Infection par Trojan RENOS.jm Fermé

Question

Bonjour à tous,

Après avoir fait l'erreur de laisser ma clé USB entre les mains de mon imprimeur, je me suis retrouvé avec un trojan dans mes deux PC (bureau et perso), le plus chiant étant celui du bureau evidemment...

J'ai télécharger MBAM qui a trouvé 18 malwares, que j'ai supprimé (vous trouverez ci-dessous copie du rapport de l'ananlyse faite en mode sans échec...).

Par contre, Windows Defender m'avertit toutjours de la présence de ce Trojan !!

Que faire ? Merci d'avance !! (et bonne année au passage...)

Rapport MBAM :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3609
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

22/01/2010 08:54:25
mbam-log-2010-01-22 (08-54-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 233054
Temps écoulé: 36 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

moment de grace · Answer

bonjour

vu ton énoncé, je te conseille de faire ceci

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

• Double clic sur le raccourci UsbFix présent sur le bureau . 

• Choisir l'option2 suppression
(d’autres options disponibles, voir le tutoriel). 
• Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

&#9679; Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

&#9679; Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

Merci 

..................

d'autre part MBAM a été réalisé en mode sans echec et il est beaucoup moins efficace ainsi

refais le en mode normal et postes le rapport

on verra ensuite si tu as d'autres soucis

Adis123 · Answer

Bonjour,

Merci pour ta réponse rapide, je vais suivre pas à pas ta procédure et je te poste les résultats au plus vite !!

Adis123 · Answer

Salut Moment de Grace,

J'ai lancé l'outil USBFIX, mais au cours de son scan, il semble s'arreter au niveau de l'analyse du processus explorer.exe. L'analyse ne progresse plus, le pc ne redémarre pas,...

Est ce normal ? Dois je attendre plusieurs minutes pour que l'étude du processus explorer.exe se fasse ?

Merci d'avance pour ta réponse

moment de grace · Answer

toujours en cours de scan ?

Adis123 · Answer

non je l'ai arreté, puis relancé.

Et ça n'a pas avancé

moment de grace · Answer

ok

on va regarder ton pc de plus près

• Télécharge Random's System Information Tool (RSIT) de Random/Random. 

http://images.malwareremoval.com/random/RSIT.exe 

• Enregistre le sur ton Bureau. 

• Double clique sur RSIT.exe pour lancer l'outil. 

• Clique sur "Continue" à l'écran Disclaimer. 

• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) 

et tu devras accepter la licence. 

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit: 
C:\rsit\info.txt 
C:\rsit\log.txt

Adis123 · Answer

Merci pour ta réponse et ton aide, voici le rapport info.txt :
(j'ai juste retiré les noms de domaine et proprio car c un pc pro...)


info.txt logfile of random's system information tool 1.06 2010-01-22 12:02:07

======Uninstall list======

2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office 

Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
Acer LANScope Agent-->C:\Program Files\InstallShield Installation Information\{163D5967-BA25-

4D4F-9EC6-8410888C117F}\setup.exe -runfromtemp -l0x0409
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-

47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9  -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-

4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c  -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453

-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Acrobat Reader 3.01-->C:\Windows\unin040c.exe -fC:\Acrobat3\Reader\DeIsL1.isu
Adobe Download Manager-->"C:\Windows\system32undll32.exe" "C:\Program 

Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Adobe® Photoshop® Album Edition Découverte 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-

4AF04F044D61}
Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{D83BD5E2-5AF4

-49F6-B5C1-484A9760E73D}\Setup.exe"  -runfromtemp -l0x040c Brunin03.dll -removeonly
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
ContextEnhancer-->C:\Program Files\ContextEnhancer\uninstall.exe
CutePDF Writer 2.7-->C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe /uninstall
eProtection-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9BB218C-2D4B-

4FF4-97E2-2C7E3D1B2679}\setup.exe" -l0x40c  -removeonly
EPSON Advanced Printer Driver 4-->C:\Program Files\InstallShield Installation 

Information\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe 

/X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
GDR 4053 for SQL Server Database Services 2005 ENU (KB970892)--

>C:\Windows\SQL9_KB970892_ENU\Hotfix.exe /Uninstall
Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->"C:\Program Files\Microsoft 

Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {69ca8988-1c6c-4285-

b8af-db780a6e42af}
Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->MsiExec.exe /X{69CA8988-1C6C-

4285-B8AF-DB780A6E42AF}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-

7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Intel(R) Active Management Technology LMS Service and SOL Driver-->C:\Windows\system32

\mesoludlg.exe -uninstall
Intel(R) Management Engine Interface-->C:\Windows\system32\heciudlg.exe -uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
LabelSet LAA300_12.1-->C:\Windows\IsUninst.exe -f"C:\Program 

Files\PCXTools\LabelSet\LAA300_12.1\Uninst.isu"
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-

55B559F4E700}
Microsoft .NET Framework 1.1 Security Update (KB953297)--

>"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" 

"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-

E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET 

Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-

0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-

0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-

0000000FF1CE}
Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-

0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-

AA3DD01FD0B8}
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-

1A2E11197791}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup 

Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{1F24E48F-7692-4E89-8784-68DD4D2712A0}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{A30179B7-997A-4D47-AA43-57AE59A9C78B}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-

A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C

-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Outlook 2007 Help  (KB963677)-->msiexec /package {90120000-001A-

040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018

-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-

0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra--

>C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - 

fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
NETGEAR WG311v2 802.11g Wireless PCI Adapter-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1

\IDriver.exe /M{936D42B8-FE51-41D5-A74A-6182F6CDB17B} 
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-

4089-8825-55DE4B366799}\setup.exe" -removeonly 
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-

EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Orchestra Restaurant-->C:\OrchestraPDV\UNINSTALL.EXE
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
pdfsam-->C:\Program Files\pdfsam\uninstall.exe
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup 

"C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}

\setup.exe"  -uninstall
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TouchKit-->C:\Program Files\InstallShield Installation Information\{C6A750AE-6029-4435-9A8D-

06507AA46798}\setup.exe -runfromtemp -l0x0009 -removeonly
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-

87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0031-0000-

0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
Update for Outlook 2007 Junk Email Filter (kb977839)-->msiexec /package {91120000-0031-0000-

0000-0000000FF1CE} /uninstall {C568005C-5FC6-4C81-A664-BD136610A931}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
ZoneAlarm Toolbar-->C:\Program Files\CheckPoint\ZAForceField\Uninstall.exe
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AS: Spybot - Search and Destroy
AS: Windows Defender

======System event log======

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB961371

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236476
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: p\JA

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236474
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236472
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB973540

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236469
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB973507

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236467
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: 
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de 

l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres 

de sécurité incorrects dans le processus du rédacteur ou du demandeur. 

