Infection par Trojan RENOS.jm

Adis123 Messages postés 23 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Après avoir fait l'erreur de laisser ma clé USB entre les mains de mon imprimeur, je me suis retrouvé avec un trojan dans mes deux PC (bureau et perso), le plus chiant étant celui du bureau evidemment...

J'ai télécharger MBAM qui a trouvé 18 malwares, que j'ai supprimé (vous trouverez ci-dessous copie du rapport de l'ananlyse faite en mode sans échec...).

Par contre, Windows Defender m'avertit toutjours de la présence de ce Trojan !!

Que faire ? Merci d'avance !! (et bonne année au passage...)

Rapport MBAM :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3609
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

22/01/2010 08:54:25
mbam-log-2010-01-22 (08-54-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 233054
Temps écoulé: 36 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Configuration: Windows Vista
Firefox 3.5.7

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Infection par un Trojan après avoir confié une clé USB à un imprimeur, affectant deux PC et laissant Windows Defender signaler la présence persistante malgré une première suppression avec Malwarebytes. Selon le rapport MBAM, plusieurs éléments malveillants ont été isolés et supprimés, notamment des clés et dossiers du registre et des programmes autour d'adwares, mais des alertes Windows Defender persistent en raison d'infections potentiellement rémanentes. En cas de persistance, effectuer un diagnostic en mode sans échec avec des outils reconnus, puis vérifier les éléments au démarrage et supprimer les entrées suspectes pour empêcher le redémarrage des composants malveillants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    vu ton énoncé, je te conseille de faire ceci

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur le bureau .

    • Choisir l'option2 suppression
    (d’autres options disponibles, voir le tutoriel).
    • Laissez travailler l'outil.
    Le menu démarrer et les icônes vont disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    ● Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    ● Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    Merci

    ..................

    d'autre part MBAM a été réalisé en mode sans echec et il est beaucoup moins efficace ainsi

    refais le en mode normal et postes le rapport

    on verra ensuite si tu as d'autres soucis
    0
  2. Adis123 Messages postés 23 Statut Membre
     
    Bonjour,

    Merci pour ta réponse rapide, je vais suivre pas à pas ta procédure et je te poste les résultats au plus vite !!
    0
  3. Adis123 Messages postés 23 Statut Membre
     
    Salut Moment de Grace,

    J'ai lancé l'outil USBFIX, mais au cours de son scan, il semble s'arreter au niveau de l'analyse du processus explorer.exe. L'analyse ne progresse plus, le pc ne redémarre pas,...

    Est ce normal ? Dois je attendre plusieurs minutes pour que l'étude du processus explorer.exe se fasse ?

    Merci d'avance pour ta réponse
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    toujours en cours de scan ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Adis123 Messages postés 23 Statut Membre
     
    non je l'ai arreté, puis relancé.

    Et ça n'a pas avancé
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    on va regarder ton pc de plus près

    • Télécharge Random's System Information Tool (RSIT) de Random/Random.

    http://images.malwareremoval.com/random/RSIT.exe

    • Enregistre le sur ton Bureau.

    • Double clique sur RSIT.exe pour lancer l'outil.

    • Clique sur "Continue" à l'écran Disclaimer.

    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

    et tu devras accepter la licence.

    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

    Les rapports se trouvent à cet endroit:
    C:\rsit\info.txt
    C:\rsit\log.txt
    0
  8. Adis123 Messages postés 23 Statut Membre
     
    Merci pour ta réponse et ton aide, voici le rapport info.txt :
    (j'ai juste retiré les noms de domaine et proprio car c un pc pro...)

    info.txt logfile of random's system information tool 1.06 2010-01-22 12:02:07

    ======Uninstall list======

    2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office

    Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
    Acer LANScope Agent-->C:\Program Files\InstallShield Installation Information\{163D5967-BA25-

    4D4F-9EC6-8410888C117F}\setup.exe -runfromtemp -l0x0409
    Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-

    47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
    Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-

    4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
    Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453

    -AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
    Adobe Acrobat Reader 3.01-->C:\Windows\unin040c.exe -fC:\Acrobat3\Reader\DeIsL1.isu
    Adobe Download Manager-->"C:\Windows\system32\rundll32.exe" "C:\Program

    Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
    Adobe® Photoshop® Album Edition Découverte 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-

    4AF04F044D61}
    Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
    Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
    Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{D83BD5E2-5AF4

    -49F6-B5C1-484A9760E73D}\Setup.exe" -runfromtemp -l0x040c Brunin03.dll -removeonly
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    ContextEnhancer-->C:\Program Files\ContextEnhancer\uninstall.exe
    CutePDF Writer 2.7-->C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe /uninstall
    eProtection-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9BB218C-2D4B-

    4FF4-97E2-2C7E3D1B2679}\setup.exe" -l0x40c -removeonly
    EPSON Advanced Printer Driver 4-->C:\Program Files\InstallShield Installation

    Information\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
    EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
    Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe

    /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
    Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
    GDR 4053 for SQL Server Database Services 2005 ENU (KB970892)--

    >C:\Windows\SQL9_KB970892_ENU\Hotfix.exe /Uninstall
    Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->"C:\Program Files\Microsoft

    Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {69ca8988-1c6c-4285-

    b8af-db780a6e42af}
    Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->MsiExec.exe /X{69CA8988-1C6C-

    4285-B8AF-DB780A6E42AF}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-

    7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Intel(R) Active Management Technology LMS Service and SOL Driver-->C:\Windows\system32

    \mesoludlg.exe -uninstall
    Intel(R) Management Engine Interface-->C:\Windows\system32\heciudlg.exe -uninstall
    Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
    Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
    Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
    LabelSet LAA300_12.1-->C:\Windows\IsUninst.exe -f"C:\Program

