[AIDE] infection et extinction du PC

Fermé
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011 - 14 mars 2010 à 15:26
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 - 5 mai 2010 à 22:12
Bonjour,

J'ai un pc portable Acer inspire 5520 depuis deux ans maintenant. Il est infecté par security center, impossible à supprimer.

Lorsque j'essaye de créer un point de restauration sous vista, il ne me laisse jamais assez d temps pour cette manœuvre car il s'éteint brusquement.

Ma question est de savoir, comment je pourrai récupérer mes document avant d'envisager un formatage ou un nettoyage à fond de mon PC.

Merci de m'apporter votre éclairage et aide sur le sujet.

Cordialement
A voir également:

11 réponses

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 mars 2010 à 15:44
bonjour, ton pc est actuellement oppérationnel ou pas ?? si oui poste un RSIT pour voir cela !!

1) Télécharges et installes HijackThis :

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

Cliques sur le fichier hijackthis téléchargé pour lancer l'installation
laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement
fermes le en cliquant sur la croix rouge.


Ne lances pas ce programme pour l'instant et fais la suite


2) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

.Déconnectes toi et fermes toutes tes applications en cours

Double-clique sur " RSIT.exe " pour le lancer.

Clic droit sous VISTA (exécuter en tant que…)

.Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

.Devant l'option "List files/folders created ..." , tu choisis : 1 months

.cliques ensuite sur " Continuer " pour lancer l'analyse


.laisses faire le scan et ne touches pas au PC


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront

Postes le contenu de " log.txt " , ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante

Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ??


Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit

0
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
14 mars 2010 à 16:21
Bonjour,

Voici le premier rapport:
info.txt logfile of random's system information tool 1.06 2010-03-14 16:04:37

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\InstallShield Installation Information\{36C41D70-56F5-4E2B-81DA-6BEB7502D7A1}\setup.exe -runfromtemp -l0x040c -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\setup.exe" -uninstall
Acer Arcade-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall
Acer Crystal Eye Webcam Video Class Camera -->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe -runfromtemp -l0x040c -removeonly -u
Acer Crystal Eye webcam-->C:\Program Files\InstallShield Installation Information\{AA047D7C-5E7C-4878-B75C-77589151B563}\setup.exe -runfromtemp -l0x0009 -removeonly
Acer eAudio Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{57265292-228A-41FA-9AEC-4620CBCC2739}\Setup.exe" -uninstall
Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL
Acer eLock Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{116FF17B-1A30-4FC2-9B01-5BC5BD46B0B3}\setup.exe" -l0x40c -removeonly
Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly
Acer eNet Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C06554A1-2C1E-4D20-B613-EE62C79927CC}\setup.exe" -l0x40c -removeonly
Acer ePower Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\setup.exe" -l0x40c -removeonly
Acer ePresentation Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BF839132-BD43-4056-ACBF-4377F4A88E2A}\setup.exe" -l0x40c -removeonly
Acer eSettings Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CE65A9A0-9686-45C6-9098-3C9543A412F0}\setup.exe" -l0x40c -removeonly
Acer GridVista-->C:\Windows\UnInst32.exe GridV.UNI
Acer Mobility Center Plug-In-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11316260-6666-467B-AC34-183FCB5D4335}\setup.exe" -l0x40c -removeonly
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81000000003}
adsl TV-->C:\Program Files\adslTV\Uninstal.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Athan Basic 3.3-->C:\Windows\iun6002.exe "C:\Program Files\Athan\irunin.ini"
AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
Google Earth-->MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\UIU32m.exe -U -Ic:\Release\Foxconn\51338\AcrZUn32z.inf
HijackThis 2.0.2-->"C:\Users\hayat\Downloads\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
IZArc 4.0 beta 1-->"C:\Program Files\IZArc\unins000.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Mobile Connection Manager-->"C:\Program Files\InstallShield Installation Information\{93D34EE3-99B3-4DB1-8B0A-0A657466F90D}\setup.exe" -runfromtemp -l0x040c -removeonly
Modem USB LG Electronics-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DC6E06A-F0F7-47F7-8479-FFCAF60F538F}\setup.exe" -l0x40c -removeonly
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Mozilla Firefox (3.0.18)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Portrait Professional 9.0 Trial-->"C:\Program Files\Portrait Professional 9 Trial\unins000.exe"
PowerProducer 3.72-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.EXE" -uninstall
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly
SAGEM F@st 800-840-->C:\Program Files\InstallShield Installation Information\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}\setup.exe -runfromtemp -l0x040c -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Sony Picture Utility-->C:\Program Files\InstallShield Installation Information\{D5068583-D569-468B-9755-5FBF5848F46F}\setup.exe -runfromtemp -l0x040c uninstall -removeonly
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
Tomb Raider - La Revelation Finale-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Core Design\Tomb Raider - La Revelation Finale\Uninst.isu"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.3-->C:\Program Files\adslTV\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinZip 12.0-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B7}