Opération :
   Données du 

rédacteur en cours de collecte

Contexte :
   ID de classe du rédacteur: {e8132975-6f93-4464-a53e-

1050253ae220}
   Nom du rédacteur: System Writer
   ID d’instance du rédacteur: {a16990d4-6328-

4830-950b-2ee86b85123a}
Record Number: 1258
Source Name: VSS
Time Written: 20070926123556.000000-000
Event Type: Erreur
User: 

Computer Name: 
Event Code: 1000
Message: Application défaillante MsiExec.exe, version 4.0.6000.16386, horodatage 0x4549af77, 

module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception 

0xc0000374, décalage d’erreur 0x000af1c9, ID du processus 0x143c, heure de début de l’

application 0x01c800399f1f1ad6.
Record Number: 1252
Source Name: Application Error
Time Written: 20070926123455.000000-000
Event Type: Erreur
User: 

Computer Name: 
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 1063
Source Name: Microsoft-Windows-Search
Time Written: 20070926182525.000000-000
Event Type: Avertissement
User: 

Computer Name: LH-IQ4ZRBK43195
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire 

à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 1017
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20070926181437.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: LH-IQ4ZRBK43195
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres 

applications ou services. Le fichier va être déchargé. Les applications ou services qui ont 

accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2981217605-3551169509-621030786-

500:
Process 3228 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key 

\REGISTRY\USER\S-1-5-21-2981217605-3551169509-621030786-500

\Software\Microsoft\Windows\CurrentVersion\Explorer

Record Number: 955
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20070329044134.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification 

explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		P$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		
	Domaine du compte :		
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en 

spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus 

souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la 

commande RUNAS.
Record Number: 14362
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518144856.952600-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-21-1842788175-1806334682-3768164859-1003
	Nom du compte :		
	Domaine du compte :		
	ID d’ouverture de session :		0x1c70b9

Privilèges :		SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege
Record Number: 14361
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			2

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-1842788175-1806334682-3768164859-1003
	Nom du compte :		
	Domaine du compte :		
	ID d’ouverture de session :		0x1c70b9
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		User32 
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’

ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il 

s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que 

Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. 

Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de 

session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à 

distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide 

dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette 

demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer 

cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à 

cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les 

protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la 

valeur 0 si aucune clé de session n’a été demandée.
Record Number: 14360
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification 

explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		P$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		JA
	Domaine du compte :		
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en 

spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus 

souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la 

commande RUNAS.
Record Number: 14359
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 14358
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518013100.011228-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft 

SQL Server\90\Tools\binn\;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program 

Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------

Adis123 · Answer

Merci pour ta réponse et ton aide, voici le rapport info.txt :
(j'ai juste retiré les noms de domaine et proprio car c un pc pro...)


info.txt logfile of random's system information tool 1.06 2010-01-22 12:02:07

======Uninstall list======

2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office 

Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
Acer LANScope Agent-->C:\Program Files\InstallShield Installation Information\{163D5967-BA25-

4D4F-9EC6-8410888C117F}\setup.exe -runfromtemp -l0x0409
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-

47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9  -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-

4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c  -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453

-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Acrobat Reader 3.01-->C:\Windows\unin040c.exe -fC:\Acrobat3\Reader\DeIsL1.isu
Adobe Download Manager-->"C:\Windows\system32undll32.exe" "C:\Program 

Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Adobe® Photoshop® Album Edition Découverte 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-

4AF04F044D61}
Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{D83BD5E2-5AF4

-49F6-B5C1-484A9760E73D}\Setup.exe"  -runfromtemp -l0x040c Brunin03.dll -removeonly
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
ContextEnhancer-->C:\Program Files\ContextEnhancer\uninstall.exe
CutePDF Writer 2.7-->C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe /uninstall
eProtection-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9BB218C-2D4B-

4FF4-97E2-2C7E3D1B2679}\setup.exe" -l0x40c  -removeonly
EPSON Advanced Printer Driver 4-->C:\Program Files\InstallShield Installation 

Information\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe 

/X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
GDR 4053 for SQL Server Database Services 2005 ENU (KB970892)--

>C:\Windows\SQL9_KB970892_ENU\Hotfix.exe /Uninstall
Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->"C:\Program Files\Microsoft 

Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {69ca8988-1c6c-4285-

b8af-db780a6e42af}
Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->MsiExec.exe /X{69CA8988-1C6C-

4285-B8AF-DB780A6E42AF}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-

7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Intel(R) Active Management Technology LMS Service and SOL Driver-->C:\Windows\system32

\mesoludlg.exe -uninstall
Intel(R) Management Engine Interface-->C:\Windows\system32\heciudlg.exe -uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
LabelSet LAA300_12.1-->C:\Windows\IsUninst.exe -f"C:\Program 

Files\PCXTools\LabelSet\LAA300_12.1\Uninst.isu"
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-

55B559F4E700}
Microsoft .NET Framework 1.1 Security Update (KB953297)--

>"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" 

"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-

E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET 

Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-

0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-

0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-

0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-

0000000FF1CE}
Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-

0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-

AA3DD01FD0B8}
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-

1A2E11197791}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup 

Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{1F24E48F-7692-4E89-8784-68DD4D2712A0}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{A30179B7-997A-4D47-AA43-57AE59A9C78B}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-

A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C

-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Outlook 2007 Help  (KB963677)-->msiexec /package {90120000-001A-

040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018

-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-

0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra--

>C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - 

fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
NETGEAR WG311v2 802.11g Wireless PCI Adapter-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1

\IDriver.exe /M{936D42B8-FE51-41D5-A74A-6182F6CDB17B} 
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-

4089-8825-55DE4B366799}\setup.exe" -removeonly 
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-

EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Orchestra Restaurant-->C:\OrchestraPDV\UNINSTALL.EXE
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
pdfsam-->C:\Program Files\pdfsam\uninstall.exe
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup 

"C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}

\setup.exe"  -uninstall
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0031-

0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-

0031-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TouchKit-->C:\Program Files\InstallShield Installation Information\{C6A750AE-6029-4435-9A8D-

06507AA46798}\setup.exe -runfromtemp -l0x0009 -removeonly
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe 

/package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-

87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0031-0000-

0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-0031-0000-0000-

0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
Update for Outlook 2007 Junk Email Filter (kb977839)-->msiexec /package {91120000-0031-0000-

0000-0000000FF1CE} /uninstall {C568005C-5FC6-4C81-A664-BD136610A931}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
ZoneAlarm Toolbar-->C:\Program Files\CheckPoint\ZAForceField\Uninstall.exe
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AS: Spybot - Search and Destroy
AS: Windows Defender

======System event log======

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB961371

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236476
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: p\JA

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236474
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236472
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB973540

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236469
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

Computer Name: 
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB973507

(Security Update) à l’état Installation demandée(Install Requested)
Record Number: 236467
Source Name: Microsoft-Windows-Servicing
Time Written: 20091020173424.000000-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: 
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de 

l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres 

de sécurité incorrects dans le processus du rédacteur ou du demandeur. 