    Files\PCXTools\LabelSet\LAA300_12.1\Uninst.isu"
    Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-

    55B559F4E700}
    Microsoft .NET Framework 1.1 Security Update (KB953297)--

    >"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe"

    "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-

    E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET

    Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-

    0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
    Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
    Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-

    0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-

    0000000FF1CE}
    Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
    Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
    Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-

    0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
    Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-

    AA3DD01FD0B8}
    Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-

    1A2E11197791}
    Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup

    Bootstrap\ARPWrapper.exe" /Remove
    Microsoft SQL Server Native Client-->MsiExec.exe /I{1F24E48F-7692-4E89-8784-68DD4D2712A0}
    Microsoft SQL Server VSS Writer-->MsiExec.exe /I{A30179B7-997A-4D47-AA43-57AE59A9C78B}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-

    A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C

    -0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
    Mise à jour Microsoft Office Outlook 2007 Help (KB963677)-->msiexec /package {90120000-001A-

    040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
    Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018

    -040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
    Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-

    0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra--

    >C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 -

    fra\setup.exe
    Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    NETGEAR WG311v2 802.11g Wireless PCI Adapter-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1

    \IDriver.exe /M{936D42B8-FE51-41D5-A74A-6182F6CDB17B}
    NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-

    4089-8825-55DE4B366799}\setup.exe" -removeonly
    NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-

    EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
    OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
    Orchestra Restaurant-->C:\OrchestraPDV\UNINSTALL.EXE
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    pdfsam-->C:\Program Files\pdfsam\uninstall.exe
    PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup

    "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}

    \setup.exe" -uninstall
    QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
    Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
    Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
    Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
    Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
    Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
    Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
    Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
    Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    TouchKit-->C:\Program Files\InstallShield Installation Information\{C6A750AE-6029-4435-9A8D-

    06507AA46798}\setup.exe -runfromtemp -l0x0009 -removeonly
    Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-

    87275C4F3607} /qb+ REBOOTPROMPT=""
    Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0031-0000-

    0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
    Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
    Update for Outlook 2007 Junk Email Filter (kb977839)-->msiexec /package {91120000-0031-0000-

    0000-0000000FF1CE} /uninstall {C568005C-5FC6-4C81-A664-BD136610A931}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
    Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
    Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
    ZoneAlarm Toolbar-->C:\Program Files\CheckPoint\ZAForceField\Uninstall.exe
    ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AS: Spybot - Search and Destroy
    AS: Windows Defender

    ======System event log======

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB961371

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236476
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User: p\JA

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236474
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236472
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB973540

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236469
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB973507

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236467
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    =====Application event log=====

    Computer Name:
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de

    l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres

    de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du

    rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-

    1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {a16990d4-6328-

    4830-950b-2ee86b85123a}
    Record Number: 1258
    Source Name: VSS
    Time Written: 20070926123556.000000-000
    Event Type: Erreur
    User:

    Computer Name:
    Event Code: 1000
    Message: Application défaillante MsiExec.exe, version 4.0.6000.16386, horodatage 0x4549af77,

    module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception

    0xc0000374, décalage d’erreur 0x000af1c9, ID du processus 0x143c, heure de début de l’

    application 0x01c800399f1f1ad6.
    Record Number: 1252
    Source Name: Application Error
    Time Written: 20070926123455.000000-000
    Event Type: Erreur
    User:

    Computer Name:
    Event Code: 1008
    Message: Le service Windows Search tente de supprimer l’ancien catalogue.

    Record Number: 1063
    Source Name: Microsoft-Windows-Search
    Time Written: 20070926182525.000000-000
    Event Type: Avertissement
    User:

    Computer Name: LH-IQ4ZRBK43195
    Event Code: 1036
    Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire

    à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
    Record Number: 1017
    Source Name: Microsoft-Windows-SpoolerSpoolss
    Time Written: 20070926181437.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: LH-IQ4ZRBK43195
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres

    applications ou services. Le fichier va être déchargé. Les applications ou services qui ont

    accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-2981217605-3551169509-621030786-

    500:
    Process 3228 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key

    \REGISTRY\USER\S-1-5-21-2981217605-3551169509-621030786-500

    \Software\Microsoft\Windows\CurrentVersion\Explorer

    Record Number: 955
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20070329044134.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name:
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification

    explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : P$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte :
    Domaine du compte :
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en

    spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus

    souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la

    commande RUNAS.
    Record Number: 14362
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518144856.952600-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-21-1842788175-1806334682-3768164859-1003
    Nom du compte :
    Domaine du compte :
    ID d’ouverture de session : 0x1c70b9

    Privilèges : SeSecurityPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeTakeOwnershipPrivilege
    SeDebugPrivilege
    SeSystemEnvironmentPrivilege
    SeLoadDriverPrivilege
    SeImpersonatePrivilege
    Record Number: 14361
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : $
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 2

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-21-1842788175-1806334682-3768164859-1003
    Nom du compte :
    Domaine du compte :
    ID d’ouverture de session : 0x1c70b9
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : 127.0.0.1
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : User32
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’

    ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il

    s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que

    Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit.

    Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de

    session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à

    distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide

    dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette

    demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer

    cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à

    cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les

    protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la

    valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 14360
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification

    explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : P$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : JA
    Domaine du compte :
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en

    spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus

    souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la

    commande RUNAS.
    Record Number: 14359
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 14358
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518013100.011228-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft

    SQL Server\90\Tools\binn\;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program

    Files\QuickTime\QTSystem\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
    "PROCESSOR_REVISION"=0f06
    "NUMBER_OF_PROCESSORS"=2
    "CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
    "tvdumpflags"=8

    -----------------EOF-----------------
    0
  9. Adis123 Messages postés 23 Statut Membre
     
    Merci pour ta réponse et ton aide, voici le rapport info.txt :
    (j'ai juste retiré les noms de domaine et proprio car c un pc pro...)

    info.txt logfile of random's system information tool 1.06 2010-01-22 12:02:07

    ======Uninstall list======

    2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office

    Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
    Acer LANScope Agent-->C:\Program Files\InstallShield Installation Information\{163D5967-BA25-

    4D4F-9EC6-8410888C117F}\setup.exe -runfromtemp -l0x0409
    Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-

    47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
    Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-

    4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
    Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453

    -AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
    Adobe Acrobat Reader 3.01-->C:\Windows\unin040c.exe -fC:\Acrobat3\Reader\DeIsL1.isu
    Adobe Download Manager-->"C:\Windows\system32\rundll32.exe" "C:\Program

    Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 8.1.5 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
    Adobe® Photoshop® Album Edition Découverte 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-

    4AF04F044D61}
    Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
    Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
    Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{D83BD5E2-5AF4

    -49F6-B5C1-484A9760E73D}\Setup.exe" -runfromtemp -l0x040c Brunin03.dll -removeonly
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    ContextEnhancer-->C:\Program Files\ContextEnhancer\uninstall.exe
    CutePDF Writer 2.7-->C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe /uninstall
    eProtection-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32

    \Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9BB218C-2D4B-

    4FF4-97E2-2C7E3D1B2679}\setup.exe" -l0x40c -removeonly
    EPSON Advanced Printer Driver 4-->C:\Program Files\InstallShield Installation

    Information\{11FF6AF6-0141-4EF8-829A-989459A1E5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
    EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
    Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe

    /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}
    Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
    GDR 4053 for SQL Server Database Services 2005 ENU (KB970892)--

    >C:\Windows\SQL9_KB970892_ENU\Hotfix.exe /Uninstall
    Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->"C:\Program Files\Microsoft

    Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {69ca8988-1c6c-4285-

    b8af-db780a6e42af}
    Gestionnaire de contacts professionnels pour Outlook 2007 SP2-->MsiExec.exe /X{69CA8988-1C6C-

    4285-B8AF-DB780A6E42AF}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-

    7B81A786E658} /qb+ REBOOTPROMPT=""
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Intel(R) Active Management Technology LMS Service and SOL Driver-->C:\Windows\system32

    \mesoludlg.exe -uninstall
    Intel(R) Management Engine Interface-->C:\Windows\system32\heciudlg.exe -uninstall
    Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
    Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
    Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
    LabelSet LAA300_12.1-->C:\Windows\IsUninst.exe -f"C:\Program

    Files\PCXTools\LabelSet\LAA300_12.1\Uninst.isu"
    Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-

    55B559F4E700}
    Microsoft .NET Framework 1.1 Security Update (KB953297)--

    >"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe"

    "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-

    E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET

    Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-

    0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-

    0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
    Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
    Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
    Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-

    0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-

    0000000FF1CE}
    Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
    Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-

    0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
    Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-

    0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
    Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-

    AA3DD01FD0B8}
    Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)-->MsiExec.exe /I{480DBB60-F0B6-45F2-B26F-

    1A2E11197791}
    Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup

    Bootstrap\ARPWrapper.exe" /Remove
    Microsoft SQL Server Native Client-->MsiExec.exe /I{1F24E48F-7692-4E89-8784-68DD4D2712A0}
    Microsoft SQL Server VSS Writer-->MsiExec.exe /I{A30179B7-997A-4D47-AA43-57AE59A9C78B}
    Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-

    A123-3C07-8E44-1C83EC895118}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C

    -0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
    Mise à jour Microsoft Office Outlook 2007 Help (KB963677)-->msiexec /package {90120000-001A-

    040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
    Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018

    -040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
    Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-

    0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra--

    >C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 -

    fra\setup.exe
    Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    NETGEAR WG311v2 802.11g Wireless PCI Adapter-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1

    \IDriver.exe /M{936D42B8-FE51-41D5-A74A-6182F6CDB17B}
    NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-

    4089-8825-55DE4B366799}\setup.exe" -removeonly
    NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-

    EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
    OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
    Orchestra Restaurant-->C:\OrchestraPDV\UNINSTALL.EXE
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    pdfsam-->C:\Program Files\pdfsam\uninstall.exe
    PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup

    "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}

    \setup.exe" -uninstall
    QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
    Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
    Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
    Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
    Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
    Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
    Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
    Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0031-

    0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
    Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-

    0031-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    TouchKit-->C:\Program Files\InstallShield Installation Information\{C6A750AE-6029-4435-9A8D-

    06507AA46798}\setup.exe -runfromtemp -l0x0009 -removeonly
    Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe

    /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-

    87275C4F3607} /qb+ REBOOTPROMPT=""
    Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0031-0000-

    0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
    Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-0031-0000-0000-

    0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
    Update for Outlook 2007 Junk Email Filter (kb977839)-->msiexec /package {91120000-0031-0000-

    0000-0000000FF1CE} /uninstall {C568005C-5FC6-4C81-A664-BD136610A931}
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
    Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
    Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
    ZoneAlarm Toolbar-->C:\Program Files\CheckPoint\ZAForceField\Uninstall.exe
    ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AS: Spybot - Search and Destroy
    AS: Windows Defender

    ======System event log======

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB961371

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236476
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User: p\JA

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236474
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB970710

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236472
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB973540

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236469
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    Computer Name:
    Event Code: 4376
    Message: Servicing a requis un redémarrage pour terminer la définition du package KB973507

    (Security Update) à l’état Installation demandée(Install Requested)
    Record Number: 236467
    Source Name: Microsoft-Windows-Servicing
    Time Written: 20091020173424.000000-000
    Event Type: Avertissement
    User:

    =====Application event log=====

    Computer Name:
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de

    l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres

    de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du

    rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-

    1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {a16990d4-6328-

    4830-950b-2ee86b85123a}
    Record Number: 1258
    Source Name: VSS
    Time Written: 20070926123556.000000-000
    Event Type: Erreur
    User:

    Computer Name:
    Event Code: 1000
    Message: Application défaillante MsiExec.exe, version 4.0.6000.16386, horodatage 0x4549af77,

    module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception

    0xc0000374, décalage d’erreur 0x000af1c9, ID du processus 0x143c, heure de début de l’

    application 0x01c800399f1f1ad6.
    Record Number: 1252
    Source Name: Application Error
    Time Written: 20070926123455.000000-000
    Event Type: Erreur
    User:

    Computer Name:
    Event Code: 1008
    Message: Le service Windows Search tente de supprimer l’ancien catalogue.

    Record Number: 1063
    Source Name: Microsoft-Windows-Search
    Time Written: 20070926182525.000000-000
    Event Type: Avertissement
    User:

    Computer Name: LH-IQ4ZRBK43195
    Event Code: 1036
    Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire

    à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
    Record Number: 1017
    Source Name: Microsoft-Windows-SpoolerSpoolss
    Time Written: 20070926181437.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: LH-IQ4ZRBK43195
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres

    applications ou services. Le fichier va être déchargé. Les applications ou services qui ont

    accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-2981217605-3551169509-621030786-

    500:
    Process 3228 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key

    \REGISTRY\USER\S-1-5-21-2981217605-3551169509-621030786-500

    \Software\Microsoft\Windows\CurrentVersion\Explorer

    Record Number: 955
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20070329044134.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name:
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification

    explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : P$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte :
    Domaine du compte :
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en

    spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus

    souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la

    commande RUNAS.
    Record Number: 14362
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518144856.952600-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-21-1842788175-1806334682-3768164859-1003
    Nom du compte :
    Domaine du compte :
    ID d’ouverture de session : 0x1c70b9

    Privilèges : SeSecurityPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeTakeOwnershipPrivilege
    SeDebugPrivilege
    SeSystemEnvironmentPrivilege
    SeLoadDriverPrivilege
    SeImpersonatePrivilege
    Record Number: 14361
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : $
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 2

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-21-1842788175-1806334682-3768164859-1003
    Nom du compte :
    Domaine du compte :
    ID d’ouverture de session : 0x1c70b9
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : 127.0.0.1
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : User32
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’

    ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il

    s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que

    Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit.

    Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de

    session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à

    distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide

    dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette

    demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer

    cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à

    cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les

    protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la

    valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 14360
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification

    explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : P$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : JA
    Domaine du compte :
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2fc
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en

    spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus

    souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la

    commande RUNAS.
    Record Number: 14359
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518081958.844400-000
    Event Type: Succès de l'audit
    User:

    Computer Name:
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 14358
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080518013100.011228-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft

    SQL Server\90\Tools\binn\;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program

    Files\QuickTime\QTSystem\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
    "PROCESSOR_REVISION"=0f06
    "NUMBER_OF_PROCESSORS"=2
    "CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
    "tvdumpflags"=8

    -----------------EOF-----------------
    0
  10. Adis123 Messages postés 23 Statut Membre
     
    Log.txt :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by JA at 2010-01-22 12:01:35
    Microsoft® Windows Vista™ Professionnel Service Pack 2
    System drive C: has 69 GB (59%) free of 116 GB
    Total RAM: 2030 MB (52% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:02:05, on 22/01/2010
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v7.00 (7.00.6002.18005)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Intel\AMT\atchk.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Users\JA\ktper.exe
    C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Program Files\TouchKit\xTouchMon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Java\jre6\bin\jucheck.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Users\JA\AppData\Local\Temp\Vhd.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Users\JA\Desktop\RSIT.exe
    C:\Program Files\trend micro\JA.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

    Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program

    Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program

    Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program

    Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
    O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
    O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
    O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [ClearTKHandle] C:\Program Files\TouchKit\ClearTKHandle.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ktper] C:\Users\JA\ktper.exe
    O4 - HKCU\..\Run: [BMIMZMHMFM] C:\Users\JA\AppData\Local\Temp\Vhd.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
    O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O4 - Global Startup: Empowering Technology Launcher.lnk = ?
    O4 - Global Startup: LaunchTouchMon.lnk = C:\Program Files\TouchKit\LaunchTouchMon.exe
    O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows

    Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program

    Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1

    \SPYBOT~1\SDHelper.dll
    O13 - Gopher Prefix:
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device

    Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Intel(R) AMT System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope

    Agent\awServ.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec

    Shared\ccSvcHst.exe (file missing)
    O23 - Service: eProtection Service (eProtection) - Unknown owner - C:\Program

    Files\Acer\eProtection\Service\eProtectionServ.exe
    O23 - Service: Epson Point of Service Log Service (EpsonPOSLog) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON

    Advanced Printer Driver 4\EpsonPHLog.exe
    O23 - Service: Epson Point of Service Port Handler (EpsonPOSPort) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPSON

    Advanced Printer Driver 4\EpsonPH.exe
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering

    Technology\eRecovery\eRecoveryService.exe
    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program

    Files\CheckPoint\ZAForceField\IswSvc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program

    Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search &

    Destroy\SDWinSec.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32

    \ZoneLabs\vsmon.exe
    0
  11. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    je reste là pour suivre Adis123, je connais bien moment de grasse.
    0
  12. Adis123 Messages postés 23 Statut Membre
     
    Hello pimprenelle,

    Je ne doute pas qu'il soit expert, mais je pensais juste qu'il m'avait squizzé...

