Sujet Précédent Sujet Suivant

Rapport hijackthis a analyser si vous plait

Résolu/Fermé
brandon - 3 mars 2011 à 17:19
brandon345 Messages postés 18 Date d'inscription mercredi 9 mars 2011 Statut Membre Dernière intervention 11 juillet 2011 - 12 mars 2011 à 00:37
Bonjour, j'ai quelque problème avast ne veut plus se mètre a jours est dans un site ils on dit de l'analyser avec hijackthis est de poser les les résultat ici
alors j'espère que vous pourrai
info.txt logfile of random's system information tool 1.08 2011-03-03 16:33:21

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10n_Plugin.exe -maintain plugin
Adobe Reader 9.4.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A94000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
AnmanieSMP 2.4 i-->"C:\Program Files\AnmSMP\unins000.exe"
Apple Application Support-->MsiExec.exe /I{553255F3-78FD-40F1-A6F8-6882140265FE}
Apple Mobile Device Support-->MsiExec.exe /I{9DE1BE03-AFE2-4CDB-BFEB-D06D736CD01A}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
avast! Free Antivirus-->C:\Program Files\Alwil Software\Avast5\aswRunDll.exe "C:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
D3DX10-->MsiExec.exe /X{E09C4DB7-630C-4F06-A631-8EA7239923AF}
Galerie de photos Windows Live-->MsiExec.exe /X{488F0347-C4A7-4374-91A7-30818BEDA710}
Glary Utilities 2.32.0.1126-->"C:\Program Files\Glary Utilities\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_C8CBFED7F00D3A8C.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
Junk Mail filter update-->MsiExec.exe /I{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 4 Client Profile-->C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe /repair /x86 /parameterfolder Client
Microsoft .NET Framework 4 Client Profile-->MsiExec.exe /X{3C3901C5-3455-3E0A-A214-0B093A5070A6}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{06E6E30D-B498-442F-A943-07DE41D7F785}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Windows Media Video 9 VCM-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\wmv9vcm.inf, Uninstall
MobileMe Control Panel-->MsiExec.exe /I{146E206D-7D2C-493A-B431-1F1D16E822AF}
Mozilla Firefox (3.6.14)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVC80_x86_v2-->MsiExec.exe /I{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}
MSVC90_x86-->MsiExec.exe /I{AF111648-99A1-453E-81DD-80DBBF6DAD0D}
MSVCRT-->MsiExec.exe /I{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nokia Ovi Suite-->MsiExec.exe /X{B8B4446F-87E1-4423-A47A-16832C24A199}
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Ovi Desktop Sync Engine-->MsiExec.exe /X{8112C6B3-91E1-4560-8AB9-876DADFA37C5}
OviMPlatform-->MsiExec.exe /I{749A1EDD-16C2-4C63-B013-D38F0F953973}
Package de pilotes Windows - MobileTop (sshpmdm) Modem (01/26/2008 2.6.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\system32\DRVSTORE\mbtmdm_B08520DA75F32B2F150F141FB0198C4ACABCC886\mbtmdm.inf
Package de pilotes Windows - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
PC Connectivity Solution-->MsiExec.exe /I{E3DBED25-09EE-45FE-BE53-4B07B0CBA0FC}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
RealUpgrade 1.1-->MsiExec.exe /I{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}
SAMSUNG SYMBIAN USB Download Driver-->C:\Program Files\SAMSUNG\SYMBIAN USB Download Driver\Uninstall.exe
SIW version 2010.07.14-->"C:\Program Files\SIW\unins000.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TeamViewer 5-->C:\Program Files\TeamViewer\Version5\uninstall.exe
TeamViewer 6-->C:\Program Files\TeamViewer\Version6\uninstall.exe
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
VLC media player 1.0.5-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WiFi Station-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DECE22F4-EEDD-4615-BC56-2F4827FAD64B}\Setup.exe" -l0x40c
Windows Live Communications Platform-->MsiExec.exe /I{D45240D3-B6B3-4FF9-B243-54ECE3E10066}
Windows Live FolderShare-->MsiExec.exe /X{76810709-A7D3-468D-9167-A1780C1E766C}
Windows Live ID Sign-in Assistant-->MsiExec.exe /I{61AD15B2-50DB-4686-A739-14FE180D4429}
Windows Live Installer-->MsiExec.exe /I{0B0F231F-CE6A-483D-AA23-77B364F75917}
Windows Live Mail-->MsiExec.exe /I{9D56775A-93F3-44A3-8092-840E3826DE30}
Windows Live Mail-->MsiExec.exe /I{9FAE6E8D-E686-49F5-A574-0A58DFD9580C}
Windows Live Messenger-->MsiExec.exe /X{6057E21C-ABE9-4059-AE3E-3BEB9925E660}
Windows Live Messenger-->MsiExec.exe /X{EB4DF488-AAEF-406F-A341-CB2AAA315B90}
Windows Live MIME IFilter-->MsiExec.exe /I{AF844339-2F8A-4593-81B3-9F4C54038C4E}
Windows Live Movie Maker-->MsiExec.exe /X{6DEC8BD5-7574-47FA-B080-492BBBE2FEA3}
Windows Live Movie Maker-->MsiExec.exe /X{92EA4134-10D1-418A-91E1-5A0453131A38}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Live Photo Common-->MsiExec.exe /X{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}
Windows Live Photo Common-->MsiExec.exe /X{C893D8C0-1BA0-4517-B11C-E89B65E72F70}
Windows Live Photo Gallery-->MsiExec.exe /X{3336F667-9049-4D46-98B6-4C743EEBC5B1}
Windows Live PIMT Platform-->MsiExec.exe /I{4CBABDFD-49F8-47FD-BE7D-ECDE7270525A}
Windows Live SOXE Definitions-->MsiExec.exe /I{200FEC62-3C34-4D60-9CE8-EC372E01C08F}
Windows Live SOXE-->MsiExec.exe /I{682B3E4F-696A-42DE-A41C-4C07EA1678B4}
Windows Live UX Platform Language Pack-->MsiExec.exe /I{09F56A49-A7B1-4AAB-95B9-D13094254AD1}
Windows Live UX Platform-->MsiExec.exe /I{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}
Windows Live Writer Resources-->MsiExec.exe /X{62687B11-58B5-4A18-9BC3-9DF4CE03F194}
Windows Live Writer-->MsiExec.exe /X{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}
Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live-->MsiExec.exe /I{34319F1F-7CF2-4CC9-B357-1AE7D2FF3AC5}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows SideShow Managed Runtime 1.0-->MsiExec.exe /X{3516C69A-024D-42A8-B948-FFAA7B9CC49A}
Xvid 1.2.1 final uninstall-->"C:\Program Files\Xvid\unins000.exe"