Opération :
   Données du 

rédacteur en cours de collecte

Contexte :
   ID de classe du rédacteur: {e8132975-6f93-4464-a53e-

1050253ae220}
   Nom du rédacteur: System Writer
   ID d’instance du rédacteur: {a16990d4-6328-

4830-950b-2ee86b85123a}
Record Number: 1258
Source Name: VSS
Time Written: 20070926123556.000000-000
Event Type: Erreur
User: 

Computer Name: 
Event Code: 1000
Message: Application défaillante MsiExec.exe, version 4.0.6000.16386, horodatage 0x4549af77, 

module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception 

0xc0000374, décalage d’erreur 0x000af1c9, ID du processus 0x143c, heure de début de l’

application 0x01c800399f1f1ad6.
Record Number: 1252
Source Name: Application Error
Time Written: 20070926123455.000000-000
Event Type: Erreur
User: 

Computer Name: 
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 1063
Source Name: Microsoft-Windows-Search
Time Written: 20070926182525.000000-000
Event Type: Avertissement
User: 

Computer Name: LH-IQ4ZRBK43195
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire 

à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 1017
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20070926181437.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: LH-IQ4ZRBK43195
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres 

applications ou services. Le fichier va être déchargé. Les applications ou services qui ont 

accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2981217605-3551169509-621030786-

500:
Process 3228 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key 

\REGISTRY\USER\S-1-5-21-2981217605-3551169509-621030786-500

\Software\Microsoft\Windows\CurrentVersion\Explorer

Record Number: 955
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20070329044134.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification 

explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		P$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		
	Domaine du compte :		
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en 

spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus 

souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la 

commande RUNAS.
Record Number: 14362
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518144856.952600-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-21-1842788175-1806334682-3768164859-1003
	Nom du compte :		
	Domaine du compte :		
	ID d’ouverture de session :		0x1c70b9

Privilèges :		SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege
Record Number: 14361
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			2

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-1842788175-1806334682-3768164859-1003
	Nom du compte :		
	Domaine du compte :		
	ID d’ouverture de session :		0x1c70b9
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		User32 
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’

ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il 

s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que 

Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. 

Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de 

session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à 

distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide 

dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette 

demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer 

cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à 

cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les 

protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la 

valeur 0 si aucune clé de session n’a été demandée.
Record Number: 14360
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification 

explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		P$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		JA
	Domaine du compte :		
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2fc
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en 

spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus 

souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la 

commande RUNAS.
Record Number: 14359
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518081958.844400-000
Event Type: Succès de l'audit
User: 

Computer Name: 
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 14358
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080518013100.011228-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft 

SQL Server\90\Tools\binn\;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program 

Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------

Adis123 · Answer

Log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by JA at 2010-01-22 12:01:35
Microsoft® Windows Vista™ Professionnel  Service Pack 2
System drive C: has 69 GB (59%) free of 116 GB
Total RAM: 2030 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:05, on 22/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Users\JA\ktper.exe
C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\TouchKit\xTouchMon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\JA\AppData\Local\Temp\Vhd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\JA\Desktop\RSIT.exe
C:\Program Files	rend micro\JA.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common 

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program 

Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program 

Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program 

Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ClearTKHandle] C:\Program Files\TouchKit\ClearTKHandle.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ktper] C:\Users\JA\ktper.exe
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\Users\JA\AppData\Local\Temp\Vhd.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: LaunchTouchMon.lnk = C:\Program Files\TouchKit\LaunchTouchMon.exe
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program 

Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1

\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) AMT System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope 

Agent\awServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec 

Shared\ccSvcHst.exe (file missing)
O23 - Service: eProtection Service (eProtection) - Unknown owner - C:\Program 

Files\Acer\eProtection\Service\eProtectionServ.exe
O23 - Service: Epson Point of Service Log Service (EpsonPOSLog) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON 

Advanced Printer Driver 4\EpsonPHLog.exe
O23 - Service: Epson Point of Service Port Handler (EpsonPOSPort) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON 

Advanced Printer Driver 4\EpsonPH.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering 

Technology\eRecovery\eRecoveryService.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program 

Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program 

Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & 

Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32

\ZoneLabs\vsmon.exe

pimprenelle27 · Answer

Bonjour,

je reste là pour suivre Adis123, je connais bien moment de grasse.

Adis123 · Answer

Hello pimprenelle,

Je ne doute pas qu'il soit expert, mais je pensais juste qu'il m'avait squizzé...

Thanks a lot for taking care of us...

pimprenelle27 · Answer

non non il va revenir comme tout le monde il a d'autres occupations en dehors de CCM.

moment de grace · Answer

j'ai surtout des soucis de connexion



Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

&#9654; Télécharge et installe List&Kill'em et enregistre le sur ton bureau 
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

coche la case "creer une icone sur le bureau" 

une fois terminée , clic sur "terminer" et le programme se lancer seul 

choisis la langue puis choisis l'option 1 = Mode Recherche 

&#9654; laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini. 

&#9654; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

moment de grace · Answer

ok

plusieurs choses

1)
Désactiver le TeaTimer de Spybot (Merci à Nico et nathandre): 
Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé. 
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils". 
=> Cliquer sur Résident. 
=> La partie Résident comporte deux lignes qui sont normalement cochées : 
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif. 
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif 
=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir) 
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé 

Spybot va géner les outils


2)
relances USBFIX
Option 4 = nettoyage ( mode sans echec sans redémarrage ) 
poster le rapport

...............

3)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Users\JA\ktper.exe  
C:\Users\JA\AppData\Local\Temp\Vhd.exe
C:\Program Files\TouchKit\ClearTKHandle.exe    


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

Noni · Answer

Trojan download .Renos removal
http://www.darfuns.com/trojan-removal/win32-renos-bah-downloader/

Adis123 · Answer

List'em by g3n-h@ckm@n 1.2.1.0
User : JA (Administrateurs) 
Update on 21/01/2010 by g3n-h@ckm@n ::::: 10:30 
Start at: 08:36:50 | 23/01/2010
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
Microsoft® Windows Vista™ Professionnel  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 113,2 Go (66,76 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 112,85 Go (112,76 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM | 533,66 Mo (0 Mo free) [BB User Tools] | CDFS
F:\ -> Disque amovible | 3,74 Go (3,73 Go free) | FAT32
G:\ -> Disque amovible | 920,19 Mo (554,62 Mo free) [USB DISK] | FAT

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPHLog.exe
C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPH.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\eProtection\Service\eProtectionServ.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32	askeng.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Users\JA\ktper.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Users\JA\AppData\Local\Temp\Vhd.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\UI0Detect.exe
C:\Program Files\TouchKit\xTouchMon.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\WUDFHost.exe
\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\cmd.exe
C:\Users\JA\AppData\Local\Temp\D23D.tmp\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Acer Tour Reminder	REG_SZ         	
WMPNSCFG	REG_SZ         	C:\Program Files\Windows Media Player\WMPNSCFG.exe
ktper	REG_SZ         	C:\Users\JA\ktper.exe
BMIMZMHMFM	REG_SZ         	C:\Users\JA\AppData\Local\Temp\Vhd.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
Windows Defender	REG_EXPAND_SZ  	%ProgramFiles%\Windows Defender\MSASCui.exe -hide 
IgfxTray	REG_SZ         	C:\Windows\system32\igfxtray.exe 
HotKeysCmds	REG_SZ         	C:\Windows\system32\hkcmd.exe 
Persistence	REG_SZ         	C:\Windows\system32\igfxpers.exe 
RtHDVCpl	REG_SZ         	RtHDVCpl.exe 
atchk	REG_SZ         	"C:\Program Files\Intel\AMT\atchk.exe" 
RemoteControl	REG_SZ         	"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" 
installnet.exe	REG_SZ         	"C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\ 
AdminWorks Tray	REG_SZ         	"C:\Acer\LANScope Agent\awtray.exe" 
Acer Tour	REG_SZ         	 
Apanel	REG_SZ         	C:\ACERSW\config\SetApanel.cmd 
StartCCC	REG_SZ         	C:\Program Files\ATI Technologies\ATI.ACE\Core-

