Bonjour, Voila je ne suis pas un pro en info et j'ai un petit problème si quelqu’un pouvait m'aider ce serait bien urban. Depuis peu j'ai une pub qui s'affiche sur de l'immobilier d'une manière régulière. Ma page d'accueil web étant Google par défaut, souvent un autre moteur de recherche s'affiche a la place... J'utilise le pare feu Windows et Avast free j'ai fait un scan avec ce dernier il me dit 0 fichier infecté... J'ai aussi fait un scan avec Spybot il me dit 0 mouchard détecté... Helllllllllllllllllllllllllllllllllllllllp Loka

Spyware tenace?

Réponse 1 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Bonjour,

Commence par faire cette analyse :

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

Réponse 2 / 19

Loka

Bonjour, Truecode

Merci pour ta rapiditée d'intervention et de te pencher sur mon probléme c'est cool de ta part.
J'ai fait comme tu m'a dit enfin j'éspére:

http://www.cijoint.fr/cj201003/cijvZWV0xD.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijjBPncOf.txt

Merci d'avance Loka

Réponse 3 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

On va plusieurs choses a supprimer on commence par ask bar :

•Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

•Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
•Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
•Au menu principal, choisis l'option S.
•Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Réponse 4 / 19

loka

Y a un truc que j'ai pas précisé, j'ai utilisé Ccleaner (pour supprimer des applications acer jeux et autres trucs inutiles...)
J'ai essayé de ne pas supprimer n'importe quoi, quand je ne savais pas je supprimé pas...
Mais c'est depuis le moment là que les pub's on apparut... Sa a peut étre aucun rapport mais bon.
(J’ai peut être delete une maj de mon anti virus ou de Windows par inadvertance).
D'ailleurs j'ai eu une maj de Windows signalé comme importante le lendemain que j'ai effectué bien entendu...

Réponse 5 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Les différents outils que l'on va passer supprimerons les infections détectés , les rapports sont bons si on peut dire les infection sont bien visibles.

Je te laisse faire la manip je vais manger je te donnerais la suite en début d'aprem

Réponse 6 / 19

Loka

Re truecode , encore merci et bonne appétit.

Voila le rapport : .

======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 12:28:37, 11/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: DE-MOKA | Utilisateur actuel: moka
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\AskBarDis
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Helper
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
HKU\s-1-5-21-1306562338-2378236006-34792096-1000\software\appdatalow\AskBarDis
HKU\s-1-5-21-1306562338-2378236006-34792096-1000\software\AskBarDis
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.google.fr/
Enable Browser Extensions: yes
First Home Page: hxxp://y.lo.st
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\moka\Pictures\CSS\2_CSS_Patch_v1_TO_v16_18-12-2006-DZ.exe
C:\Users\moka\Pictures\CSS\3_CSS_Patch_v17_04-04-2007-Z.exe
C:\Users\moka\Pictures\CSS\CSS_Patch_v18_30-10-2007-DZ.exe
.
===================================
.
3823 Octet(s) - C:\Ad-Report-SCAN[1].log
.
103 Fichier(s) - C:\Users\moka\AppData\Local\Temp
8 Fichier(s) - C:\Windows\Temp
104 Fichier(s) - C:\Windows\Prefetch
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 12:31:46 | 11/03/2010 - SCAN[1]
.
============== E.O.F ==============

Réponse 7 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Lance de nouveau ad remover puis choisi l'option de nettoyage " L" puis poste le rapport .

Ensuite on va s'occuper d'une infection par disque dur amovible :

• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
• Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
• Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Réponse 8 / 19

loka

Re
Lance de nouveau ad remover puis choisi l'option de nettoyage " L" puis poste le rapport .
chose faite: sa a redemarré mon pc et effectué un scan et voici le rapport:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:04:53, 11/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: DE-MOKA | Utilisateur actuel: moka
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\AskBarDis