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: brandon
Event Code: 7011
Message: Le dépassement de délai (30000 millisecondes) a été atteint lors de l'attente de la réponse transactionnelle du service Dnscache.
Record Number: 125412
Source Name: Service Control Manager
Time Written: 20101017174828.656250-000
Event Type: Erreur
User:

Computer Name: brandon
Event Code: 134
Message: NtpClient n'a pas pu définir d'homologue manuel utilisable comme source de temps en raison d'une erreur de résolution DNS sur "". NtpClient réessaiera dans 3473457 minutes, puis doublera l'intervalle d'attente pour les tentatives suivantes. L'erreur était : Le nom demandé est valide, mais aucune donnée du type requise n'a été trouvée. (0x80072AFC)
Record Number: 125409
Source Name: Microsoft-Windows-Time-Service
Time Written: 20101017174641.013671-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE LOCAL

Computer Name: brandon
Event Code: 7011
Message: Le dépassement de délai (30000 millisecondes) a été atteint lors de l'attente de la réponse transactionnelle du service Dnscache.
Record Number: 125408
Source Name: Service Control Manager
Time Written: 20101017174632.169921-000
Event Type: Erreur
User:

Computer Name: brandon
Event Code: 1014
Message: La résolution du nom login.facebook.com a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 125406
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20101017174439.857421-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

Computer Name: brandon
Event Code: 1014
Message: La résolution du nom clients1.google.fr a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 125404
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20101017174159.231445-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

=====Application event log=====

Computer Name: brandon
Event Code: 59
Message: La création du contexte d'activation a échoué pour « c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll ». Erreur dans le fichier de manifeste ou de stratégie « c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll » à la ligne 2. Syntaxe XML non valide.
Record Number: 4118
Source Name: SideBySide
Time Written: 20091226115630.000000-000
Event Type: Erreur
User:

Computer Name: brandon
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-1413589624-1536574945-83187028-1000_Classes:
Process 1708 (\Device\HarddiskVolume1\Windows\System32\WUDFHost.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000_CLASSES

Record Number: 4063
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091225152510.645507-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: brandon
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-1413589624-1536574945-83187028-1000:
Process 1300 (\Device\HarddiskVolume1\Windows\explorer.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Record Number: 4062
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091225152510.583007-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: brandon
Event Code: 59
Message: La création du contexte d'activation a échoué pour « c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll ». Erreur dans le fichier de manifeste ou de stratégie « c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll » à la ligne 2. Syntaxe XML non valide.
Record Number: 4051
Source Name: SideBySide
Time Written: 20091225093910.000000-000
Event Type: Erreur
User:

Computer Name: brandon
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
15 user registry handles leaked from \Registry\User\S-1-5-21-1413589624-1536574945-83187028-1000:
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\trust
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\My
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\CA
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\Root
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Policies\Microsoft\SystemCertificates
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Policies\Microsoft\SystemCertificates
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Policies\Microsoft\SystemCertificates
Process 424 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1413589624-1536574945-83187028-1000\Software\Policies\Microsoft\SystemCertificates

Record Number: 4023
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091225011755.360148-000
Event Type: Avertissement
User: AUTORITE NT\Système

=====Security event log=====

Computer Name: brandon
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d'ouverture de session : 0x0

Type d'ouverture de session : 3

Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x1f10c6
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x0
Nom du processus : -

Informations sur le réseau :
Nom de la station de travail : PC-DE-JOHAN
Adresse du réseau source : 192.168.0.11
Port source : 49672

Informations détaillées sur l'authentification :
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 56294
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20101215133754.564453-000
Event Type: Succès de l'audit
User:

Computer Name: brandon
Event Code: 4634
Message: Fermeture de session d'un compte.

Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x1e3706

Type d'ouverture de session : 3

Cet événement est généré lorsqu'une session ouverte est supprimée. Il peut être associé à un événement d'ouverture de session en utilisant la valeur ID d'ouverture de session. Les ID d'ouverture de session ne sont uniques qu'entre les redémarrages sur un même ordinateur.
Record Number: 56293
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20101215132605.086914-000
Event Type: Succès de l'audit
User:

Computer Name: brandon
Event Code: 4634
Message: Fermeture de session d'un compte.

Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x1e3714

Type d'ouverture de session : 3

Cet événement est généré lorsqu'une session ouverte est supprimée. Il peut être associé à un événement d'ouverture de session en utilisant la valeur ID d'ouverture de session. Les ID d'ouverture de session ne sont uniques qu'entre les redémarrages sur un même ordinateur.
Record Number: 56292
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20101215132604.983398-000
Event Type: Succès de l'audit
User:

Computer Name: brandon
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d'ouverture de session : 0x0

Type d'ouverture de session : 3

Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x1e3714
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x0
Nom du processus : -

Informations sur le réseau :
Nom de la station de travail : PC-DE-JOHAN
Adresse du réseau source : 192.168.0.11
Port source : 49670

Informations détaillées sur l'authentification :
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 56291
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20101215132554.418945-000
Event Type: Succès de l'audit
User:

Computer Name: brandon
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d'ouverture de session : 0x0

Type d'ouverture de session : 3

Nouvelle ouverture de session :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x1e3706
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x0
Nom du processus : -

Informations sur le réseau :
Nom de la station de travail : PC-DE-JOHAN
Adresse du réseau source : 192.168.0.11
Port source : 49669

Informations détaillées sur l'authentification :
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Services en transit : -
Nom du package (NTLM uniquement) : NTLM V1
Longueur de la clé : 128

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 56290
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20101215132554.405273-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files\PC Connectivity Solution\;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\DivX Shared\C:\Program Files\DMV\MaxTV4\plugins;C:\Program Files\Windows Live\Shared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=1
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"asl.log"=Destination=file;OnFirstLog=command,environment

-----------------EOF-----------------



35 réponses

  • 1
  • 2
Réponse 1 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 21:44
@brandon

▶ Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

▶ Lance OTL
▶ Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
3
brandon
Modifié par brandon le 8/03/2011 à 22:33
bonsoir
alors sayé j'ai fait l'analyse
il y'a eu deux rapport je vous donne les deux qui y'a eu
alors voila le rapport de EXTRAS.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijAnK20ER.txt
est le rapport de OTL.fr
http://www.cijoint.fr/cjlink.php?file=cj201103/cijbMyYe7L.txt
0
Réponse 2 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 19:34
Hello

Fallait pas virer, c est du vundo en fait.