Static\CLIStart.exe 
WarReg_PopUp	REG_SZ         	C:\Acer\WR_PopUp\WarReg_PopUp.exe 
eRecoveryService	REG_SZ         	 
Acer Tour Reminder	REG_SZ         	C:\Acer\AcerTour\Reminder.exe 
BrMfcWnd	REG_SZ         	C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN 
ControlCenter3	REG_SZ         	C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun 
Adobe Photo Downloader	REG_SZ         	"C:\Program Files\Adobe\Photoshop Album Edition 

Découverte\3.2\Apps\apdproxy.exe" 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre6\bin\jusched.exe" 
QuickTime Task	REG_SZ         	"C:\Program Files\QuickTime\QTTask.exe" -atboottime 
ClearTKHandle	REG_SZ         	C:\Program Files\TouchKit\ClearTKHandle.exe 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 8.0

\Reader\Reader_sl.exe" 
ZoneAlarm Client	REG_SZ         	"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" 
ISW	REG_SZ         	"C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden" 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	2 (0x2) 
ConsentPromptBehaviorUser	REG_DWORD      	1 (0x1) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableLUA	REG_DWORD      	0 (0x0) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	1 (0x1) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
BindDirectlyToPropertySetStorage	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\igfxcui]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\sta

ndardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\dom

ainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{5D637FAD-E202-

48D1-8F18-5B9C459BD1E3}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-

11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-

4669-84BD-5829DC0B603C}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-

0000-0003-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-

0000-0013-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-

FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-

94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-

9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-

8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-

AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-

B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-

94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-

B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-

b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-

A74B-3DCD6583F589}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-

AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-

AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-

AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-

b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-

995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-

9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-

9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-

B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-

994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-

995D-00C04F98BBC9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-

AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-

82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-

8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-

8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-

B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-

9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-

85A6-55B559F4E700}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-

BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-

821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-

90FC-4F52EAE172A1}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-

8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-

96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-

9DB8-56FBECED082D}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-

9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-

9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper 

objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://fr.yahoo.com/

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x3 
Wlansvc : 0x2 
SharedAccess : 0x4 
windefend : 0x2 
wuauserv : 0x2 
wscsvc : 0x2 

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\JA\AppData\Local\Temp\D23D.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
## 
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be7

69af3bd,C:\Windows\System32\Drivers\atapi.sys


Sources
======= 
 
C:\Windows\System32\drivers\atapi.sys  
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys  
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys  
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys  
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys  
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys  
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys  
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys  
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys  

Référence :
==========

Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 

E:\Autorun.inf :
----------------
[autorun]
open=start.exe

F:\Autorun.inf :
----------------


G:\Autorun.inf :
----------------

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C: ACER

    Taille du volume                	= 113 Go
    Espace libre                    	= 66.77 Go
    tendue d'espace libre la plus grande 	= 36.79 Go
    Pourcentage de fragmentation des fichiers 	= 1 %

    Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas 

inclus dans les statistiques de fragmentation.

    Il n'est pas n‚cessaire de d‚fragmenter ce volume. 	 

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Program Files\ContextEnhancer  
Present !! : C:\Windows\System32\drivers\etc\hosts.msn  
Present !! : C:\Windows\System32\log.txt  
Present !! : C:\Windows\System32\x64  
Present !! : C:\Windows	asks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job  
Present !! : C:\Users\JA\Local Settings\Temp\a.dat  
Present !! : C:\Users\JA\Local Settings\Temp\Vhb.exe  
Present !! : C:\Users\JA\Local Settings\Temp\Vhc.exe  
Present !! : C:\Users\JA\Local Settings\Temp\Vhd.exe  
Present !! : C:\Users\JA\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe  
Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhb.exe  
Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhc.exe  
Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhd.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKCU\SOFTWARE\BMIMZMHMFM  
Present !! : HKCU\SOFTWARE\XML  

================
Other infections
================

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 08:42:43
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\8_135835[1].jpg 14346 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\8_72363[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\im_bg_0[1].gif 5160 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\9_108462[1].jpg 12176 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\9_116411[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\a130838_140h[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\a130897_140h[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\aaa35bf05dd34e0e3642688ec503f8a0[1].swf
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\5_94017[1].jpg 11114 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\dnserrordiagoff_webOC[1] 6884 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\10_43023[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\10_68

[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\logo

[1].gif
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\GDB0LCpZQoxXSredP29D5Q[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7	our

[1]
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\sheduler[1].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\950x250[1].css
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_101792[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_102242[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_10469[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_111753[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\2_63065[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\4_103471[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\4_75277[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_23198[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\h

[1].js
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\viewjs[1].htm 17987 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_35167[1].jpg 9517 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_41248[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_44891[1].jpg 8498 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_48382[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_57668[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_65196[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_67620[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_75256[1].jpg 15824 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_77895[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_87088[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_89807[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_92228[1].jpg 10020 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_98486[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\young

-adult_com[1].htm 119837 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\bgTile[1].gif
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\density_banner[1] 17243 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\count

[1].htm 0 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_112182[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_126317[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_129571[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_146843[1].jpg 7404 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_18456[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\3_23102[1].jpg 9866 bytes
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

	humb.2009-07-17-lafat_mom_son_00.wmv.flv.1.240.180[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\7_120670[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

\7_59626[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

[1].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

[2].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

[3].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

[4].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\a_ft

[1].htm
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\5_151663[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\5_32216[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\5_87636[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\biggal[1].css
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\8_64491[1].jpg
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\style

[2].css
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\style

[4].css
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\bz_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\cg_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\ck_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\ae_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\af_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\bd_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\bo_flag[1].png
C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

\CI0AI5LP\cu_flag[1].png

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 73


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

==========
Programs
==========

Acer
Acer Inc
Acro Software
Activation Assistant for the 2007 Microsoft Office suites
Adobe
Apple Software Update
ATI
ATI Technologies
Azureus
Bonjour
Brother
CCleaner
CheckPoint
Common Files
ContextEnhancer
CyberLink
desktop.ini
eMule
EPSON
eSobi
Fichiers communs
Google
GPLGS
InstallShield Installation Information
Intel
Internet Explorer
Java
JRE
Lavalys
List_Kill'em
Malwarebytes' Anti-Malware
Microsoft
Microsoft CAPICOM 2.1.0.2
Microsoft Office
Microsoft Office Outlook Connector
Microsoft Silverlight
Microsoft Small Business
Microsoft SQL Server
Microsoft SQL Server Compact Edition
Microsoft Visual Studio
Microsoft Works
Microsoft.NET
Movie Maker
Mozilla Firefox
Mozilla Thunderbird
MSBuild
NETGEAR WG311v2 Adapter
NewTech Infosystems
NOS
OpenOffice.org 3
PCXTools
pdfsam
QuickTime
Realtek
Reference Assemblies
Securitoo
Spybot - Search & Destroy
TF1Vision
TouchKit
trend micro
Uninstall Information
VideoLAN
WinamaxPoker
Windows Calendar
Windows Collaboration
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Portable Devices
Windows Sidebar
WinRAR
Yahoo!
ZiPhone
Zone Labs