    Thanks a lot for taking care of us...
    0
  13. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    non non il va revenir comme tout le monde il a d'autres occupations en dehors de CCM.
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    j'ai surtout des soucis de connexion

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    ▶ Télécharge et installe List&Kill'em et enregistre le sur ton bureau
    http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    plusieurs choses

    1)
    Désactiver le TeaTimer de Spybot (Merci à Nico et nathandre):
    Pour désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)
    => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé

    Spybot va géner les outils

    2)
    relances USBFIX
    Option 4 = nettoyage ( mode sans echec sans redémarrage )
    poster le rapport

    ...............

    3)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Users\JA\ktper.exe
    C:\Users\JA\AppData\Local\Temp\Vhd.exe
    C:\Program Files\TouchKit\ClearTKHandle.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    0
  16. Noni
     
    Trojan download .Renos removal
    http://www.darfuns.com/trojan-removal/win32-renos-bah-downloader/
    0
  17. Adis123 Messages postés 23 Statut Membre
     
    List'em by g3n-h@ckm@n 1.2.1.0
    User : JA (Administrateurs)
    Update on 21/01/2010 by g3n-h@ckm@n ::::: 10:30
    Start at: 08:36:50 | 23/01/2010
    Contact : g3n-h@ckm@n sur CCM

    Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
    Microsoft® Windows Vista™ Professionnel (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005
    Windows Firewall Status : Enabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 113,2 Go (66,76 Go free) [ACER] | NTFS
    D:\ -> Disque fixe local | 112,85 Go (112,76 Go free) [DATA] | NTFS
    E:\ -> Disque CD-ROM | 533,66 Mo (0 Mo free) [BB User Tools] | CDFS
    F:\ -> Disque amovible | 3,74 Go (3,73 Go free) | FAT32
    G:\ -> Disque amovible | 920,19 Mo (554,62 Mo free) [USB DISK] | FAT

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
    C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPHLog.exe
    C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPH.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Intel\AMT\atchksrv.exe
    C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Acer\eProtection\Service\eProtectionServ.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Intel\AMT\LMS.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Intel\AMT\atchk.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Users\JA\ktper.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Users\JA\AppData\Local\Temp\Vhd.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Acer\LANScope Agent\awServ.exe
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Windows\system32\UI0Detect.exe
    C:\Program Files\TouchKit\xTouchMon.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Java\jre6\bin\jucheck.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
    C:\Windows\system32\WUDFHost.exe
    \\?\C:\Windows\system32\wbem\WMIADAP.EXE
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\List_Kill'em\List_Kill'em.exe
    C:\Windows\system32\cmd.exe
    C:\Users\JA\AppData\Local\Temp\D23D.tmp\pv.exe

    ======================
    Keys "Run"
    ======================
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Acer Tour Reminder REG_SZ
    WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
    ktper REG_SZ C:\Users\JA\ktper.exe
    BMIMZMHMFM REG_SZ C:\Users\JA\AppData\Local\Temp\Vhd.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    IgfxTray REG_SZ C:\Windows\system32\igfxtray.exe
    HotKeysCmds REG_SZ C:\Windows\system32\hkcmd.exe
    Persistence REG_SZ C:\Windows\system32\igfxpers.exe
    RtHDVCpl REG_SZ RtHDVCpl.exe
    atchk REG_SZ "C:\Program Files\Intel\AMT\atchk.exe"
    RemoteControl REG_SZ "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    installnet.exe REG_SZ "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
    AdminWorks Tray REG_SZ "C:\Acer\LANScope Agent\awtray.exe"
    Acer Tour REG_SZ
    Apanel REG_SZ C:\ACERSW\config\SetApanel.cmd
    StartCCC REG_SZ C:\Program Files\ATI Technologies\ATI.ACE\Core-

    Static\CLIStart.exe
    WarReg_PopUp REG_SZ C:\Acer\WR_PopUp\WarReg_PopUp.exe
    eRecoveryService REG_SZ
    Acer Tour Reminder REG_SZ C:\Acer\AcerTour\Reminder.exe
    BrMfcWnd REG_SZ C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    ControlCenter3 REG_SZ C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    Adobe Photo Downloader REG_SZ "C:\Program Files\Adobe\Photoshop Album Edition

    Découverte\3.2\Apps\apdproxy.exe"
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    ClearTKHandle REG_SZ C:\Program Files\TouchKit\ClearTKHandle.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0

    \Reader\Reader_sl.exe"
    ZoneAlarm Client REG_SZ "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    ISW REG_SZ "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
    ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
    EnableInstallerDetection REG_DWORD 1 (0x1)
    EnableLUA REG_DWORD 0 (0x0)
    EnableSecureUIAPaths REG_DWORD 1 (0x1)
    EnableVirtualization REG_DWORD 1 (0x1)
    PromptOnSecureDesktop REG_DWORD 1 (0x1)
    ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    scforceoption REG_DWORD 0 (0x0)
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)
    FilterAdministratorToken REG_DWORD 0 (0x0)
    EnableUIADesktopToggle REG_DWORD 0 (0x0)

    ===============
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    ===============
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\sta

    ndardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\dom

    ainprofile\authorizedapplications\list]

    ===============
    ActivX controls
    ===============
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{5D637FAD-E202-