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Helper
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\moka\Pictures\CSS\2_CSS_Patch_v1_TO_v16_18-12-2006-DZ.exe
C:\Users\moka\Pictures\CSS\3_CSS_Patch_v17_04-04-2007-Z.exe
C:\Users\moka\Pictures\CSS\CSS_Patch_v18_30-10-2007-DZ.exe
.
===================================
.
3928 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
115 Fichier(s) - C:\Users\moka\AppData\Local\Temp
9 Fichier(s) - C:\Windows\Temp
11 Fichier(s) - C:\Windows\Prefetch
.
20 Fichier(s) - C:\Ad-Remover\BACKUP
8 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 14:06:55 | 11/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Réponse 9 / 19

loka

Le truc c'est que j'ai 2 disque dur externe (mais q'un seul boitier d'alimentation donc je peut pas mettre les 2 en mm temps...)
Je suppose ke je doit répéter 2 fois le processus alors?

loka

############################## | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:26:17 | 11/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (24,35 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (55,07 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque amovible # 963,7 Mo (339,31 Mo free) [LI] # FAT
L:\ -> Disque amovible # 979,53 Mo (338,28 Mo free) [LOKA] # FAT
M:\ -> Disque fixe local # 149,05 Go (70,8 Go free) [Jeanne] # NTFS

################## | Elements infectieux |

################## | Registre |

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3383f2a7-aade-11de-a328-001d92a45bf7}
shell\AutoRun\command =J:\instapls.exe /AUTORUN
shell\configure\command =J:\instapls.exe
shell\install\command =J:\instapls.exe

HKCU\..\..\Explorer\MountPoints2\{9d0eadf1-a77e-11de-a4c2-001d92a45bf7}
shell\verb1\command =desktop.exe

HKCU\..\..\Explorer\MountPoints2\{c7bbfe44-da

loka > loka

donc voila dans le premier rapport tu a 1 disque dur externe 2 clef usb
ds le deuxiéme rapport le 2éme disque dur externe une carte micro sd et un lecteur mp3

loka > loka

############################## | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:34:21 | 11/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (24,35 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (55,07 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 1,84 Go (1,73 Go free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque amovible # 963,48 Mo (869,86 Mo free) [CHOCA P3] # FAT
L:\ -> Disque fixe local # 19,52 Go (14,75 Go free) # FAT32
M:\ -> Disque fixe local # 129,51 Go (11,98 Go free) [Marie] # NTFS

################## | Elements infectieux |

################## | Registre |

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3383f2a7-aade-11de-a328-001d92a45bf7}
shell\AutoRun\command =J:\instapls.exe /AUTORUN
shell\configure\command =J:\instapls.exe
shell\install\command =J:\instapls.exe

HKCU\..\..\Explorer\MountPoints2\{9d0eadf1-a77e-11de-a4c2-001d92a45bf7}
shell\verb1\command =desktop.exe

HKCU\..\..\Explorer\MountPoints2\{c7bbfe44-da39-11dd-b7a8-001d92a45bf7}
shell\AutoRun\command =M:\LaunchU3.exe -a

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.099 ! |

Réponse 10 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Maintenant le nettoyage :

• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
• Choisis l'option 2 (Suppression).
• Ton Bureau disparaîtra et le PC redémarrera.
• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
• Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Ensuite on va faire une analyse généraliste pour faire du nettoyage des traces restantes et localiser voir supprimer d'autres infections possibles .
( le scan est long mais cet outil est performant ca vaut le coup d'attendre ^^ )

•Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

•Double clique sur le fichier téléchargé
•Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
•Quand la mise à jour est terminé va dans l'onglet
•Tu sélectionne "Exécuter un examen complet"
•Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

•L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
•Maintenant tu clique sur "Ok" pour poursuivre.
•Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
•Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
•Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
•Le Bloc-notes va s'ouvrir avec le rapport d'analyse
•Fais un copier coller de ce rapport etposte-le dans ton prochain message.

loka

############################# | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:00:42 | 11/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (24,75 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (55,07 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 1,84 Go (1,73 Go free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 19,52 Go (14,75 Go free) # FAT32
L:\ -> Disque amovible # 979,53 Mo (338,27 Mo free) [LOKA] # FAT
M:\ -> Disque amovible # 963,7 Mo (339,28 Mo free) [LI] # FAT
N:\ -> Disque fixe local # 129,51 Go (11,98 Go free) [Marie] # NTFS