======Security center information======

AV: Norton Internet Security
FW: Norton Internet Security (disabled)
AS: Windows Defender (disabled)
AS: Norton Internet Security

======System event log======

Computer Name: PC-de-hayat
Event Code: 10005
Message: DCOM a reçu l'erreur "1084" lors de la mise en route du service WSearch avec les arguments "" pour démarrer le serveur :
{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}
Record Number: 275024
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20100314145327.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-hayat
Event Code: 10005
Message: DCOM a reçu l'erreur "1084" lors de la mise en route du service WSearch avec les arguments "" pour démarrer le serveur :
{9E175B6D-F52A-11D8-B9A5-505054503030}
Record Number: 275025
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20100314145338.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-hayat
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001E4C818140. Il s'est produit l'erreur suivante :
Le délai de temporisation de sémaphore a expiré.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).
Record Number: 275030
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20100314145918.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-hayat
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001E4C818140. Il s'est produit l'erreur suivante :
Le délai de temporisation de sémaphore a expiré.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).
Record Number: 275031
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20100314145956.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-hayat
Event Code: 1000
Message: Votre ordinateur a perdu le bail de son adresse IP 78.250.21.46 sur la carte réseau d'adresse réseau 001E4C818140.
Record Number: 275032
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20100314145956.000000-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-de-hayat
Event Code: 1000
Message: Application défaillante eRecovery.exe, version 2.5.0.25, horodatage 0x46acdcc6, module défaillant Image.dll, version 5.0.1.29, horodatage 0x458f8bb5, code d’exception 0xc0000005, décalage d’erreur 0x00006545, ID du processus 0x6b4, heure de début de l’application 0x01cac2e607f39f1d.
Record Number: 96524
Source Name: Application Error
Time Written: 20100313194740.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-hayat
Event Code: 11
Message: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Un certificat requis n'est pas dans sa période de validité selon la vérification par rapport à l'horloge système en cours ou le tampon daté dans le fichier signé.
.
Record Number: 96551
Source Name: Microsoft-Windows-CAPI2
Time Written: 20100313195141.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-hayat
Event Code: 11
Message: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Un certificat requis n'est pas dans sa période de validité selon la vérification par rapport à l'horloge système en cours ou le tampon daté dans le fichier signé.
.
Record Number: 96592
Source Name: Microsoft-Windows-CAPI2
Time Written: 20100314145034.000000-000
Event Type: Erreur
User:

Computer Name: PC-DE-HAYAT
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 96596
Source Name: Microsoft-Windows-Winlogon
Time Written: 20100314145310.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-hayat
Event Code: 4609
Message: Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043c à partir de la ligne 45 de d:\vista_gdr\com\complus\src\events\tier1\eventsystemobj.cpp. Contactez les services de support technique Microsoft pour signaler cette erreur.
Record Number: 96599
Source Name: Microsoft-Windows-EventSystem
Time Written: 20100314145322.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-de-hayat
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-HAYAT$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x25c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57250
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090926084712.050112-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-hayat
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 57251
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090926084712.050112-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-hayat
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-HAYAT$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-20
Nom du compte : SERVICE RÉSEAU
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e4
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x25c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 57252
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090926084712.346514-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-hayat
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-20
Nom du compte : SERVICE RÉSEAU
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e4