============
Drive C:
============

$RECYCLE.BIN
-20070329.log
-20081125.log
Acer
AcerSW
Acrobat3
autoexec.bat
Book
Boot
bootmgr
BOOTSECT.BAK
config.sys
Documents and Settings
DRV
DrvInstReport.ini
EPSON Advanced Printer Driver
hiberfil.sys
HSF
Intel
IO.SYS
Kill'em
KPCMS
List'em.txt
MSDOS.SYS
MSOCache
OrchestraPDV
pagefile.sys
PDVD.iss
PerfLogs
Program Files
ProgramData
regxpcom.exe
RHDSetup.log
rsit
setup.log
sqmdata00.sqm
sqmdata01.sqm
sqmdata02.sqm
sqmdata03.sqm
sqmdata04.sqm
sqmdata05.sqm
sqmdata06.sqm
sqmdata07.sqm
sqmdata08.sqm
sqmdata09.sqm
sqmdata10.sqm
sqmdata11.sqm
sqmdata12.sqm
sqmnoopt00.sqm
sqmnoopt01.sqm
sqmnoopt02.sqm
sqmnoopt03.sqm
sqmnoopt04.sqm
sqmnoopt05.sqm
sqmnoopt06.sqm
sqmnoopt07.sqm
sqmnoopt08.sqm
sqmnoopt09.sqm
sqmnoopt10.sqm
sqmnoopt11.sqm
sqmnoopt12.sqm
System Volume Information
Temp
UsbFix
Users
Windows
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch 
C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch\Sql 
C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch\Sql\SqlRun_SLP_SQL.msp 
 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

vu

&#9654; Relance List&Kill'em (clic droit "exécuter en tant qu'administrateur" pour Vista/Seven)   avec le raccourci sur ton bureau , 


mais cette fois-ci : 

&#9654; choisis l'option 2 = Mode Suppression 

laisse travailler l'outil. 

en fin de scan un rapport s'ouvre 

&#9654; colle le contenu dans ta reponse

................

tu peux ensuite enchainer en effectuant le post 14

https://forums.commentcamarche.net/forum/affich-16256696-infection-par-trojan-renos-jm#14

Adis123 · Answer

Bonjour,

Merci, j'ai lancé usbfix en mode suppression et il a pas mal fait le nettoyage on dirait car je ne retrouve aucun des *.exe suivants :
C:\Users\JA\ktper.exe
C:\Users\JA\AppData\Local\Temp\Vhd.exe


ktper.exe a été mis en quarantaine par usbfix, VHDest introuvable (par recherche manuelle ou par recherche auto.

Et ClearTKHandle.exe est un fichier clean on dirait (voici le rapport www.virustotal.com) :


 Fichier ClearTKHandle.exe reçu le 2009.11.01 16:33:52 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.41 	2009.11.01 	-
AhnLab-V3 	5.0.0.2 	2009.10.30 	-
AntiVir 	7.9.1.53 	2009.10.30 	-
Antiy-AVL 	2.0.3.7 	2009.10.30 	-
Authentium 	5.1.2.4 	2009.10.31 	-
Avast 	4.8.1351.0 	2009.11.01 	-
AVG 	8.5.0.423 	2009.11.01 	-
BitDefender 	7.2 	2009.11.01 	-
CAT-QuickHeal 	10.00 	2009.10.31 	-
ClamAV 	0.94.1 	2009.11.01 	-
Comodo 	2805 	2009.11.01 	-
DrWeb 	5.0.0.12182 	2009.11.01 	-
eSafe 	7.0.17.0 	2009.11.01 	-
eTrust-Vet 	35.1.7094 	2009.10.30 	-
F-Prot 	4.5.1.85 	2009.10.31 	-
F-Secure 	9.0.15370.0 	2009.10.30 	-
Fortinet 	3.120.0.0 	2009.11.01 	-
GData 	19 	2009.11.01 	-
Ikarus 	T3.1.1.72.0 	2009.11.01 	-
Jiangmin 	11.0.800 	2009.11.01 	-
K7AntiVirus 	7.10.885 	2009.10.31 	-
Kaspersky 	7.0.0.125 	2009.11.01 	-
McAfee 	5788 	2009.10.31 	-
McAfee+Artemis 	5788 	2009.10.31 	-
McAfee-GW-Edition 	6.8.5 	2009.11.01 	-
Microsoft 	1.5202 	2009.11.01 	-
NOD32 	4562 	2009.11.01 	-
Norman 	6.03.02 	2009.11.01 	-
nProtect 	2009.1.8.0 	2009.11.01 	-
Panda 	10.0.2.2 	2009.11.01 	-
PCTools 	7.0.3.5 	2009.10.30 	-
Prevx 	3.0 	2009.11.01 	-
Rising 	21.53.62.00 	2009.11.01 	-
Sophos 	4.47.0 	2009.11.01 	-
Sunbelt 	3.2.1858.2 	2009.11.01 	-
Symantec 	1.4.4.12 	2009.11.01 	-
TheHacker 	6.5.0.2.058 	2009.10.31 	-
TrendMicro 	8.950.0.1094 	2009.11.01 	-
VBA32 	3.12.10.11 	2009.10.30 	-
ViRobot 	2009.10.31.2015 	2009.10.31 	-
VirusBuster 	4.6.5.0 	2009.10.31 	-
Information additionnelle
File size: 118784 bytes
MD5   : c1218b94fd8635e3d2239f6f0151aa35
SHA1  : 225c5242a38951200c5ccd94964c80ca890a8c13
SHA256: ae76c2f6f653a6ab48f5aaf15c016f25cc91fbfb6782cbc4cb39ff9c9af2f7a1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1820
timedatestamp.....: 0x466E5191 (Tue Jun 12 09:56:01 2007)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xA36 0x1000 4.15 49d62f95aed0d0efeea9e3678d21ea93
.rdata 0x2000 0x87C 0x1000 3.14 bb73b675d77b657ba2531d71ef2e29b3
.data 0x3000 0x144 0x1000 0.14 7179d5107b6a0889b9c136a7ef848869
.rsrc 0x4000 0x18008 0x19000 4.76 adf112237fd1bae4bb5d371b8dc31a93

( 5 imports )

> advapi32.dll: RegCreateKeyExA, RegCloseKey, RegSetValueExA
> kernel32.dll: GetModuleHandleA, GetStartupInfoA
> mfc42.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _acmdln, exit, _XcptFilter, __getmainargs, _setmbcp, __CxxFrameHandler, __dllonexit, _onexit, _exit
> user32.dll: EnableWindow, GetClientRect, IsIconic, SendMessageA, DrawIcon, GetSystemMetrics, LoadIconA