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

KillAll::

RenV::
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\windows\System32\config\systemprofile\AppData\Roaming\Adobe\AdobeUpdate .exe

File::
c:\program files\mozilla firefox\components\FFComm.dll


▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+
2
Réponse 3 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 22:39
Ok vu :)

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1}
:Reg
HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}
:Files
C:\Program Files\RelevantKnowledge
C:\Windows\fados.exe
C:\ProgramData\1uyh50RD.dat
C:\Users\SEVEN\AppData\Roaming\mozilla\Firefox\Profiles\6v9c7zrw.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
:commands
[emptytemp]
[start explorer]
[reboot]



▶ Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

▶ Copie/colle la totalité du rapport dans ta prochaine réponse.

Ensuite:

▶ Rentre dans ton panneau de configuration....
▶ Apparence et personnalisation...
▶ Option des dossiers...(double cliquer dessus)
▶ Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
▶ Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.

▶ ▶ ensuite rends toi sur ce lien:
https://www.virustotal.com/gui/

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr


▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
recherche les entrées suivante dans ton disque : 

C:\Windows\WiFiLocation.exe
C:\Windows\System32\xwizaapi.dll
C:\autoexec.plu


▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

▶ Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée
2
brandon
9 mars 2011 à 13:28
bonjours juju
alors quand j'utilise OTL en fessant se que vous m'avais di de faire b le logiciel ne répond pas est hier j'ai entendu 1 heure voir si il allez répondre mais non
est se matin j'ai ressaye b toujours pareille le programme ne répond pas
mais j'ai fait la deuxième étape que vous m'avais demandez
voici les lien
le lien pour: C:\Windows\System32\xwizaapi.dll
http://www.virustotal.com/file-scan/report.html?id=272986333e1a3864275c29fe2a31560a5cbc43b6ecb0c84324e9db76fc52d5df-1299671720

le lien pour : C:\Windows\WiFiLocation.exe
http://www.virustotal.com/file-scan/report.html?id=4242c8bf826ce87cb0b4d7bac858c25d1e21f18b6550728facd54479adbb48b4-1299673097

est le lien pour: C:\autoexec.plu
http://www.virustotal.com/file-scan/report.html?id=be143b8e52da74cc9ea244ddcfebc60c1a4bb0ad0c5b30503c1fdb34affea142-1299672652
0
Réponse 4 / 35
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
3 mars 2011 à 18:34
bonjour, c'est pas un hijackthis que tu as essayer de faire mais un RSIT et le rapport est celui de info.txt , si tu pouvais poster le log.txt se serait bien , mais perso je préfairerais un zhpdiag , merci !!

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 20:51
Attends sagement le retour de jacques.gache maintenant :]
1
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
8 mars 2011 à 21:14
brandon désolé pour les intervention de dom qui ne nous serve à rien si lui a des chose à dire pour faire avancer les choses qu'il s'identifis sur ccm comme ceal on saura à qui nous avons à faire , par compte tupeux faire confiance à juju666 que je salut et remaerci d'être ici car laperso je commence sérieux à plus savoir ou chercher !!
brandon tu peux faire cela https://forums.commentcamarche.net/forum/affich-21062941-rapport-hijackthis-a-analyser-si-vous-plait#36
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 21:17
Content de te revoir par ici jacques ^^
le script a déjà été fait : http://www.cijoint.fr/cj201103/cijcoj7Xo3.txt
;)
Bonne continuation ! :)
0
brandon
8 mars 2011 à 22:28
c'est moi qui devrai m'excuse jacques j'ai écoute une personne qui n'était meme pas du site
desolé a vous deux mais je suis content de vous revoir jacques
0
Réponse 6 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 13:32
Salut :)

Okey, je te prépare un nouveau script, il me faut un peu de temps ^^
1
Réponse 7 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 13:36
Voilou :P

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

démarre en mode sans échec pour plus que ça plante ;) F8 après le chargement du bios