    48D1-8F18-5B9C459BD1E3}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-

    11D1-B3E9-00805F499D93}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-

    4669-84BD-5829DC0B603C}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-

    0000-0003-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-

    0000-0013-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-

    FFFF-FFFF-ABCDEFFEDCBA}

    ===============
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-

    94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-

    9b9e-de460746276c}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-

    8953-00A0C90347FF}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-

    AAA5-00401C608500}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-

    B6FD-00AA00B4E220}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-

    94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-

    B3F3-F3508C9228ED}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-

    b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-

    A74B-3DCD6583F589}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-

    AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-

    AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-

    AAFA-00AA00B6015F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-

    b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-

    995d-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-

    9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-

    9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-

    B153-00C04F79FAA6}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-

    994a-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-

    995D-00C04F98BBC9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-

    AF11-00C04FA35D02}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-

    82DA-BA94E41B1089}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-

    8B85-00AA005B4340}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-

    8B85-00AA005B4383}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-

    B0A1-5476DBF70820}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-

    9501-00AA00B911A5}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-

    85A6-55B559F4E700}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-

    BFF9-D3789CFEFCDD}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-

    821E-444553540600}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-

    90FC-4F52EAE172A1}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-

    8149-19E51D6F71D0}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-

    96B8-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-

    9DB8-56FBECED082D}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-

    9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-

    9CBD-0000F87A369E}

    ==============
    BHO :
    ======
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{53707962-6F74-2D53-2644-206D7942484F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper

    objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

    ================
    Internet Explorer :
    ================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://fr.yahoo.com/

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1

    ========
    Services
    ========
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3
    EapHost : 0x3
    Wlansvc : 0x2
    SharedAccess : 0x4
    windefend : 0x2
    wuauserv : 0x2
    wscsvc : 0x2

    =========
    Atapi.sys
    =========

    %%%% HASHDEEP-1.0
    %%%% size,md5,sha256,filename
    ## Invoked from: C:\Users\JA\AppData\Local\Temp\D23D.tmp
    ## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
    ##
    19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be7

    69af3bd,C:\Windows\System32\Drivers\atapi.sys

    Sources
    =======

    C:\Windows\System32\drivers\atapi.sys
    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys

    Référence :
    ==========

    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

    E:\Autorun.inf :
    ----------------
    [autorun]
    open=start.exe

    F:\Autorun.inf :
    ----------------

    G:\Autorun.inf :
    ----------------

    =======
    Drive :
    =======

    D‚fragmenteur de disque Windows
    Copyright (c) 2006 Microsoft Corp.

    Rapport d'analyse pour le volume C: ACER

    Taille du volume = 113 Go
    Espace libre = 66.77 Go
    tendue d'espace libre la plus grande = 36.79 Go
    Pourcentage de fragmentation des fichiers = 1 %

    Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas

    inclus dans les statistiques de fragmentation.

    Il n'est pas n‚cessaire de d‚fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\Program Files\ContextEnhancer
    Present !! : C:\Windows\System32\drivers\etc\hosts.msn
    Present !! : C:\Windows\System32\log.txt
    Present !! : C:\Windows\System32\x64
    Present !! : C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    Present !! : C:\Users\JA\Local Settings\Temp\a.dat
    Present !! : C:\Users\JA\Local Settings\Temp\Vhb.exe
    Present !! : C:\Users\JA\Local Settings\Temp\Vhc.exe
    Present !! : C:\Users\JA\Local Settings\Temp\Vhd.exe
    Present !! : C:\Users\JA\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe
    Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhb.exe
    Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhc.exe
    Present !! : C:\Users\JA\LOCAL Settings\Temp\Vhd.exe

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : HKCU\SOFTWARE\BMIMZMHMFM
    Present !! : HKCU\SOFTWARE\XML

    ================
    Other infections
    ================

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-23 08:42:43
    Windows 6.0.6002 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \8_135835[1].jpg 14346 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \8_72363[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \im_bg_0[1].gif 5160 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \9_108462[1].jpg 12176 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \9_116411[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \a130838_140h[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \a130897_140h[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \aaa35bf05dd34e0e3642688ec503f8a0[1].swf
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \5_94017[1].jpg 11114 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \dnserrordiagoff_webOC[1] 6884 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \10_43023[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\10_68

    [1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\logo

    [1].gif
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \GDB0LCpZQoxXSredP29D5Q[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\tour

    [1]
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \sheduler[1].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \950x250[1].css
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_101792[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_102242[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_10469[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_111753[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \2_63065[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \4_103471[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \4_75277[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_23198[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\h

    [1].js
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \viewjs[1].htm 17987 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_35167[1].jpg 9517 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_41248[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_44891[1].jpg 8498 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_48382[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_57668[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_65196[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_67620[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_75256[1].jpg 15824 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_77895[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_87088[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_89807[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_92228[1].jpg 10020 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_98486[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\young

    -adult_com[1].htm 119837 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \bgTile[1].gif
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \density_banner[1] 17243 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7\count

    [1].htm 0 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_112182[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_126317[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_129571[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_146843[1].jpg 7404 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_18456[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \3_23102[1].jpg 9866 bytes
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \thumb.2009-07-17-lafat_mom_son_00.wmv.flv.1.240.180[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \7_120670[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8RY2I7P7

    \7_59626[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

    [1].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

    [2].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

    [3].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\as

    [4].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\a_ft

    [1].htm
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\5_151663[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\5_32216[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\5_87636[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\biggal[1].css
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\8_64491[1].jpg
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\style

    [2].css
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CI0AI5LP\style

    [4].css
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\bz_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\cg_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\ck_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\ae_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\af_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\bd_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\bo_flag[1].png
    C:\Users\JA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

    \CI0AI5LP\cu_flag[1].png

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 73

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ==========
    Programs
    ==========