( 0 exports )
TrID  : File type identification
Win64 Executable Generic (88.0%)
Win32 Dynamic Link Library (generic) (7.8%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:gZO0P0000000QI0000000000000000nvvA000000000000000000000000001vtc:h0rHpE2U
PEiD  : -
RDS   : NSRL Reference Data Set
-

moment de grace · Answer

peux tu poster les rapport killem option 2 et usbfix stp

Adis123 · Answer

Voici le second rapport list&kill'em (avec l'option SUPPRESSION) :


Kill'em by g3n-h@ckm@n 1.2.1.0 
 
User : JA (Administrateurs) 
Update on 21/01/2010 by g3n-h@ckm@n ::::: 10:30 
Start at: 09:51:01 | 23/01/2010
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
Microsoft® Windows Vista™ Professionnel  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 113,2 Go (66,68 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 112,85 Go (112,76 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM | 533,66 Mo (0 Mo free) [BB User Tools] | CDFS
F:\ -> Disque amovible | 3,74 Go (3,73 Go free) | FAT32
G:\ -> Disque amovible | 920,19 Mo (598,53 Mo free) [USB DISK] | FAT
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPHLog.exe
C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPH.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\eProtection\Service\eProtectionServ.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Windows\system32\UI0Detect.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TouchKit\xTouchMon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Users\JA\AppData\Local\Temp\8E6A.tmp\ERUNT.EXE
C:\Users\JA\AppData\Local\Temp\8E6A.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Program Files\ContextEnhancer 
 
Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\Windows\System32\log.txt 
Quarantined & Deleted !! : C:\Windows\system32\x64 
Quarantined & Deleted !! : C:\Users\JA\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe 
 
==============
host file OK !
==============

========
Registry
========

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Adis123 · Answer

Et voici le rapport USBFIX :


############################## | UsbFix V6.076 |

User : JA () # PF
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:11:59 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
Microsoft® Windows Vista™ Professionnel  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 113,2 Go (68,84 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 112,85 Go (112,76 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM # 533,66 Mo (0 Mo free) [BB User Tools] # CDFS
F:\ -> Disque amovible # 3,74 Go (3,73 Go free) # FAT32
G:\ -> Disque amovible # 920,19 Mo (598,53 Mo free) [USB DISK] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 256
C:\Windows\system32\csrss.exe 404
C:\Windows\system32\csrss.exe 440
C:\Windows\system32\wininit.exe 448
C:\Windows\system32\winlogon.exe 492
C:\Windows\system32\services.exe 520
C:\Windows\system32\lsass.exe 536
C:\Windows\system32\lsm.exe 544
C:\Windows\system32\svchost.exe 684
C:\Windows\system32\svchost.exe 740
C:\Windows\System32\svchost.exe 780
C:\Windows\System32\svchost.exe 864
C:\Windows\system32\svchost.exe 892
C:\Windows\system32\svchost.exe 960
C:\Windows\Explorer.EXE 1220
C:\Windows\system32\wbem\wmiprvse.exe 1208

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1842788175-1806334682-3768164859-1003 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1842788175-1806334682-3768164859-1003 
Non supprimé ! E:\autorun.inf 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[29/03/2007 05:23|--a------|3358] C:\-20070329.log 
[25/11/2008 00:41|--a------|3913] C:\-20081125.log 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[29/03/2007 13:40|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[27/02/2008 16:15|--a------|30] C:\DrvInstReport.ini 
[09/10/2007 11:25|-rahs----|0] C:\IO.SYS 
[23/01/2010 08:52|--a------|29996] C:\List'em.txt 
[23/01/2010 08:53|--a------|28676] C:\List'em_.txt 
[09/10/2007 11:25|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[30/11/2006 13:12|--a------|530] C:\PDVD.iss 
[29/03/2007 05:03|--a------|372] C:\RHDSetup.log 
[29/03/2007 05:16|--a------|178] C:\setup.log 
[23/01/2010 09:14|--a------|2577] C:\UsbFix.txt 
[14/06/2008 12:18|-r-------|25] E:\Autorun.inf 
[14/06/2008 12:18|-r-------|17814] E:\blackberry.ico 
[14/06/2008 12:20|-r-------|301] E:\initial.xml 
[14/06/2008 12:18|-r-------|50480] E:\intro.png 
[14/06/2008 12:18|-r-------|7958] E:\languages.xml 
[14/06/2008 12:18|-r-------|2707136] E:\start.exe 
[19/01/2010 18:03|--a------|2751298] F:\plaqu_f3.pdf 
[19/01/2010 16:55|--a------|461888] F:\officVB.eps 
[19/01/2010 17:00|--a------|78182] F:	xe.pdf 
[19/01/2010 17:30|--a------|263635] F:	ete.CDR 
[25/01/2009 18:53|--a------|24064] G:\Liste.xls 
[06/02/2009 17:23|--a------|436460] G:\8S05.pdf 
[04/03/2009 09:11|--a------|573952] G:\chiff.xls 
[16/02/2009 13:54|--a------|50688] G:\Bacier.xls 
[18/02/2009 18:49|--a------|1438892] G:\cte.pdf 
[27/02/2009 11:48|--a------|136016] G:\Achassoir...pdf 
[15/09/2008 10:08|--a------|10615296] G:\Caete.xls 
[29/10/2009 15:29|--a------|878] G:\maie.txt 
[10/02/2009 19:16|--a------|6388862] G:\Quaerce.pdf 
[02/03/2009 20:56|--a------|105069] G:\doson.pdf 
[04/03/2009 11:11|--a------|212282] G:\Pase.pdf 
[12/03/2009 18:08|--a------|23552] G:\deva.xls 
[11/03/2009 10:12|--a------|830461] G:\buR.pdf 
[21/03/2009 11:48|--a------|456588] G:\phle.jpg 
[31/07/2009 09:07|--a------|3939840] G:\P09_2.ppt 
[31/03/2009 19:48|--a------|342670] G:\Bo31.json 
[31/03/2009 19:49|--a------|366347] G:\bo.html 
[31/03/2009 19:51|--a------|38634] G:\boo.htm 
[24/02/2009 19:27|--a------|629248] G:\208.xls 
[27/06/2009 14:40|--a------|83456] G:\Sui.xls 
[29/10/2009 12:22|--a------|1714487] G:\dec.pdf 
[21/01/2010 08:31|--a------|29715] G:\Cn3.pdf 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\Users\JONATH~1\Desktop\UsbFix_Upload_Me_PF.zip : 

https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.076 ! |

Adis123 · Answer

voici les rapports j'epsere que ça a marché...

moment de grace · Answer

relances RSIT et postes juste le rapport log

je crois qu'il y a un soucis avec usbfix

Adis123 · Answer

voici le nouveau RSIt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by JA at 2010-01-23 10:14:18
Microsoft® Windows Vista™ Professionnel  Service Pack 2
System drive C: has 68 GB (59%) free of 116 GB
Total RAM: 2030 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:43, on 23/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TouchKit\xTouchMon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Windows\system32\conime.exe
C:\Users\JA\Desktop\RSIT.exe
C:\Program Files	rend micro\JA.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common 