Privilèges : SeAuditPrivilege
SeImpersonatePrivilege
SeAssignPrimaryTokenPrivilege
Record Number: 57253
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090926084712.346514-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-hayat
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-HAYAT$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x25c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 57254
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090926084712.424514-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6801
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip
"SAFEBOOT_OPTION"=NETWORK

-----------------EOF-----------------
0
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
14 mars 2010 à 16:23
Bonjour,

Et voilà, le deuxième.
Par avance, merci.

Logfile of random's system information tool 1.06 (written by random/random)
Run by hayat at 2010-03-14 16:04:33
Microsoft® Windows Vista™ Édition Familiale Basique
System drive C: has 14 GB (26%) free of 52 GB
Total RAM: 1790 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:34, on 14/03/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Users\hayat\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\hayat.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {061CF5CD-C76D-40DF-8014-F095B74E93B1} - C:\Windows\System32\cmpbk3232.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKCU\..\Run: [UMService] C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RTHDBPL] C:\Users\hayat\AppData\Roaming\SystemProc\lsass.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: msconfig32.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\cmipnpinstall32.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 mars 2010 à 16:36
pourquoi avoir fais le RSIt en Mode sans échec avec support réseau ??
bon il semble que ton pc n'est pas à jour car tu est avec un vista basique et nous sommes avec le SP2, on verra cela après la il faut faire le nettoyage tu vas faire ce qui suit , merci

1) passes< usbfix option 2

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Telecharges et installes: http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• choisi l'option 2 ( Suppression )

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.



.UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci d'avance pour ta contribution !!




2) fais un examem coimplet de ton pc avec malwarebytes

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe


. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
14 mars 2010 à 17:25
Bonjour,

Je vous explique pourquoi je passe en mode sans échec. je vous réponds sur le PC de mon frère parce que le mien ne me laisse pas assez de temps pour poster quoique ce soit.

j'ai installé USBfix mais mon PC s'éteint avant que l'analyse commence.
J'ai essayé à trois reprises, mais sans succès.

Dans l'attente de vos commentaires.

Cordialement,
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 mars 2010 à 20:58
ton pc est un pc fixe avec une tour , si oui y a t'il longtemps que tu l'as ouvert et mis un coup d'air comprimé " bombe d'air vendu en rayon informatique" surtout entre les aillettes de refroidissement du processeur , car si trop de poussière il y a monté en tempéréture du processeur et mise en sécurité avec un arrrêt et redémarrage du pc , si avec le mode sans echec avec prise en charge du réseau, tu arrives à faire usbfix et malwarebytes OK fais comme cela au moins on saura presque , que plus de problème côté virus !!
0
En fait ce n'est pas une UC mais un PC portable

Cordialement
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 mars 2010 à 22:59
OK essais de faire usbfix et malwarebytes en mode sans echec avec prise en charge réseau si tu peux pas faire autrement , et si après toujours pareil on utilisera un autre outil beaucoup plus puissant !!
et si le problème perciste il faudra plus voir du côté matériel , possible qu'un problème de mémoire ou carte mère !!
0
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
4 mai 2010 à 22:54
Bonsoir,

Désolée d'être revenue aussi tard sur ce sujet, mais pour ces deux logiciels, je suis censé vous donner le rapport ou je dois faire autre chose?

Cordialement,
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
4 mai 2010 à 23:06
bonjour, si tu as des rapport postes les cela permetteras de voir se qu'ils ont trouvés !!
0
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
5 mai 2010 à 00:08
Bonsoir,

Voici le rapport de USBFIX:


############################## | UsbFix V6.111 |

User : hayat (Administrateurs) # PC-DE-HAYAT
Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:48:39 | 04/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : Norton Internet Security 2007 [ Enabled | Updated ]
FW : Norton Internet Security[ (!) Disabled ]2007

C:\ -> Disque fixe local # 51,14 Go (8,01 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 50,89 Go (42,83 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.111 ! |




Et celui de MALWAREBYTES:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4066

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.16982

05/05/2010 00:04:37
RAPPORT VIRUS

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 243149
Temps écoulé: 56 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 9
Fichier(s) infecté(s): 88

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.Tracur) -> No action taken.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersSecurity (Rogue.PersonalSecurity) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\SystemInit (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Tracur) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\cmipnpinstall32.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\cmipnpinstall32.dll -> No action taken.

