010
19 janv. 2010 à 14:24
19 janv. 2010 à 14:24
======= LOGFILE OF AD-REMOVER 1.1.4.6_H | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 18.01.2010 at 18:32
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 14:14:32, mar. 19/01/2010 | Normal Boot | Option: SCAN
Executed from: C:\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
Computer Name: PC-DE-CATHY-ET- | Current user: Audrey
.
============== FOUND ELEMENT(S) ==============
.
Service: *Kwanzy Service*
C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\7wvfry9r.default\searchplugins\askcom.xml
C:\Windows\System32\nvs2.inf
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\EoRezo
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\EoRezo
C:\Program Files\Everest Poker
C:\Program Files\Live_TV
C:\Users\Audrey\AppData\Roaming\EoRezo
C:\Users\Audrey\AppData\Roaming\ItsLabel
C:\Users\Audrey\AppData\Roaming\WhereSphere
C:\Users\Audrey\AppData\LocalLow\SweetIM
C:\ProgramData\SweetIM
C:\Windows\system32\5978.dll
C:\Windows\system32\5978.dll
C:\Users\Public\Desktop\Everest Poker.lnk
C:\Users\Audrey\Desktop\programme bureau\Everest Poker.exe
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy127.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy129.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy131.xml
C:\Users\Audrey\AppData\Local\cfmiftp.bat
C:\Users\Audrey\AppData\Local\hqjktmn.dat
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Users\Audrey\AppData\Local\hqjktmn_nav.dat
C:\Users\Audrey\AppData\Local\hqjktmn_navps.dat
C:\Users\Audrey\AppData\Local\jehknilo.bat
C:\Users\Audrey\AppData\Local\myckgqu.bat
C:\Users\Audrey\AppData\Local\owgxhpiq.bat
C:\Users\Audrey\AppData\Local\qtwidf.bat
C:\Users\Audrey\AppData\Local\thbifres.bat
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\software\Grand Virtual
HKCU\software\ItsLabel
HKCU\software\LanConfig
HKCU\software\Live_TV
HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000\Software\Sweetim
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\hqjktmn
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\WhereSphere
HKCU\software\SweetIM
HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\classes\EoRezoBHO.EoBho
HKLM\software\classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\software\EoRezo
HKLM\software\ItsLabel
HKLM\software\Live_TV
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\software\microsoft\windows\currentversion\uninstall\{EA519AF6-C803-4784-89AA-4785081B6C5A}
HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
HKLM\software\microsoft\windows\currentversion\uninstall\hqjktmn
HKLM\software\SweetIM
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\EoRezo
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\fcn
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Grand Virtual
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\ItsLabel
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\LanConfig
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Live_TV
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\SweetIM
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
ProfilePath: 7wvfry9r.default (Audrey)
.
(Audrey, prefs.js) Browser.download.dir, C:\Users\Audrey\Downloads
(Audrey, prefs.js) Browser.download.lastDir, C:\Users\Audrey\Documents\Aurore Personnel\image ecole
(Audrey, prefs.js) Browser.search.defaultenginename, Bing
(Audrey, prefs.js) Browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
(Audrey, prefs.js) Extensions.enabledItems, {e45a0de0-b4de-11de-8a39-0800200c9a66}:2,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{4E551550-1870-479D-BF66-DF77900E100E}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Audrey, prefs.js) Keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Search Page:
Enable Browser Extensions: yes
Start Page: hxxp://home.adbsearch.com/
Use Search Asst: no
Search Bar: hxxp://search.shareazaweb.com/sidebar.html?src=ssb
SearchAssistant:
Start Page Redirect Cache: hxxp://be.msn.com/defaultf.aspx?lang=fr-be&ocid=iehp
Start Page Redirect Cache_TIMESTAMP: f346a7def45cca01
Start Page Redirect Cache AcceptLangs: fr-be
Use Custom Search URL: 1 (0x1)
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://home.sweetim.com
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://www.mirarsearch.com/?useie5=1&q=
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] RegistryBoosterv2 0 1114 3657 - With Keygen rar.torrent
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] Uniblue RegistryBooster V 3 0 0 0 Final incl keygen.torrent
C:\Users\Audrey\Desktop\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\vsoConvertXtoDVD2_setup.exe
C:\Users\Audrey\Documents\Installation\(App).-.Partition.Magic.8.0.With.Serial.Number.zip
C:\Users\Audrey\Documents\Installation\Nero Start Smart 6.6.0.1 + Serial.rar
C:\Users\Audrey\Documents\Mes fichiers re‡us\crack.exe
.
===================================
.
8615 Byte(s) - C:\Ad-Report-SCAN[1].log
.
262 File(s) - C:\Users\Audrey\AppData\Local\Temp
6 File(s) - C:\Windows\Temp
125 File(s) - C:\Windows\Prefetch
.
2 File(s) - C:\Ad-Remover\BACKUP
0 File(s) - C:\Ad-Remover\QUARANTINE
.
End at: 14:20:03 | mar. 19/01/2010 - SCAN[1]
.