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program 

Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program 

Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program 

Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ClearTKHandle] C:\Program Files\TouchKit\ClearTKHandle.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: LaunchTouchMon.lnk = C:\Program Files\TouchKit\LaunchTouchMon.exe
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows 

Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program 

Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1

\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) AMT System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope 

Agent\awServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec 

Shared\ccSvcHst.exe (file missing)
O23 - Service: eProtection Service (eProtection) - Unknown owner - C:\Program 

Files\Acer\eProtection\Service\eProtectionServ.exe
O23 - Service: Epson Point of Service Log Service (EpsonPOSLog) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON 

Advanced Printer Driver 4\EpsonPHLog.exe
O23 - Service: Epson Point of Service Port Handler (EpsonPOSPort) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON 

Advanced Printer Driver 4\EpsonPH.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering 

Technology\eRecovery\eRecoveryService.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program 

Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program 

Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & 

Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32

\ZoneLabs\vsmon.exe

moment de grace · Answer

ok c'est bon
y 'a du avoir maldonne avec les rapports

comment va le pc ?

1)
Cherches et cliques sur C:\Program Files	rend micro\JA.exe    
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked


R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe     
O4 - Global Startup: Empowering Technology Launcher.lnk = ? 
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')     
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe     

..........................

2)
Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) 
https://get2.adobe.com/reader/otherversions/

Et internet explorer 
https://support.microsoft.com/fr-fr/allproducts

................

3)

IMPORTANT

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

..................

4)
Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

&#9654; Tu peux supprimer ensuite ToolCleaner

moment de grace · Answer

ok c'est bon
y 'a du avoir maldonne avec les rapports

comment va le pc ?

1)
Cherches et cliques sur C:\Program Files	rend micro\JA.exe    
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked


R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe     
O4 - Global Startup: Empowering Technology Launcher.lnk = ? 
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')     
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe     

..........................

2)
Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) 
https://get2.adobe.com/reader/otherversions/

Et internet explorer 
https://support.microsoft.com/fr-fr/allproducts

................

3)

IMPORTANT

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

..................

4)
Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

&#9654; Tu peux supprimer ensuite ToolCleaner

Adis123 · Answer

Merci beaucoup pour ton aide inestimable. J'ai suivi point par point tes recommandations et le système va beaucoup mieux.

Comme demandé, voici le rapport TCleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Users\JA\AppData\Local\Temp\D23D.tmp\mbr.log: trouvé !
C:\Users\JA\Desktop\UsbFix.exe: trouvé !
C:\Users\JA\Desktop\Rsit.exe: trouvé !
C:\Users\JA\Desktop\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Users\JA\AppData\Local\Temp\D23D.tmp\mbr.log: supprimé !
C:\Users\JA\Desktop\UsbFix.exe: supprimé !
C:\Users\JA\Desktop\Rsit.exe: supprimé !
C:\Users\JA\Desktop\catchme.log: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !

Point de restauration crée !
Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

=============================================

moment de grace · Answer

ok

y a t il un autre pc à faire ?

Adis123 · Answer

euh oui lol mon pc perso mais je suis au boulot là donc je posterai ce soir un rapport rsit.

ça te va ?

moment de grace · Answer

(sourire)

t'as tout compris

ca commence par là....

@+

Adis123 · Answer

A + et merci encore

Adis123 · Answer

Bonjour Moment de Grace,

Comment vas tu ? Le week end a été sympa ?

Je voulais savoir si tu étais toujours dans les parages, je pourrais poster mes Log.txt et info.txt, je crois avoir une infection persistante...

Merci d'avance

moment de grace · Answer

salut

week end au boulot...

postes tes rapports

Adis123 · Answer

Merci, j'avais été infecté par un trojan (lvrioy.exe) et un membre m'a aidé à le cleaner. Mais j'ai l'impression qu'il reste encore quelque chose, vu les performances anormalement lentes du pc par rapport à d'habitude. Je me trompe surement mais deux avis valent mieux qu'un dans ce genre de choses, non?...

voici info.txt :

info.txt logfile of random's system information tool 1.06 2010-01-25 12:45:20

======Uninstall list======

7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Amazon MP3 Downloader 1.0.5-->C:\Program Files\Amazon\MP3 Downloader\Uninstall.exe
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Broadcom ASF Management Applications-->MsiExec.exe /I{27E25625-DB51-42E6-BEB7-0C8DC878770C}
Broadcom Gigabit Integrated Controller-->MsiExec.exe /X{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}
Broadcom Management Programs-->MsiExec.exe /X{C99C0593-3B48-41D9-B42F-6E035B320449}
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Conexant HDA D330 MDC V.92 Modem-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F\HXFSETUP.EXE -U -Idel000fz.inf
Counter-Strike-->"C:\Program Files\Steam\steam.exe" steam://uninstall/10
CutePDF Writer 2.8-->C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe
Dell Touchpad-->C:\Program Files\DellTPad\Uninstap.exe ADDREMOVE
Digital Line Detect-->C:\Program Files\InstallShield Installation Information\{E646DCF0-5A68-11D5-B229-002078017FBF}\Setup.exe -runfromtemp -l0x040c -removeonly
EasyBanner 4.0-->"C:\Program Files\EasyBanner 4\unins000.exe"
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Fallout Tactics: Brotherhood of Steel-->"C:\Program Files\Steam\steam.exe" steam://uninstall/38420
FileZilla Client 3.3.1-->C:\Program Files\FileZilla FTP Client\uninstall.exe
GIMP 2.6.8-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
Glary Utilities 2.19.0.800-->"C:\Program Files\Glary Utilities\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall
iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}
KompoZer 0.7.10 (supprimer uniquement)-->C:\Program Files\KompoZer\uninstall.exe
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Logiciel Intel(R) PROSet/Wireless WiFi-->MsiExec.exe /I{72EEB695-388B-4835-8EA6-0C04545B06B9}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Small Business 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall SMALLBUSINESSR /dll OSETUP.DLL
Microsoft Office Small Business 2007-->MsiExec.exe /X{91120000-00CA-0000-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NetWaiting-->C:\Program Files\InstallShield Installation Information\{3F92ABBB-6BBF-11D5-B229-002078017FBF}\setup.exe -runfromtemp -l0x040c -removeonly
Notepad++-->C:\Program Files\Notepad++\uninstall.exe
Outil de diagnostic de modem-->MsiExec.exe /I{F63A3748-B93D-4360-9AD4-B064481A5C7B}
pdfsam-->C:\Program Files\pdfsam\uninstall.exe
Picasa 3-->"C:\Program Files\Google\Picasa3\Uninstall.exe"
Quake 4(TM)-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{152B782A-05F3-48EC-9AAC-4D3EB68D9E20} /l1036 
QuickSet-->MsiExec.exe /I{4B6AD248-D3BF-426A-8D64-847288154F13}
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
SFR - Media Center-->C:\Program Files\SFR\Media Center\uninstall.exe
SigmaTel Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup.exe" -l0x40c -remove -removeonly
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WampServer 2.0-->"c:\wamp\unins000.exe"
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