Dossier(s) infecté(s):
C:\ProgramData\1852016404 (Rogue.SecurityTool) -> No action taken.
C:\Program Files\PersSecurity (Rogue.PersonalSecurity) -> No action taken.
C:\Program Files\Common Files\PersSecurityUninstall (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity (Rogue.PersonalSecurity) -> No action taken.
C:\Users\hayat\AppData\Roaming\SystemProc (Trojan.Agent) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4 (Worm.Autorun) -> No action taken.

Fichier(s) infecté(s):
C:\Windows\System32\cmpbk3232.dll (Trojan.BHO.H) -> No action taken.
C:\Users\hayat\AppData\Roaming\SystemProc\lsass.exe (Trojan.Tracur) -> No action taken.
C:\Program Files\PersSecurity\psecurity.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\PersSecurity\system.dat (Trojan.FakeAlert) -> No action taken.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3IM8Y54N\setup[1].exe (Rootkit.TDSS) -> No action taken.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\656WGPGH\Setup_257[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TRX7I346\Setup_257[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\1548.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\2A98.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\4634.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\65C5.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\80F5.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\8C2D.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\90C9.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\9962.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\9CDC.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\BDB4.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\D1A.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\D357.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\D637.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E93D.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\ejxxeurb.dll (Trojan.Vundo) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\FA94.tmp (Rogue.Installer) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\msprint.exe (Trojan.Clicker) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\printsrv32.exe (Trojan.Agent) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\qvggrivg.dll (Trojan.Vundo) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\ropotok.cc (Trojan.FakeAlert) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\ugdrwevu.dll (Trojan.Vundo) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\wcehybqc.dll (Trojan.Vundo) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\wwbmtcdc.dll (Trojan.Vundo) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\cnvpe.fne (Worm.Autorun) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\dp1.fne (Worm.Autorun) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\eAPI.fne (Worm.Autorun) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\HtmlView.fne (HackTool.Patcher) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\internet.fne (HackTool.Patcher) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\krnln.fnr (Trojan.Agent) -> No action taken.
C:\Users\hayat\AppData\Roaming\11FA.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\18B4.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\257B.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\3785.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\43E7.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\477C.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\4DC7.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\4F07.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\59A5.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\5D8A.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\644D.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\6B6E.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\6E5E.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\846C.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\8AD6.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\8EE8.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\8FA3.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\905D.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\9AB8.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\9F9C.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\A9B9.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\AA84.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\B125.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\C6F9.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\CAAF.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\D0E9.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\DF18.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\F2BC.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\FCAB.tmp (Trojan.Tracur) -> No action taken.
C:\Users\hayat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig32.exe (Trojan.Nodef) -> No action taken.
C:\Users\hayat\Downloads\IMG00068714911567251832-JPG.EXE (Worm.Pushbot) -> No action taken.
C:\Users\hayat\Downloads\QuickTime_Update_KB079747(2).exe (Trojan.Tracur) -> No action taken.
C:\Users\hayat\Downloads\QuickTime_Update_KB079747.exe (Malware.Ackantta) -> No action taken.
C:\Windows\System32\cmipnpinstall32.dll (Trojan.Tracur) -> No action taken.
C:\Windows\System32\win32extension.dll (Trojan.FakeAlert) -> No action taken.
C:\Windows\Temp\mgs.exe (Trojan.Buzus) -> No action taken.
C:\Program Files\Common Files\PersSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Computer Scan.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Help.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Personal Security.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Registration.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Security Center.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Settings.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Update.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Worm.Prolaco.M) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> No action taken.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\shell.fne (Worm.Autorun) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\E_N4\spec.fne (Worm.Autorun) -> No action taken.
C:\Users\hayat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PersSecurity.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\video232.cfg (Trojan.FakeAlert) -> No action taken.
C:\Users\hayat\AppData\Local\Temp\a.exe (Trojan.Dropper) -> No action taken.