============== E.O.F ==============
.
.
Updated by C_XX on 18.01.2010 at 18:32
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 14:14:32, mar. 19/01/2010 | Normal Boot | Option: SCAN
Executed from: C:\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
Computer Name: PC-DE-CATHY-ET- | Current user: Audrey
.
============== FOUND ELEMENT(S) ==============
.
Service: *Kwanzy Service*
C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\7wvfry9r.default\searchplugins\askcom.xml
C:\Windows\System32\nvs2.inf
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\EoRezo
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\EoRezo
C:\Program Files\Everest Poker
C:\Program Files\Live_TV
C:\Users\Audrey\AppData\Roaming\EoRezo
C:\Users\Audrey\AppData\Roaming\ItsLabel
C:\Users\Audrey\AppData\Roaming\WhereSphere
C:\Users\Audrey\AppData\LocalLow\SweetIM
C:\ProgramData\SweetIM
C:\Windows\system32\5978.dll
C:\Windows\system32\5978.dll
C:\Users\Public\Desktop\Everest Poker.lnk
C:\Users\Audrey\Desktop\programme bureau\Everest Poker.exe
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy127.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy129.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy131.xml
C:\Users\Audrey\AppData\Local\cfmiftp.bat
C:\Users\Audrey\AppData\Local\hqjktmn.dat
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Users\Audrey\AppData\Local\hqjktmn_nav.dat
C:\Users\Audrey\AppData\Local\hqjktmn_navps.dat
C:\Users\Audrey\AppData\Local\jehknilo.bat
C:\Users\Audrey\AppData\Local\myckgqu.bat
C:\Users\Audrey\AppData\Local\owgxhpiq.bat
C:\Users\Audrey\AppData\Local\qtwidf.bat
C:\Users\Audrey\AppData\Local\thbifres.bat
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\software\Grand Virtual
HKCU\software\ItsLabel
HKCU\software\LanConfig
HKCU\software\Live_TV
HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000\Software\Sweetim
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\hqjktmn
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\WhereSphere
HKCU\software\SweetIM
HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\classes\EoRezoBHO.EoBho
HKLM\software\classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\software\EoRezo
HKLM\software\ItsLabel
HKLM\software\Live_TV
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\software\microsoft\windows\currentversion\uninstall\{EA519AF6-C803-4784-89AA-4785081B6C5A}
HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
HKLM\software\microsoft\windows\currentversion\uninstall\hqjktmn
HKLM\software\SweetIM
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\EoRezo
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\fcn
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Grand Virtual
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\ItsLabel
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\LanConfig
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\Live_TV
HKU\s-1-5-21-1334444720-1997098445-1203299296-1000\software\SweetIM
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
ProfilePath: 7wvfry9r.default (Audrey)
.
(Audrey, prefs.js) Browser.download.dir, C:\Users\Audrey\Downloads
(Audrey, prefs.js) Browser.download.lastDir, C:\Users\Audrey\Documents\Aurore Personnel\image ecole
(Audrey, prefs.js) Browser.search.defaultenginename, Bing
(Audrey, prefs.js) Browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
(Audrey, prefs.js) Extensions.enabledItems, {e45a0de0-b4de-11de-8a39-0800200c9a66}:2,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{4E551550-1870-479D-BF66-DF77900E100E}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Audrey, prefs.js) Keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Search Page:
Enable Browser Extensions: yes
Start Page: hxxp://home.adbsearch.com/
Use Search Asst: no
Search Bar: hxxp://search.shareazaweb.com/sidebar.html?src=ssb
SearchAssistant:
Start Page Redirect Cache: hxxp://be.msn.com/defaultf.aspx?lang=fr-be&ocid=iehp
Start Page Redirect Cache_TIMESTAMP: f346a7def45cca01
Start Page Redirect Cache AcceptLangs: fr-be
Use Custom Search URL: 1 (0x1)
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://home.sweetim.com
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://www.mirarsearch.com/?useie5=1&q=
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] RegistryBoosterv2 0 1114 3657 - With Keygen rar.torrent
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] Uniblue RegistryBooster V 3 0 0 0 Final incl keygen.torrent
C:\Users\Audrey\Desktop\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\vsoConvertXtoDVD2_setup.exe
C:\Users\Audrey\Documents\Installation\(App).-.Partition.Magic.8.0.With.Serial.Number.zip
C:\Users\Audrey\Documents\Installation\Nero Start Smart 6.6.0.1 + Serial.rar
C:\Users\Audrey\Documents\Mes fichiers re‡us\crack.exe
.
===================================
.
8615 Byte(s) - C:\Ad-Report-SCAN[1].log
.
262 File(s) - C:\Users\Audrey\AppData\Local\Temp
6 File(s) - C:\Windows\Temp
125 File(s) - C:\Windows\Prefetch
.
2 File(s) - C:\Ad-Remover\BACKUP
0 File(s) - C:\Ad-Remover\QUARANTINE
.
End at: 14:20:03 | mar. 19/01/2010 - SCAN[1]
.
============== E.O.F ==============
.