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! N:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[03/12/2007 09:57|--a------|3380] C:\-20071203.log
[07/03/2010 17:18|--a------|3919] C:\-20100307.log
[11/03/2010 14:06|--a------|4267] C:\Ad-Report-CLEAN[1].log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[03/12/2007 16:40|-ra-s----|8192] C:\BOOTSECT.BAK
[07/03/2010 17:23|--a------|90] C:\CLMS.log
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[07/03/2010 17:22|--a------|91] C:\MDisc.log
[07/03/2010 17:22|--a------|175] C:\MDR.log
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[07/03/2010 17:23|--a------|380] C:\PnR.log
[07/03/2010 17:23|--a------|1082] C:\PSD.log
[03/12/2007 09:35|--a------|426] C:\RHDSetup.log
[07/03/2010 17:22|--a------|90] C:\SDMA.log
[28/11/2008 18:06|--a------|90] C:\Setup.log
[11/03/2010 15:03|--a------|2384] C:\UsbFix.txt
[11/03/2010 14:56|--a------|2189] C:\UsbFix_Upload_Me_de-moka.zip
[22/11/2009 18:59|---------|4] H:\_UnqiueId.dat
[11/12/2009 21:14|--a------|17887715] H:\Edward Maya Feat Alicia - Stereo Love(Extended Vers Dj Vint Re-Edit).mp3
[11/12/2009 21:04|--a------|8907010] H:\Edward_Maya_Feat_Alicia Stereo Love.mp3
[06/12/2009 01:17|--a------|911360] K:\afpa lorrae et autres.doc
[06/12/2009 01:14|--a------|22016] K:\afpa ncy.doc
[16/11/2009 16:03|--a------|32768] K:\Drag.doc
[20/09/2009 17:33|--a------|4267] K:\foret.txt
[17/11/2009 15:43|--a------|19968] K:\loyer.doc
[16/11/2009 16:28|--a------|19968] K:\Nouveau Document Microsoft Word.doc
[16/02/2010 15:33|--a------|22528] K:\lettredemotiv2[2].doc
[21/10/2009 21:55|--a------|13526953] K:\CV Jm.rtf
[15/02/2010 14:58|--a------|6454] K:\lettredemotiv2.rtf
[21/02/2010 00:33|--a------|52222] K:\314bd6531bec4c645d6d426da63626eb.rar
[12/10/2009 02:31|--ah-----|4096] L:\._.Trashes
[20/10/2006 16:25|--a------|5177] L:\CV.rtf
[11/03/2008 22:32|--a------|37045] L:\CV Vaness.rtf
[17/11/2009 15:43|--a------|19968] L:\loyer.doc
[07/05/2009 00:50|--a------|296] L:\WMPInfo.xml
[17/11/2009 15:26|--a------|37376] L:\Yoooooooooooooooooooo Arnaud bien ou bien l.doc
[07/03/2010 06:35|--a------|671272960] L:\Incassable.par-www.DivX.Francais.[emule-island.com].avi
[14/02/2010 12:21|--a------|296] M:\WMPInfo.xml
[07/03/2010 07:54|--a------|654692710] M:\Denzel.Washington.-.Ricochet.Fr.[emule-island.com].avi
[11/03/2010 14:52|--a------|1446] M:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# N:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_de-moka.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.099 ! |

Réponse 11 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Parfait je te laisse faire malware bytes

Loka

Re
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3852
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

11/03/2010 16:26:56
mbam-log-2010-03-11 (16-26-56).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Eléments examinés: 206383
Temps écoulé: 38 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\moka\AppData\Roaming\Soft2PC\Software\software.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Users\moka\AppData\Roaming\Soft2PC\Software\softwareHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully

Réponse 12 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Maintenant lance de nouveau RSIT et poste moi les nouveaux rapports que je vérifie qu'il n'y a plus de trace d'infection

loka

Logfile of random's system information tool 1.06 (written by random/random)
Run by moka at 2010-03-11 17:13:48
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 25 GB (11%) free of 234 GB
Total RAM: 3070 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:53, on 11/03/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\nvraidservice.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
D:\Programe\winamp5552\Winamp\winampa.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Soft2PC\soft2pc.exe
D:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programe\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\moka.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SOFT2PCBHO - {3475D2C4-BBD1-4255-A70D-4125A4D30956} - C:\Program Files\Soft2PC\soft2pcBHO.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [WinampAgent] D:\Programe\winamp5552\Winamp\winampa.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [soft2PC] "C:\Program Files\Soft2PC\soft2pc.exe"
O4 - HKLM\..\Run: [avast5] D:\PROGRA~2\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\counter\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programe\XP\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Programe\XP\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

Réponse 13 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Je vais devoir m'absenter normalement tu dois avoir beaucoup moins de soucis , je vais analyser cela ce soir et je te répond demain matin si j'ai le temps sinon en milieu d'après midi . ( jai un vendredi chargé ^^ )

Si il n'y a pu d'infection visible je te donnerais une dernière manipulation a faire pour supprimer les outils utilisés.