MERCI DE VOTRE AIDE.
0
HAYATOUNE Messages postés 17 Date d'inscription dimanche 14 mars 2010 Statut Membre Dernière intervention 28 juillet 2011
5 mai 2010 à 00:11
Bonsoir,

Ci-dessous le rapport aprés quarantaine et suppression:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4066

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.16982

05/05/2010 00:09:37
mbam-log-2010-05-05 (00-09-37).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 243149
Temps écoulé: 56 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 9
Fichier(s) infecté(s): 88

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{061cf5cd-c76d-40df-8014-f095b74e93b1} (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SystemInit (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\cmipnpinstall32.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\cmipnpinstall32.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\1852016404 (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Program Files\PersSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersSecurityUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\SystemProc (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4 (Worm.Autorun) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\System32\cmpbk3232.dll (Trojan.BHO.H) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\SystemProc\lsass.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Program Files\PersSecurity\psecurity.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PersSecurity\system.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3IM8Y54N\setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\656WGPGH\Setup_257[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TRX7I346\Setup_257[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\1548.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\2A98.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\4634.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\65C5.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\80F5.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\8C2D.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\90C9.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\9962.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\9CDC.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\BDB4.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\D1A.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\D357.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\D637.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E93D.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\ejxxeurb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\FA94.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\msprint.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\printsrv32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\qvggrivg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\ropotok.cc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\ugdrwevu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\wcehybqc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\wwbmtcdc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\cnvpe.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\eAPI.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\HtmlView.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\internet.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\11FA.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\18B4.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\257B.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\3785.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\43E7.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\477C.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\4DC7.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\4F07.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\59A5.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\5D8A.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\644D.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\6B6E.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\6E5E.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\846C.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\8AD6.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\8EE8.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\8FA3.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\905D.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\9AB8.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\9F9C.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\A9B9.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\AA84.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\B125.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\C6F9.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\CAAF.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\D0E9.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\DF18.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\F2BC.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\FCAB.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig32.exe (Trojan.Nodef) -> Quarantined and deleted successfully.
C:\Users\hayat\Downloads\IMG00068714911567251832-JPG.EXE (Worm.Pushbot) -> Quarantined and deleted successfully.
C:\Users\hayat\Downloads\QuickTime_Update_KB079747(2).exe (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\hayat\Downloads\QuickTime_Update_KB079747.exe (Malware.Ackantta) -> Quarantined and deleted successfully.
C:\Windows\System32\cmipnpinstall32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Windows\System32\win32extension.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Temp\mgs.exe (Trojan.Buzus) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Computer Scan.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Help.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Personal Security.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Registration.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Security Center.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Settings.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersSecurity\Update.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\shell.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\E_N4\spec.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PersSecurity.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\video232.cfg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hayat\AppData\Local\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Cordialement,
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
5 mai 2010 à 22:12
bonjour, ok malwarebytes à bien bossé comme d'abitude !!

mais pour le rapport de usbfix tu est sur de bien avoir fais option 2 ( suppression ) , car le rapport resemble plus à l'option 3 ( vaccination ) !!

peux-tu le relancer et faire option 2 pour être sur qu'il n'y plus d'infection , et puis tu posteras un hijachtis pour voir les lignes restantes , tu fais cela en démarrant windows en mode normal , pas en sans echec !!!

1) relances usbfix et fais option 2

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

sdi plus sur ton pc retélécharge le : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

* choisi l'option 2 ( Suppression )

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.



.UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci d'avance pour ta contribution !!


2) postes un hijackthis

télécharge Hijackthis : http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe


.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"


si besion d'aide pour l'installation : https://www.androidworld.fr/


des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
0