FW: ZoneAlarm Firewall
AS: Spybot - Search and Destroy (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: PC_M
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {E21B3CAA-1EED-4009-BD2B-F7C80C1197BB}
  	Utilisateur : PC_M\M
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;runkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;file:C:\Users\M\lvrioy.exe
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 94015
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100120194816.000000-000
Event Type: Avertissement
User: 

Computer Name: PC_M
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {1CA9827A-9E35-49A2-8C4D-EFD9D74CC068}
  	Utilisateur : PC_M\M
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;runkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;file:C:\Users\M\lvrioy.exe
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 94013
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100120194814.000000-000
Event Type: Avertissement
User: 

Computer Name: PC_M
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {55A4F3AA-42E5-4BBE-BBA3-68DE0AB3601D}
  	Utilisateur : PC_M\M
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;runkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;file:C:\Users\M\lvrioy.exe
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 94011
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100120194813.000000-000
Event Type: Avertissement
User: 

Computer Name: PC_M
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {209496F2-264D-4D7D-8209-5393F0DCD296}
  	Utilisateur : PC_M\M
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;runkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;file:C:\Users\M\lvrioy.exe
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 94009
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100120194810.000000-000
Event Type: Avertissement
User: 

Computer Name: PC_M
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {A709752A-BFD1-40BA-997E-B83B381B7996}
  	Utilisateur : PC_M\M
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;runkey:HKCU@S-1-5-21-3021986812-1245567319-675103363-1000\Software\Microsoft\Windows\CurrentVersion\Run\lvrioy;file:C:\Users\M\lvrioy.exe
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 94007
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100120194807.000000-000
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: PC_M
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 51
Source Name: Microsoft-Windows-WMI
Time Written: 20100102143956.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC_M
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 50
Source Name: Microsoft-Windows-WMI
Time Written: 20100102143956.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC_M
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 26
Source Name: Microsoft-Windows-WMI
Time Written: 20100102143602.000000-000
Event Type: Erreur
User: 

Computer Name: PC_M
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 22
Source Name: Microsoft-Windows-Search
Time Written: 20100102143557.000000-000
Event Type: Avertissement
User: 

Computer Name: 26L2233C2-11
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 13
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20100102143000.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: 26L2233C2-11
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		26L2233C2-11$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x230
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100102142847.169960-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233C2-11
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments :	0
ID de la stratégie :	0x6d67b
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100102142839.182709-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233C2-11
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		-
	Package d’authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100102142836.983095-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233C2-11
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100102142836.967495-000
Event Type: Succès de l'audit
User: 

Computer Name: 26L2233C2-11
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
	ID de sécurité :		S-1-5-7
	Nom du compte :		ANONYMOUS LOGON
	Domaine du compte :		NT AUTHORITY
	ID du compte :		0x1affa

Type d’ouverture de session :			3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080121025823.552800-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\;C:\Program Files\QuickTime\QTSystem\;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=0f0a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"tvdumpflags"=8
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

Adis123 · Answer

Et log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by M at 2010-01-25 12:44:50
Microsoft® Windows Vista™ Professionnel  Service Pack 2
System drive C: has 221 GB (72%) free of 305 GB
Total RAM: 3573 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:18, on 25/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\M\Desktop\RSIT.exe
C:\Program Files	rend micro\M.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Gestion de l'alimentation de l'adaptateur réseau interne Dell (nicconfigsvc) - Dell Inc. - C:\Program Files\Dell\QuickSet\NicConfigSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

moment de grace · Answer

un membre m'a aidé à le cleaner. 

as tu un lien de ca ?

sinon le rapport log n'est pas complet (trop long surement)

Rend toi sur Cjoint :&#61656; http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport log qui se trouve C:\rsit\log.txt

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

Adis123 · Answer

VOici le lien vers l'assistance au cleaning du trojan lvrioy.exe :

https://forums.commentcamarche.net/forum/affich-16259170-infection-trojan-lvrioy-exe#12
ça avait l'ait totalement nickel, mais mon pc semble être occupé par un processus qui lui bouffe toute sa ressource et le fait tourner dans le vide... notamment sur firefox.

et voici le lien ci-joint.fr vers le log.txt :

http://www.cijoint.fr/cjlink.php?file=cj201001/cijAgvKW5g.txt

Merci

moment de grace · Answer

ok

beaucoup de  verifs à faire

indiques moi le nom du fichier pour chaque verif, merci

1)
Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\$$current$$ 
C:\Windows\ftpcache
C:\Windows\system32\WindowsPowerShell 
C:\desktop.ini 
C:\Windows\system32\040C
C:\Windows\system32\cpwmon2k.dll
C:\OUTILS_DL_EXE
C:\Windows\system32\stcplx.dll
C:\Windows\system32\st325614.dll 
 C:\Windows\system32\sysprep
C:\Windows\system32\slmgr
 C:\Users

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

moment de grace · Answer

bonsoir DIID et merci

modification du post 38

à vérifier en ligne


C:\desktop.ini 
C:\Windows\system32\cpwmon2k.dll 
C:\Windows\system32\stcplx.dll 
C:\Windows\system32\st325614.dll

Adis123 · Answer

Bonjour,

VOici les rapports du site virustotal.com :

C:\desktop.ini
http://www.cijoint.fr/cjlink.php?file=cj201001/cijOj7YOko.txt

C:\Windows\system32\cpwmon2k.dll
http://www.cijoint.fr/cjlink.php?file=cj201001/cijG7sjSBt.txt

C:\Windows\system32\stcplx.dll
http://www.cijoint.fr/cjlink.php?file=cj201001/cijwP8mq3Y.txt

C:\Windows\system32\st325614.dll
http://www.cijoint.fr/cjlink.php?file=cj201001/cij7Pzg2bx.txt

Désolé pour le retard mais j'ai du trouver un peu de temps pour faire les rapports (trop de boulot...). Merci encore pour ton aide.

moment de grace · Answer

c'est bon

je ne trouve pas mieux que le bon helpeur qui t'avais suivi


Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

&#9654; Télécharge et installe List&Kill'em et enregistre le sur ton bureau 
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

coche la case "creer une icone sur le bureau" 

une fois terminée , clic sur "terminer" et le programme se lancer seul 

choisis la langue puis choisis l'option 1 = Mode Recherche 

&#9654; laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini. 

&#9654; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

Adis123 · Answer

Ok

Écoute, je vais arrêter de te faire consommer du temps sur mon cas, si tu me dis que tu ne vois rien de suspect, dans ce cas, je vais chercher la réponse à mes problèmes de lenteur pc autrement.

J'imagine que d'autres ont des soucis bien plus graves qu'une simple "suspicion" et qui auraient bien besoin de ton aide précieuse.

Je te remercie, ainsi que SANSFILET, le helpeur qui m'avait aidé pour la désinfection. Je te souhaite bonne continuation.

Je vais mettre la discussion en "RESOLU".

A+

moment de grace · Answer

fais quand même killem

c'est un bon outil pour reperer des choses

Infection par Trojan RENOS.jm

43 réponses

Discussions similaires