Bonne fin de journée

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Salut truecode,
O2 - BHO: SOFT2PCBHO - {3475D2C4-BBD1-4255-A70D-4125A4D30956} - C:\Program Files\Soft2PC\soft2pcBHO.dll
soft2pc.exe ...

loka > crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Snif y a tjs http://lo.st/ qui ce lance défois seulement a la place de google qui est par défaut ma page web de démarrage. :(
Sinon pas ne nouvelle sur la pub sur l'imobilier c'es déja sa...

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

C'est normal...
UAC pas désactivé, AD-R pas lancé en tant qu'administrateur !

loka

J'avais pas vue ton message Truecode, a ce soir peut être ou alors a demain.
Merci beaucoup en tous cas c'est super gentille de ta part, d'utiliser de ton temps pour un novice de mon genre.

Réponse 14 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Bonjour crapoulou , justement j'ai un doute sur Soft2PC et je n'ai pas encore trouver de renseignement infectieux dessus .

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Vu le nombre de réponses sur Google... Vérifie par une analyse Virustotal, regarder le contenu des dossiers avec Systemlook.

loka > crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Bonjour crapoulou
C'est normal...
UAC pas désactivé, AD-R pas lancé en tant qu'administrateur !
Sa s'adresse a moi ou pas?
Cela voudrais dire que j'ai mal utilisé AD-R?

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Non, cela veut dire que Ad-Remover a mal été lancé mais truecode aurait dû te le dire.
Merci de corriger le tir ... (@ truecode)!

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

Justement j'ai regarder pas mal de sujet et personne ne le supprime j'ai pas du chercher au bonne endroit .

Donc l'erreur que j'ai faite c'est de ne pas désactiver l'UAC etant sous vista ?

loka > loka

Et si y a toujour la veille pub en carton sur l'imobilier qui revient c'est a devenir fou.......

Réponse 15 / 19

truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention 86

D'accord donc sous windows seven ou vista il est impératif de faire la manip suivante :
Désactivation de l'UAC et ensuite execution en mode administrateur

Pour ce qui est du fichier pour lequel je n'ai pas trouver d'info , sur quelle site je pourrais me diriger pour avoir plus d'infos ?

Merci pour ces précisions je dois y aller a demain

Loka

A demain alors pour de nouvelles aventure lol

loka > Loka

Merci aussi a crapoulou d'avoir apporté sa pierre a l'édifice en faite.++

Réponse 16 / 19

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Pour désactiver l'UAC :

Désactive l'UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).

*******

Pour lancer Ad Remover en tant qu'administrateur :

Clic droit sur l'exécutable > Exécuter en tant qu'administrateur.

Loka

Bonjour j'avoue la pub se fait moins persistante.
Bon je vais refaire toutes la manipe.
J'ai fait comme a dit crapoulou et je vais faire bien attention a exécuter les prog en tant qu'admin.
Mais il me semble que mon UAC était déjà inactif. En tous cas la case n'est pas cochée.

http://www.cijoint.fr/cjlink.php?file=cj201003/cijMJqzbx3.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijHPgJnJK.txt

Réponse 17 / 19

loka

ADR admin option S

====== RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:54:13, 12/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: DE-MOKA | Utilisateur actuel: moka
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\moka\Pictures\CSS\2_CSS_Patch_v1_TO_v16_18-12-2006-DZ.exe
C:\Users\moka\Pictures\CSS\3_CSS_Patch_v17_04-04-2007-Z.exe
C:\Users\moka\Pictures\CSS\CSS_Patch_v18_30-10-2007-DZ.exe
.
===================================
.
4267 Octet(s) - C:\Ad-Report-CLEAN[1].log
2273 Octet(s) - C:\Ad-Report-SCAN[1].log
2317 Octet(s) - C:\Ad-Report-SCAN[2].log
2023 Octet(s) - C:\Ad-Report-SCAN[3].log
.
83 Fichier(s) - C:\Users\moka\AppData\Local\Temp
8 Fichier(s) - C:\Windows\Temp
103 Fichier(s) - C:\Windows\Prefetch
.
22 Fichier(s) - C:\Ad-Remover\BACKUP
8 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 11:56:37 | 12/03/2010 - SCAN[3]
.
============== E.O.F ==============
.

loka

ad remover option de nettoyage " L" en tant qu'admin :
====== RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:59:29, 12/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: DE-MOKA | Utilisateur actuel: moka
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

(!) -- Fichiers temporaires supprimés.