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1}
:Reg
HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}
:Files
C:\Program Files\RelevantKnowledge
C:\Windows\fados.exe
C:\ProgramData\1uyh50RD.dat
C:\Users\SEVEN\AppData\Roaming\mozilla\Firefox\Profiles\6v9c7zrw.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
:commands
[emptytemp]
[start explorer]
[reboot]



▶ Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

▶ Copie/colle la totalité du rapport dans ta prochaine réponse.
1
brandon
9 mars 2011 à 14:12
toujours pareille il reste bloqué
il reste bloqué a :
processing registry data HKLM\software\mozilla\firefox\extension\\{6E19037A-12E3-4295-8915-ED48BC341614}...
0
Réponse 8 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 14:15
Ok, met ceci dans le script à la place:

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1}

:Files
C:\Program Files\RelevantKnowledge
C:\Windows\fados.exe
C:\ProgramData\1uyh50RD.dat
C:\Users\SEVEN\AppData\Roaming\mozilla\Firefox\Profiles\6v9c7zrw.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
:commands
[emptytemp]
[start explorer]
[reboot]
1
brandon
9 mars 2011 à 14:42
re juju
alors voila la sa a marché voici le rapport:
https://pjjoint.malekal.com/files.php?read=6c762ab49c614
0
Réponse 9 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 18:32
Bien :) tu as toujours combo ? démarre en mode sans échec avec prise en charge réseau (tapote F8 quand ton pc s allume)

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

KillAll::

Registry::

[-HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer":-


▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+
1
brandon345 Messages postés 18 Date d'inscription mercredi 9 mars 2011 Statut Membre Dernière intervention 11 juillet 2011
Modifié par brandon345 le 9/03/2011 à 19:38
voila c'est fait voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201103/cijVqQc3Wb.txt
est toujours pareille mon antivirus ne veut pas se mettre a jour :s
0
Réponse 10 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 20:26
Ok

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶ Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶ Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶ De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit
▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

@+
1
brandon
10 mars 2011 à 14:38
bonjours desolé de mon retard mais cette analyse a était vraiment long il a dure plus de 6 heure
:s
alors voici le rapport de drweb:
xwizaapi.dll;C:\Windows\system32;Probablement MULDROP.Trojan;Supprimé.;
Proc_end.exe;C:\Program Files\List_Kill'em;Tool.Killproc.3;Irréparable.Quarantaine.;
65870752-43f86ca6\direct/bear.class;C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\65870752-43f86ca6;Java.Siggen.30;;
65870752-43f86ca6;C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18;L'archive contient des éléments infectés;Quarantaine.;
2ffdd5bf-18173915\RequiredJavaComponent.class;C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\2ffdd5bf-18173915;Java.Downloader.161;;
2ffdd5bf-18173915;C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63;L'archive contient des éléments infectés;Quarantaine.;
voila j'ai pas pu utilisé le site pjjoint.malekal
car il me dit URL détectée ! Seuls les membres peuvent poster ce type de contenu !
donc je vous l'ai recopié
0
Réponse 11 / 35
brandon
3 mars 2011 à 19:24
bonsoir,
je vous remercie d'éseye de m'aide
j'ai fait se que vous m'avais demandez de faire
voila le lien :
http://www.cijoint.fr/cjlink.php?file=cj201103/cijAQrwmfN.txt
j'espère que vous pourrai m'aider
car la je ne peut plus mètre a jours avast est j'ai ésseye de désinstallée est réinstallé mais rien ne marche
je vous en remercie d'avance
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
3 mars 2011 à 21:10
bonjour, il y aplusieurs infections sur ton pc nous allons les nettoyer , je voizs que tu utilises spybot !! perso à part ralentir le pc et faire un semblant de protection j'en vois pas trop l'utiulité perso je te conseillerais de le désinstaller !!

mais bon c'est ton pc c'est toi qui gére , tu va donc faire ce qui suit pour nettoyer ton pc !!