    Acer
    Acer Inc
    Acro Software
    Activation Assistant for the 2007 Microsoft Office suites
    Adobe
    Apple Software Update
    ATI
    ATI Technologies
    Azureus
    Bonjour
    Brother
    CCleaner
    CheckPoint
    Common Files
    ContextEnhancer
    CyberLink
    desktop.ini
    eMule
    EPSON
    eSobi
    Fichiers communs
    Google
    GPLGS
    InstallShield Installation Information
    Intel
    Internet Explorer
    Java
    JRE
    Lavalys
    List_Kill'em
    Malwarebytes' Anti-Malware
    Microsoft
    Microsoft CAPICOM 2.1.0.2
    Microsoft Office
    Microsoft Office Outlook Connector
    Microsoft Silverlight
    Microsoft Small Business
    Microsoft SQL Server
    Microsoft SQL Server Compact Edition
    Microsoft Visual Studio
    Microsoft Works
    Microsoft.NET
    Movie Maker
    Mozilla Firefox
    Mozilla Thunderbird
    MSBuild
    NETGEAR WG311v2 Adapter
    NewTech Infosystems
    NOS
    OpenOffice.org 3
    PCXTools
    pdfsam
    QuickTime
    Realtek
    Reference Assemblies
    Securitoo
    Spybot - Search & Destroy
    TF1Vision
    TouchKit
    trend micro
    Uninstall Information
    VideoLAN
    WinamaxPoker
    Windows Calendar
    Windows Collaboration
    Windows Defender
    Windows Journal
    Windows Live
    Windows Live SkyDrive
    Windows Mail
    Windows Media Player
    Windows NT
    Windows Photo Gallery
    Windows Portable Devices
    Windows Sidebar
    WinRAR
    Yahoo!
    ZiPhone
    Zone Labs

    ============
    Drive C:
    ============

    $RECYCLE.BIN
    -20070329.log
    -20081125.log
    Acer
    AcerSW
    Acrobat3
    autoexec.bat
    Book
    Boot
    bootmgr
    BOOTSECT.BAK
    config.sys
    Documents and Settings
    DRV
    DrvInstReport.ini
    EPSON Advanced Printer Driver
    hiberfil.sys
    HSF
    Intel
    IO.SYS
    Kill'em
    KPCMS
    List'em.txt
    MSDOS.SYS
    MSOCache
    OrchestraPDV
    pagefile.sys
    PDVD.iss
    PerfLogs
    Program Files
    ProgramData
    regxpcom.exe
    RHDSetup.log
    rsit
    setup.log
    sqmdata00.sqm
    sqmdata01.sqm
    sqmdata02.sqm
    sqmdata03.sqm
    sqmdata04.sqm
    sqmdata05.sqm
    sqmdata06.sqm
    sqmdata07.sqm
    sqmdata08.sqm
    sqmdata09.sqm
    sqmdata10.sqm
    sqmdata11.sqm
    sqmdata12.sqm
    sqmnoopt00.sqm
    sqmnoopt01.sqm
    sqmnoopt02.sqm
    sqmnoopt03.sqm
    sqmnoopt04.sqm
    sqmnoopt05.sqm
    sqmnoopt06.sqm
    sqmnoopt07.sqm
    sqmnoopt08.sqm
    sqmnoopt09.sqm
    sqmnoopt10.sqm
    sqmnoopt11.sqm
    sqmnoopt12.sqm
    System Volume Information
    Temp
    UsbFix
    Users
    Windows

    ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

    C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch
    C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch\Sql
    C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\Patch\Sql\SqlRun_SLP_SQL.msp

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    vu

    ▶ Relance List&Kill'em (clic droit "exécuter en tant qu'administrateur" pour Vista/Seven) avec le raccourci sur ton bureau ,

    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Suppression

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta reponse

    ................

    tu peux ensuite enchainer en effectuant le post 14

    https://forums.commentcamarche.net/forum/affich-16256696-infection-par-trojan-renos-jm#14

    0
  19. Adis123 Messages postés 23 Statut Membre
     
    Bonjour,

    Merci, j'ai lancé usbfix en mode suppression et il a pas mal fait le nettoyage on dirait car je ne retrouve aucun des *.exe suivants :
    C:\Users\JA\ktper.exe
    C:\Users\JA\AppData\Local\Temp\Vhd.exe

    ktper.exe a été mis en quarantaine par usbfix, VHDest introuvable (par recherche manuelle ou par recherche auto.

    Et ClearTKHandle.exe est un fichier clean on dirait (voici le rapport www.virustotal.com) :

    Fichier ClearTKHandle.exe reçu le 2009.11.01 16:33:52 (UTC)
    Situation actuelle: terminé
    Résultat: 0/41 (0.00%)
    Formaté Formaté
    Impression des résultats Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.41 2009.11.01 -
    AhnLab-V3 5.0.0.2 2009.10.30 -
    AntiVir 7.9.1.53 2009.10.30 -
    Antiy-AVL 2.0.3.7 2009.10.30 -
    Authentium 5.1.2.4 2009.10.31 -
    Avast 4.8.1351.0 2009.11.01 -
    AVG 8.5.0.423 2009.11.01 -
    BitDefender 7.2 2009.11.01 -
    CAT-QuickHeal 10.00 2009.10.31 -
    ClamAV 0.94.1 2009.11.01 -
    Comodo 2805 2009.11.01 -
    DrWeb 5.0.0.12182 2009.11.01 -
    eSafe 7.0.17.0 2009.11.01 -
    eTrust-Vet 35.1.7094 2009.10.30 -
    F-Prot 4.5.1.85 2009.10.31 -
    F-Secure 9.0.15370.0 2009.10.30 -
    Fortinet 3.120.0.0 2009.11.01 -
    GData 19 2009.11.01 -
    Ikarus T3.1.1.72.0 2009.11.01 -
    Jiangmin 11.0.800 2009.11.01 -
    K7AntiVirus 7.10.885 2009.10.31 -
    Kaspersky 7.0.0.125 2009.11.01 -
    McAfee 5788 2009.10.31 -
    McAfee+Artemis 5788 2009.10.31 -
    McAfee-GW-Edition 6.8.5 2009.11.01 -
    Microsoft 1.5202 2009.11.01 -
    NOD32 4562 2009.11.01 -
    Norman 6.03.02 2009.11.01 -
    nProtect 2009.1.8.0 2009.11.01 -
    Panda 10.0.2.2 2009.11.01 -
    PCTools 7.0.3.5 2009.10.30 -
    Prevx 3.0 2009.11.01 -
    Rising 21.53.62.00 2009.11.01 -
    Sophos 4.47.0 2009.11.01 -
    Sunbelt 3.2.1858.2 2009.11.01 -
    Symantec 1.4.4.12 2009.11.01 -
    TheHacker 6.5.0.2.058 2009.10.31 -
    TrendMicro 8.950.0.1094 2009.11.01 -
    VBA32 3.12.10.11 2009.10.30 -
    ViRobot 2009.10.31.2015 2009.10.31 -
    VirusBuster 4.6.5.0 2009.10.31 -
    Information additionnelle
    File size: 118784 bytes
    MD5 : c1218b94fd8635e3d2239f6f0151aa35
    SHA1 : 225c5242a38951200c5ccd94964c80ca890a8c13
    SHA256: ae76c2f6f653a6ab48f5aaf15c016f25cc91fbfb6782cbc4cb39ff9c9af2f7a1
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1820
    timedatestamp.....: 0x466E5191 (Tue Jun 12 09:56:01 2007)
    machinetype.......: 0x14C (Intel I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0xA36 0x1000 4.15 49d62f95aed0d0efeea9e3678d21ea93
    .rdata 0x2000 0x87C 0x1000 3.14 bb73b675d77b657ba2531d71ef2e29b3
    .data 0x3000 0x144 0x1000 0.14 7179d5107b6a0889b9c136a7ef848869
    .rsrc 0x4000 0x18008 0x19000 4.76 adf112237fd1bae4bb5d371b8dc31a93

    ( 5 imports )

    > advapi32.dll: RegCreateKeyExA, RegCloseKey, RegSetValueExA
    > kernel32.dll: GetModuleHandleA, GetStartupInfoA
    > mfc42.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > msvcrt.dll: _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _acmdln, exit, _XcptFilter, __getmainargs, _setmbcp, __CxxFrameHandler, __dllonexit, _onexit, _exit
    > user32.dll: EnableWindow, GetClientRect, IsIconic, SendMessageA, DrawIcon, GetSystemMetrics, LoadIconA

    ( 0 exports )
    TrID : File type identification
    Win64 Executable Generic (88.0%)
    Win32 Dynamic Link Library (generic) (7.8%)
    Generic Win/DOS Executable (2.0%)
    DOS Executable Generic (2.0%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    ssdeep: 1536:gZO0P0000000QI0000000000000000nvvA000000000000000000000000001vtc:h0rHpE2U
    PEiD : -
    RDS : NSRL Reference Data Set
    -
    0
  20. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    peux tu poster les rapport killem option 2 et usbfix stp
    0
  21. Adis123 Messages postés 23 Statut Membre
     
    Voici le second rapport list&kill'em (avec l'option SUPPRESSION) :

    Kill'em by g3n-h@ckm@n 1.2.1.0

    User : JA (Administrateurs)
    Update on 21/01/2010 by g3n-h@ckm@n ::::: 10:30
    Start at: 09:51:01 | 23/01/2010
    Contact : g3n-h@ckm@n sur CCM

    Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
    Microsoft® Windows Vista™ Professionnel (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005
    Windows Firewall Status : Disabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 113,2 Go (66,68 Go free) [ACER] | NTFS
    D:\ -> Disque fixe local | 112,85 Go (112,76 Go free) [DATA] | NTFS
    E:\ -> Disque CD-ROM | 533,66 Mo (0 Mo free) [BB User Tools] | CDFS
    F:\ -> Disque amovible | 3,74 Go (3,73 Go free) | FAT32
    G:\ -> Disque amovible | 920,19 Mo (598,53 Mo free) [USB DISK] | FAT

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\ZoneLabs\vsmon.exe
    C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
    C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPHLog.exe
    C:\Program Files\EPSON\EPSON Advanced Printer Driver 4\EpsonPH.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Intel\AMT\atchksrv.exe
    C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Acer\eProtection\Service\eProtectionServ.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Intel\AMT\LMS.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Acer\LANScope Agent\awServ.exe
    C:\Windows\system32\UI0Detect.exe
    C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Intel\AMT\atchk.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\TouchKit\xTouchMon.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Java\jre6\bin\jucheck.exe
    C:\Program Files\List_Kill'em\List_Kill'em.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\cmd.exe
    C:\Users\JA\AppData\Local\Temp\8E6A.tmp\ERUNT.EXE
    C:\Users\JA\AppData\Local\Temp\8E6A.tmp\pv.exe

    Detections :
    ==========

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\Program Files\ContextEnhancer

    Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
    Quarantined & Deleted !! : C:\Windows\System32\log.txt
    Quarantined & Deleted !! : C:\Windows\system32\x64
    Quarantined & Deleted !! : C:\Users\JA\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe

    ==============
    host file OK !
    ==============

    ========
    Registry
    ========

    ============
    Disk Cleaned
    ============

    ================
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  • 1
  • 2
  • 3