.
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\moka\Pictures\CSS\2_CSS_Patch_v1_TO_v16_18-12-2006-DZ.exe
C:\Users\moka\Pictures\CSS\3_CSS_Patch_v17_04-04-2007-Z.exe
C:\Users\moka\Pictures\CSS\CSS_Patch_v18_30-10-2007-DZ.exe
.
===================================
.
4267 Octet(s) - C:\Ad-Report-CLEAN[1].log
1983 Octet(s) - C:\Ad-Report-CLEAN[2].log
2273 Octet(s) - C:\Ad-Report-SCAN[1].log
2317 Octet(s) - C:\Ad-Report-SCAN[2].log
2360 Octet(s) - C:\Ad-Report-SCAN[3].log
.
79 Fichier(s) - C:\Users\moka\AppData\Local\Temp
9 Fichier(s) - C:\Windows\Temp
8 Fichier(s) - C:\Windows\Prefetch
.
41 Fichier(s) - C:\Ad-Remover\BACKUP
8 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 12:01:17 | 12/03/2010 - CLEAN[2]
.
============== E.O.F ==============
.

loka > loka

usbfix scan
############################## | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:29:24 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (34,69 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (54,85 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 19,52 Go (14,75 Go free) # FAT32
L:\ -> Disque amovible # 979,53 Mo (978,45 Mo free) [LOKA] # FAT
M:\ -> Disque amovible # 963,7 Mo (339,28 Mo free) [LI] # FAT
N:\ -> Disque fixe local # 129,51 Go (11,98 Go free) [Marie] # NTFS

################## | Elements infectieux |

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# N:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.099 ! |

############################## | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:32:24 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (34,69 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (54,85 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 149,05 Go (76,25 Go free) [Jeanne] # NTFS
L:\ -> Disque amovible # 979,53 Mo (978,45 Mo free) [LOKA] # FAT
M:\ -> Disque amovible # 963,7 Mo (339,28 Mo free) [LI] # FAT

################## | Elements infectieux |

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.099 ! |

Réponse 18 / 19

loka

usbfix nettoyage

############################## | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:44:42 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (34,6 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (54,85 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 19,52 Go (14,75 Go free) # FAT32
L:\ -> Disque amovible # 979,53 Mo (978,45 Mo free) [LOKA] # FAT
M:\ -> Disque amovible # 963,7 Mo (339,28 Mo free) [LI] # FAT
N:\ -> Disque fixe local # 129,51 Go (11,98 Go free) [Marie] # NTFS