1) si tu conserves spybot ! déactives la protection résidente de spybot pour pas qu'il nous bloque le fixe
quand tu le réactiveras possible qu'il te demande d'accepter ou pas les modifications il faudra les accepter toutes
pour t'aider au cas ou : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924



2) fais ZHPFIX comme expliqué


. Copie les lignes suivantes en GRAS



OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKUS\S-1-5-18\..\Run: [Bbafitexetedabex] . (.trbarry@trbarry.com - FrameDbl.) -- C:\Windows\system32\config\systemprofile\AppData\Local\ctad10.dll
[MD5.00000000000000000000000000000000] [APT] [RegClean System Startup] (.Pas de propriétaire.) -- C:\Program Files\RegClean\RegClean.exe (.not file.)
[HKCU\Software\AppDataLow\Software\ShopperReports3]
[HKCU\Software\OfferBox]
[HKCU\Software\ShopperReports3]
[HKCU\Software\Spointer]
[HKCU\Software\clickpotatolitesa]
[HKLM\Software\ClickPotatoLite]
[HKLM\Software\ShopperReports3]
O43 - CFD: 19/12/2010 - 22:41:14 - [1546] ----D- C:\Program Files\ClickPotatoLite
O43 - CFD: 19/12/2010 - 22:40:58 - [3779076] ----D- C:\Program Files\ShopperReports3
O43 - CFD: 04/02/2011 - 11:01:28 - [137458] ----D- C:\ProgramData\ClickPotatoLiteSA
O43 - CFD: 19/12/2010 - 22:41:14 - [0] ----D- C:\Users\SEVEN\AppData\Roaming\ClickPotatoLite
O43 - CFD: 26/07/2010 - 20:05:56 - [432] ----D- C:\Users\SEVEN\AppData\Roaming\OfferBox
O43 - CFD: 19/12/2010 - 22:40:58 - [0] ----D- C:\Users\SEVEN\AppData\Roaming\ShopperReports3
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O87 - FAEL: "{545D8874-E24F-4C10-8FA7-BFFA26F3E872}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)
O87 - FAEL: "{18F3FCD1-B39B-4C42-95B7-5429C1F78BFA}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)
O87 - FAEL: "{2EE4FEB7-DE39-43FB-86E5-8F043364C7BD}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)
O87 - FAEL: "{AA495F36-B39D-4747-A579-AFBBEE6B48A3}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\RelevantKnowledge\rlvknlg.exe (.not file.)
EmptyTemp
EmptyFlash
MBRFix
HOSTFix




. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport




3) passes AD-Remover mode NETTOYER


Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )




4) fais un examen complet de ton pc avec malwarebytes

tu lui fais bien faire la mise à jour jusqu'a ce qu'il te dise que tu as la dernière version !!

si vous avez Vista ou seven, vous devez désactiver l'UAC le temps de la désinfection.

pour vista suivre ce tuto si besoin : http://www.teamxscript.org/uacvista.html

pour seven celui ci : http://www.teamxscript.org/uacseven.html




!! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

. enregistres le sur le bureau
. Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/




5) postes un nouveau zhpdiag pour contrôle , merci

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/
0
Réponse 12 / 35
brandon
3 mars 2011 à 23:48
bonsoir encore merci de m'aider
alors voila le rapport de ZHPFIX :
http://www.cijoint.fr/cjlink.php?file=cj201103/cijc9q62WK.txt
le rapport de malwarebytes:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijilRuMio.txt
est le rapport de zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijUTQ64iX.txt
le seul problème est que je ne trouve plus le rapport de AD-Remover
mais je ne peut toujours pas mètre a jours mon anti-virus
0
Réponse 13 / 35
brandon
4 mars 2011 à 20:12
bonsoir alors personne pour m'aider ?
AIDEZ MOI SI VOUS PLAIT
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
4 mars 2011 à 23:54
bon pour moi plus d'infection visible sur le dernier zhpdiag , comment va avast et sa mise à jour ?? essais de le réinstaller car possible qu'une des infection l'ait chouté !!
tu l'installes sans désinstaller commecela il réparrera !!
http://www.commentcamarche.net/download/telecharger-151-avast-free-version
0
brandon
Modifié par brandon le 5/03/2011 à 01:11
voila c'est fait
le programme c'est mis a jours
mais le moteur et la base de données virale VPS ne veut pas se mettre a jour
quand j'essaye de le mettre a jours il me dit erreur connexion impossible au serveur
je ne sais pas quoi faire
vous me conseillerai de faire quoi ??
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
5 mars 2011 à 18:04
bonjour, essais de lui faire faire la mise à jour manuellement https://www.commentcamarche.net/faq/9016-mettre-a-jour-son-antivirus-anti-malware-sans-connexion-internet#avast
regarde bien si tu as bien rentrer le numéro de série a été enregistré dans Avast
0
brandon
5 mars 2011 à 19:20
alors j'ai éséye de faire la mise a jours manuellement comme il dise
il me dit : database updated from 110224-00 to 110305-00
bon si je ne peut pas faire cette mise a jour je serai oublié de changé de anti virus
vous me conseillerai de prendre quelle autre anti-virus ?
est petite question aussi pour savoir les infection il vien comment dans mon ordi ?
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
Modifié par Jeff le 9/06/2013 à 18:22
bonjour, si tu aime bien avast garde le il est donnés pour être le plus performant actuellement, la persoje te conseillerais dele désinstaller complettement en passant l'outil spéciphique pour être sur qu'il ne reste rien , et puis tu fais par sécurité un ccleaner sur le registre , et après tu réinstalles un antivirus pour avast il semble que la version 6 est disponible