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! N:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[03/12/2007 09:57|--a------|3380] C:\-20071203.log
[07/03/2010 17:18|--a------|3919] C:\-20100307.log
[11/03/2010 14:06|--a------|4267] C:\Ad-Report-CLEAN[1].log
[12/03/2010 12:01|--a------|2449] C:\Ad-Report-CLEAN[2].log
[11/03/2010 17:12|--a------|2273] C:\Ad-Report-SCAN[1].log
[11/03/2010 17:49|--a------|2317] C:\Ad-Report-SCAN[2].log
[12/03/2010 11:56|--a------|2360] C:\Ad-Report-SCAN[3].log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[03/12/2007 16:40|-ra-s----|8192] C:\BOOTSECT.BAK
[07/03/2010 17:23|--a------|90] C:\CLMS.log
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[07/03/2010 17:22|--a------|91] C:\MDisc.log
[07/03/2010 17:22|--a------|175] C:\MDR.log
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[07/03/2010 17:23|--a------|380] C:\PnR.log
[07/03/2010 17:23|--a------|1082] C:\PSD.log
[03/12/2007 09:35|--a------|426] C:\RHDSetup.log
[07/03/2010 17:22|--a------|90] C:\SDMA.log
[28/11/2008 18:06|--a------|90] C:\Setup.log
[12/03/2010 12:47|--a------|2597] C:\UsbFix.txt
[12/03/2010 12:39|--a------|1862] C:\UsbFix_Upload_Me_de-moka.zip
[06/12/2009 01:14|--a------|22016] K:\afpa ncy.doc
[16/11/2009 16:03|--a------|32768] K:\Drag.doc
[20/09/2009 17:33|--a------|4267] K:\foret.txt
[17/11/2009 15:43|--a------|19968] K:\loyer.doc
[16/11/2009 16:28|--a------|19968] K:\Nouveau Document Microsoft Word.doc
[16/02/2010 15:33|--a------|22528] K:\lettredemotiv2[2].doc
[21/10/2009 21:55|--a------|13526953] K:\CV Jm.rtf
[15/02/2010 14:58|--a------|6454] K:\lettredemotiv2.rtf
[21/02/2010 00:33|--a------|52222] K:\314bd6531bec4c645d6d426da63626eb.rar
[06/12/2009 01:17|--a------|911360] K:\afpa lor et autres.doc
[12/10/2009 02:31|--ah-----|4096] L:\._.Trashes
[20/10/2006 16:25|--a------|5177] L:\CV.rtf
[11/03/2008 22:32|--a------|37045] L:\CV Vaness.rtf
[17/11/2009 15:43|--a------|19968] L:\loyer.doc
[07/05/2009 00:50|--a------|296] L:\WMPInfo.xml
[17/11/2009 15:26|--a------|37376] L:\Yoooooooooooooooooooo Arnaud bien ou bien l.doc
[14/02/2010 12:21|--a------|296] M:\WMPInfo.xml
[07/03/2010 07:54|--a------|654692710] M:\Denzel.Washington.-.Ricochet.Fr.[emule-island.com].avi
[11/03/2010 14:52|--a------|1446] M:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# N:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_de-moka.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.099 ! |

############################# | UsbFix V6.099 |

User : moka (Administrateurs) # DE-MOKA
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:54:46 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 081130-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 228,13 Go (35,09 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (54,85 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 1,84 Go (1,73 Go free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque fixe local # 149,05 Go (76,25 Go free) [Jeanne] # NTFS

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! K:\$Recycle.Bin\S-1-5-21-1306562338-2378236006-34792096-1000
Supprimé ! K:\Recycler\S-1-5-21-2963916585-3101516365-2914967588-1006
Supprimé ! K:\Recycler\S-1-5-21-304650774-2584973959-2092353743-1005
Supprimé ! K:\Recycler\S-1-5-21-343818398-1897051121-1801674531-1003
Supprimé ! K:\Recycler\S-1-5-21-602162358-1409082233-725345543-1007
Supprimé ! K:\Recycler\S-1-5-21-796845957-1606980848-725345543-1004

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[03/12/2007 09:57|--a------|3380] C:\-20071203.log
[07/03/2010 17:18|--a------|3919] C:\-20100307.log
[11/03/2010 14:06|--a------|4267] C:\Ad-Report-CLEAN[1].log
[12/03/2010 12:01|--a------|2449] C:\Ad-Report-CLEAN[2].log
[11/03/2010 17:12|--a------|2273] C:\Ad-Report-SCAN[1].log
[11/03/2010 17:49|--a------|2317] C:\Ad-Report-SCAN[2].log
[12/03/2010 11:56|--a------|2360] C:\Ad-Report-SCAN[3].log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[03/12/2007 16:40|-ra-s----|8192] C:\BOOTSECT.BAK
[07/03/2010 17:23|--a------|90] C:\CLMS.log
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[07/03/2010 17:22|--a------|91] C:\MDisc.log
[07/03/2010 17:22|--a------|175] C:\MDR.log
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[07/03/2010 17:23|--a------|380] C:\PnR.log
[07/03/2010 17:23|--a------|1082] C:\PSD.log
[03/12/2007 09:35|--a------|426] C:\RHDSetup.log
[07/03/2010 17:22|--a------|90] C:\SDMA.log
[28/11/2008 18:06|--a------|90] C:\Setup.log
[12/03/2010 12:57|--a------|2794] C:\UsbFix.txt
[12/03/2010 12:47|--a------|1959] C:\UsbFix_Upload_Me_de-moka.zip
[22/11/2009 18:59|---------|4] H:\_UnqiueId.dat
[11/12/2009 21:14|--a------|17887715] H:\Edward Maya Feat Alicia - Stereo Love(Extended Vers Dj Vint Re-Edit).mp3
[11/12/2009 21:04|--a------|8907010] H:\Edward_Maya_Feat_Alicia Stereo Love.mp3

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_de-moka.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.099 ! |

ppppppppppppp

loka

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3858
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

12/03/2010 14:04:15
mbam-log-2010-03-12 (14-04-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 205442
Temps écoulé: 39 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

loka > loka

AD-R

http://www.cijoint.fr/cjlink.php?file=cj201003/cij98Wzpjb.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijKR1FcKM.txt

loka > loka

Voila j'ai refait tous le cheminement comme me l'avait gentiment expliqué Truecode.
En prenant soin d'exécuté AD-R et Rsit en tant qu'admin (je l’avais peut être mal fait la première fois dans la précipitation). Mon UAC étant inactif...
Juste 2 question y a l’option vacciner avec usbfix faut pas le faire ?
Et je dois activer UAC une fois les manip's finies?
En attente de nouvelle instruction.

Merci pour votre aide L0ka.

loka > loka

C'est bon apparament sa a disparue merci a vous (Truecode et crapoulou).

Réponse 19 / 19

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Cool si tu n'as plus rien.
Il reste encore juste quelques étapes avant de terminer !

***********

Juste 2 question y a l’option vacciner avec usbfix faut pas le faire ?
Elle a été faite.

***********

Désinstalle depuis l'ajout / Suppression de programmes :
=> Soft2PC
=> Software 1.3

***********

Suis cette procédure pour supprimer toutes les traces de Norton :
= = = =>>> En cliquant ici <<<= = = =
Tu ne fais bien entendu pas l’étape 3 de la réinstallation.

***********

Mets à jour Adobe Acrobat Reader en téléchargeant la version 9 = = = =>>> En cliquant ici <<<= = = = Il faut le faire car c’est une faille de sécurité de ne pas le tenir à jour.

Poste ensuite un dernier rapport RSIT.

loka

Voila chef

info.txt logfile of random's system information tool 1.06 2010-03-13 03:22:41

======Uninstall list======

Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A93000000001}
Ad-Remover By C_XX-->"C:\Ad-Remover\Un-ADR.exe"
Archiveur WinRAR-->D:\Programe\winrar\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Free Antivirus-->D:\Program Files\Alwil Software\Avast5\aswRunDll.exe "D:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
CCleaner-->"D:\Programe\CCleaner\uninst.exe"
Counter-Strike: Source-->MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5}
DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
eMule-->"C:\Users\moka\Downloads\eMule\Uninstall.exe"
Full Tilt Poker-->"C:\Program Files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x040c -removeonly
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
JDownloader-->D:\Programe\JDownloader\uninstall.exe
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
livebox-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17342E3B-0818-4A6F-BFF8-99476605ADD6}\Setup.exe" -l0x40c
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
MEGA MAP PACK SERVERGAMERS CS SOURCE-->D:\Counter\Steam\SteamApps\chocachoups\counter-strike source\cstrike\maps\soundcache\Uninstal.exe
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Minilyrics(remove only)-->"D:\Programe\winamp5552\Minilyrics\uninst-ml.exe"
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Mumble and Murmur-->D:\Programe\Mumble\Uninstall.exe
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{1598034D-7147-432C-8CA8-888E0632D124}\setup.exe" -removeonly
NTI Backup NOW! 4.7-->C:\Program Files\InstallShield Installation Information\{1598034D-7147-432C-8CA8-888E0632D124}\setup.exe -runfromtemp -l0x040c
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
NVIDIA Drivers-->C:\Windows\system32\nvunrm.exe UninstallGUI
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB978380)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {667A88D1-0369-4070-A62A-70672D68A9BF}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB978382)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6DE3DABF-0203-426B-B330-7287D1003E86}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
Spybot - Search & Destroy-->"D:\Programe\Spybot - Search & Destroy\unins000.exe"
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
VirginMega.Fr Premium-->MsiExec.exe /I{C179292C-735A-47EC-AD6D-AC6C6BE20017}
VLC media player 0.9.6-->D:\Programe\VLC\uninstall.exe
Winamp-->"D:\Programe\winamp5552\Winamp\UninstWA.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}

======Security center information======

AV: avast! antivirus 4.8.1296 [VPS 081130-0]
AS: Windows Defender
AS: avast! antivirus 4.8.1296 [VPS 081130-0]

======System event log======

Computer Name: de-moka
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk5\DR53 lors d'une opération de pagination.
Record Number: 93896
Source Name: disk
Time Written: 20091001221404.052600-000
Event Type: Avertissement
User:

Computer Name: de-moka
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk5\DR53 lors d'une opération de pagination.
Record Number: 93895
Source Name: disk
Time Written: 20091001221404.052600-000
Event Type: Avertissement
User:

Computer Name: de-moka
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk5\DR53 lors d'une opération de pagination.
Record Number: 93894
Source Name: disk
Time Written: 20091001221404.052600-000
Event Type: Avertissement
User:

Computer Name: de-moka
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk5\DR53 lors d'une opération de pagination.
Record Number: 93893
Source Name: disk
Time Written: 20091001221404.052600-000
Event Type: Avertissement
User:

Computer Name: de-moka
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk5\DR53 lors d'une opération de pagination.
Record Number: 93892
Source Name: disk
Time Written: 20091001221404.052600-000
Event Type: Avertissement
User:

=====Application event log=====

Computer Name: de-moka
Event Code: 1000
Message: Application défaillante sdclt.exe, version 6.0.6000.16386, horodatage 0x4549ad1c, module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception 0xc0000005, décalage d’erreur 0x00062086, ID du processus 0x119c, heure de début de l’application 0x01c951754694f0ee.
Record Number: 787
Source Name: Application Error
Time Written: 20081128162050.000000-000
Event Type: Erreur
User:

Computer Name: de-moka
Event Code: 1000
Message: Application défaillante sdclt.exe, version 6.0.6000.16386, horodatage 0x4549ad1c, module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception 0xc0000005, décalage d’erreur 0x00062086, ID du processus 0x1720, heure de début de l’application 0x01c95174e03bc4ee.
Record Number: 786
Source Name: Application Error
Time Written: 20081128161758.000000-000
Event Type: Erreur
User:

Computer Name: de-moka
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 762
Source Name: WerSvc
Time Written: 20081128160858.000000-000
Event Type: Erreur
User:

Computer Name: de-moka
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.

Record Number: 756
Source Name: Microsoft-Windows-Search
Time Written: 20081128160831.000000-000
Event Type: Avertissement
User:

Computer Name: LH-2FHRS2JZROUX
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 732
Source Name: WerSvc
Time Written: 20080310081955.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: de-moka
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : DE-MOKA$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-19
Nom du compte : SERVICE LOCAL
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e5
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 8787
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090217052803.876246-000
Event Type: Succès de l'audit
User:

Computer Name: de-moka
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 8786
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090217052803.782645-000
Event Type: Succès de l'audit
User:

Computer Name: de-moka
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : DE-MOKA$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 8785
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090217052803.782645-000
Event Type: Succès de l'audit
User:

Computer Name: de-moka
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : DE-MOKA$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 8784
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090217052803.782645-000
Event Type: Succès de l'audit
User:

Computer Name: de-moka
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-20
Nom du compte : SERVICE RÉSEAU
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e4

Privilèges : SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeImpersonatePrivilege
Record Number: 8783
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090217052803.673444-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4

-----------------EOF-----------------

crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 8 017

Envoie le log.txt sur le forum également stp.
(pas sur cijoint).
Il se trouve ici : C:\rsit\log.txt.

loka > crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Logfile of random's system information tool 1.06 (written by random/random)
Run by moka at 2010-03-13 03:22:32
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 34 GB (15%) free of 234 GB
Total RAM: 3070 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:22:40, on 13/03/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\nvraidservice.exe
C:\Windows\System32\rundll32.exe
D:\Programe\winamp5552\Winamp\winampa.exe
C:\Windows\RtHDVCpl.exe
D:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\moka\Desktop\RSIT.exe
C:\Program Files\trend micro\moka.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [WinampAgent] D:\Programe\winamp5552\Winamp\winampa.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast5] D:\PROGRA~2\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\counter\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\moka\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programe\XP\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Programe\XP\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

Spyware tenace?

19 réponses

Votre réponse

Newsletters