bon avant tu désinstalles avast en le déactivant et puis en le désinstallant depuis les programmes , et tu passes l'outil spéciphique https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
0
Réponse 14 / 35
dom
8 mars 2011 à 19:32
Re
je te laisses avec Jacques-gache....

Du mieux depuis cela?
0
brandon
8 mars 2011 à 20:02
non toujours pareille
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 20:06
@brandon: fait CECI

Et ensuite attend le retour de jacques.gache

N'écoute que des personnes qui sont membres contributeur ou membre contributeur sécurité [clique sur nos pseudo, tu arriveras sur notre profil]
0
brandon
8 mars 2011 à 20:11
oué c'est se que je me suis dit
je vais faire se que vous m'avais dit de faire est j'attend M.jacques.gache
je n'avais pas vu qu'il n'était pas membre
merci juju
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 mars 2011 à 20:14
:-)

Bonne fin de désinfection ;)
0
brandon
8 mars 2011 à 20:50
http://www.cijoint.fr/cjlink.php?file=cj201103/cijcoj7Xo3.txt
voila c'est fait
0
Réponse 15 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 14:51
Yeah

Refais ceci : https://forums.commentcamarche.net/forum/affich-21062941-rapport-hijackthis-a-analyser-si-vous-plait#47

;)
0
Réponse 16 / 35
brandon
9 mars 2011 à 15:26
voila c'est fait
http://www.cijoint.fr/cjlink.php?file=cj201103/cijysL6so2.txt
0
Réponse 17 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 15:33
▶ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 

 
:Processes
explorer.exe
:Reg
[-HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer":-
:Files
C:\Program Files\RelevantKnowledge    
C:\Windows\PEV.exe
:Commands
[start explorer]
[emptytemp]
[reboot]


▶ Clique sur MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

▶ Accepte en cliquant sur YES.

▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

▶ Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite:

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Exécuter List_Kill'em

une fois terminée , clic sur "terminer"

lance-le via le raccourci apparu sur ton bureau comme précité au début

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau

@+
0
brandon
9 mars 2011 à 17:49
bonsoir,
alors pour OTM il reste bloquer comme tout t'aleur
donc j'ai pas pu le faire
mais j'ai fait List_Kill'em
alors voici List\'em.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cij7s84Ps4.txt
est voici More.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijWaCJHqk.txt
0
Réponse 18 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 18:02
Encore pas mal infecté :\


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

▶▶▶ Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta réponse
0
Réponse 19 / 35
brandon345 Messages postés 18 Date d'inscription mercredi 9 mars 2011 Statut Membre Dernière intervention 11 juillet 2011
9 mars 2011 à 18:26
ah encore des infection :s
voici le rapport de Kill'em.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cij0kkpzqO.txt
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
9 mars 2011 à 18:32
bonjour, à vous deux , comment va le pc et tes problèmes ???
0
brandon345 Messages postés 18 Date d'inscription mercredi 9 mars 2011 Statut Membre Dernière intervention 11 juillet 2011
9 mars 2011 à 18:39
bonjour jacques
toujours pareille la mise a jour ne veut pas se faire mais juju est entraine de m'enlevai pas mal d'infection
est on continu encore jusqu'à trouvé se problème
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 mars 2011 à 18:42
salut jacques

c est quand tu veux si tu veux reprendre les manettes ^^
0
Réponse 20 / 35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
10 mars 2011 à 14:41
Salut !

Oui pour poster des url ça merde actuellement ! enlève le http: devant :D
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Accés au cloud
Dadou1968 -
loisou17 -

3 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses