PC piraté par des hacklers, rapports RSIT

stgeorges44 Messages postés 80 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Mon pc a été sous contrôle de hackers au cours de leur "arnaque microsoft". Suite a quoi c'était Yahoo démarrait lorsque je cliquais sur Google (ils avaient ouvert un compte Yahoo a partir de mon pc - je m'en suis apercu lorsque j'ai regardé l'historique), et j'avais posté un message sur le forum.
Lapourax m'a envioyé "la procédure de demande d'aide" et RSIT. Voici les 2 rapports (log et info)
D'avance merci

info.txt logfile of random's system information tool 1.10 2015-07-23 08:17:22

MBR

0x33C08ED0BC007C8EC08ED8BE007CBF0006B90002FCF3A450681C06CBFBB90400BDBE07807E00007C0B0F850E0183C510E2F1CD1888560055C6461105C6461000B441BBAA55CD135D720F81FB55AA7509F7C101007403FE46106660807E1000742666680000000066FF760868000068007C680100681000B4428A56008BF4CD139F83C4109EEB14B80102BB007C8A56008A76018A4E028A6E03CD136661731CFE4E11750C807E00800F848A00B280EB845532E48A5600CD135DEB9E813EFE7D55AA756EFF7600E88D007517FAB0D1E664E88300B0DFE660E87C00B0FFE664E87500FBB800BBCD1A6623C0753B6681FB54435041753281F90201722C666807BB00006668000200006668080000006653665366556668000000006668007C0000666168000007CD1A5A32F6EA007C0000CD18A0B707EB08A0B607EB03A0B50732E40500078BF0AC3C007409BB0700B40ECD10EBF2F4EBFD2BC9E464EB002402E0F82402C3496E76616C696420706172746974696F6E207461626C65004572726F72206C6F6164696E67206F7065726174696E672073797374656D004D697373696E67206F7065726174696E672073797374656D000000637B9A070944AA0000000101001CFEFFFF3F0000003716710280FEFFFF07FEFFFF76167102C18AA11200FEFFFF0FFEFFFF00A8121500D072350000000000000000000000000000000055AA

Uninstall list

Acrobat.com-->MsiExec.exe /X{287ECFA4-719A-2143-A09B-D6A12DE54E40}
Adobe AIR-->c:\Program Files (x86)\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{7BBAEC47-1CC0-4CB8-ADB4-531B78DBD1DD}
Adobe Flash Player 18 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_ActiveX.exe -maintain activex
Adobe Flash Player 18 NPAPI-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_Plugin.exe -maintain plugin
Adobe Reader XI (11.0.12)-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-AB0000000001}
Adobe Refresh Manager-->MsiExec.exe /I{AC76BA86-0804-1033-1959-001824147215}
adsl TV-->"C:\Program Files (x86)\adslTV\Uninstall.exe" "C:\Program Files (x86)\adslTV\Uninstall.log" -u
Alcor Micro USB Card Reader-->C:\Program Files (x86)\InstallShield Installation Information\{F4BF5F6B-F695-4762-AEB2-D095A4C34D89}\Setup.exe -runfromtemp -l0x0409
Alice Greenfingers-->"C:\Program Files (x86)\Asus\Game Park\Alice Greenfingers\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Alice Greenfingers\install.log"
Apple Application Support-->MsiExec.exe /I{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}
Apple Software Update-->MsiExec.exe /I{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
ASUS AI Recovery-->MsiExec.exe /I{06585B02-F20D-4AB2-9A64-86EF2AE0F8F0}
ASUS AP Bank-->"C:\Program Files (x86)\ASUS\ASUS AP Bank\unins000.exe"
ASUS FancyStart-->MsiExec.exe /I{2B81872B-A054-48DA-BE3B-FA5C164C303A}
ASUS LifeFrame3-->MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}
ASUS Live Update-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\Setup.exe" -l0x9
ASUS MultiFrame-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{9D48531D-2135-49FC-BC29-ACCDA5396A76}\setup.exe" -l0x9
ASUS SmartLogon-->MsiExec.exe /I{64452561-169F-4A36-A2FF-B5E118EC65F5}
ASUS Splendid Video Enhancement Technology-->MsiExec.exe /I{0969AF05-4FF6-4C00-9406-43599238DE0D}
ASUS Virtual Camera-->MsiExec.exe /I{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}
ASUS WebStorage-->C:\Program Files (x86)\ASUS\ASUS WebStorage\uninst.exe
ATK Package-->MsiExec.exe /I{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}
Avast Free Antivirus-->C:\Program Files\Alwil Software\Avast5\Setup\Instup.exe /control_panel /instop:uninstall
Bbox - Bouygues Telecom - Utilitaire de mise à jour-->C:\Program Files (x86)\BboxUpdate\uninstall.exe
Bing Bar-->MsiExec.exe /X{B4089055-D468-45A4-A6BA-5A138DD715FC}
Boingo Wi-Fi-->MsiExec.exe /X{B653A2EC-D816-4498-A4FD-651047AB9DC9}
CANAL+ CANALSAT A LA DEMANDE-->MsiExec.exe /X{04DA096D-6236-4A5D-8FB6-3081E67009BA}
Catalyst Control Center - Branding-->MsiExec.exe /I{AB3C268A-E54B-4F6D-BF97-2DFCEEFA94F5}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
ControlDeck-->MsiExec.exe /I{5B65EF64-1DFA-414A-8C94-7BB726158E21}
CyberLink LabelPrint-->"C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
CyberLink LabelPrint-->"C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
CyberLink Power2Go-->"C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
CyberLink Power2Go-->"C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
CyberLink PowerDVD 9-->"C:\Program Files (x86)\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
CyberLink PowerDVD 9-->"C:\Program Files (x86)\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
Désinstaller Bouygues Telecom - CD d'installation Bbox-->C:\Program Files (x86)\Bbox\eSKernel.exe /Uninstall.xml
Dream Day Wedding Married in Manhattan-->"C:\Program Files (x86)\Asus\Game Park\Dream Day Wedding Married in Manhattan\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Dream Day Wedding Married in Manhattan\install.log"
ffdshow v1.2.4422 [2012-04-09]-->"C:\Program Files (x86)\ffdshow\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{43563ACB-371B-4C58-8979-B192B390424C}
Game Park Console-->"C:\Program Files (x86)\Asus\Game Park\GameConsole\unins000.exe"
Glary Utilities 5.30-->C:\Program Files (x86)\Glary Utilities 5\uninst.exe
Google Chrome-->"C:\Program Files (x86)\Google\Chrome\Application\44.0.2403.89\Installer\setup.exe" --uninstall --multi-install --chrome --system-level --verbose-logging
Google Update Helper-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Haali Media Splitter-->C:\Program Files (x86)\Haali\MatroskaSplitter\uninstall_nsis.exe
IDT Audio-->"C:\Program Files (x86)\InstallShield Installation Information\{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}\setup.exe" -remove -removeonly
Installation Windows Live-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{3CCB732A-E472-4CF9-B1EE-F18365341FE0}
Intel(R) Management Engine Components-->C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\Uninstall\setup.exe -uninstall
Junk Mail filter update-->MsiExec.exe /I{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}
K_Series_ScreenSaver_EN-->C:\Windows\system32\K_Series_ScreenSaver_EN.scr /u
Kaspersky Total Security-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}
Kaspersky Total Security-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Malwarebytes Anti-Malware version 2.1.8.1057-->"C:\Program Files (x86)\Malwarebytes Anti-Malware\unins000.exe"
MergeModule_x86-->MsiExec.exe /I{DD7721BB-CF1C-4DC9-AD87-8D5FB75413B7}
Microsoft Office « Démarrer en un clic » 2010-->"C:\PROGRA~2\COMMON~1\MICROS~1\VIRTUA~1\CVHBS.EXE" /removeall
Microsoft Office Starter 2010 - Français-->C:\Program Files (x86)\Common Files\microsoft shared\virtualization handler\cvhbs.exe /uninstall {90140011-0066-040C-0000-0000000FF1CE}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570-->MsiExec.exe /X{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F}
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219-->MsiExec.exe /X{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}
Mozilla Firefox 39.0 (x86 fr)-->"C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe"
Mozilla Maintenance Service-->"C:\Program Files (x86)\Mozilla Maintenance Service\uninstall.exe"
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP3 Parser (KB2721691)-->MsiExec.exe /I{355B5AC0-CEEE-42C5-AD4D-7F3CFD806C36}
MSXML 4.0 SP3 Parser (KB2758694)-->MsiExec.exe /I{1D95BA90-F4F8-47EC-A882-441C99D30C1E}
MSXML 4.0 SP3 Parser (KB973685)-->MsiExec.exe /I{859DFA95-E4A6-48CD-B88E-A3E483E89B44}
MSXML 4.0 SP3 Parser-->MsiExec.exe /I{196467F1-C11F-4F76-858B-5812ADC83B94}
Office 15 Click-to-Run Extensibility Component-->MsiExec.exe /X{90150000-008C-0000-0000-0000000FF1CE}
Office 15 Click-to-Run Localization Component-->MsiExec.exe /X{90150000-008C-040C-0000-0000000FF1CE}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Piggly FREE-->"C:\Program Files (x86)\Asus\Game Park\Piggly FREE\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Piggly FREE\install.log"
PlayMemories Home-->MsiExec.exe /X{94F4815B-755A-4FFA-AFDC-EE8FE776981E}
PMB_ModeEditor-->MsiExec.exe /I{D5318740-B088-4B1A-B6A8-1F90A172CCD1}
PMB_ServiceUploader-->MsiExec.exe /I{E7FDF11C-12BB-4D6F-9B6D-F8E488C776DC}
PokerStars.fr-->"C:\Program Files (x86)\PokerStars.FR\PokerStarsUninstall.exe" /u:PokerStars.fr
QuickTime 7-->MsiExec.exe /I{111EE7DF-FC45-40C7-98A7-753AC46B12FB}
Safari-->MsiExec.exe /I{C779648B-410E-4BBA-B75B-5815BCEFE71D}
Skype(TM) 7.6-->MsiExec.exe /X{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}
Smileyville FREE-->"C:\Program Files (x86)\Asus\Game Park\Smileyville FREE\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Smileyville FREE\install.log"
Visionneuse Microsoft PowerPoint-->MsiExec.exe /X{95140000-00AF-040C-0000-0000000FF1CE}
VLC media player-->C:\Program Files (x86)\adslTV\VLC\uninstall.exe
Winamax Poker-->msiexec /qb /x {05A47222-FC54-09A9-EC0B-118D5A4EAB56}
Winamax Poker-->MsiExec.exe /I{05A47222-FC54-09A9-EC0B-118D5A4EAB56}
Windows Live Call-->MsiExec.exe /I{01523985-2098-43AF-9C97-12B07BE02A9B}
Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Sync-->MsiExec.exe /X{67D0313C-4F15-437D-9A2D-C1564088A26A}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinFlash-->MsiExec.exe /X{8F21291E-0444-4B1D-B9F9-4370A73E346D}
Wireless Console 3-->MsiExec.exe /I{20FDF948-C8ED-4543-A539-F7F4AEF5AFA2}

System event log

Computer Name: Ghislain-PC
Event Code: 7003
Message: Le service Intel(R) Management & Security Application User Notification Service dépend du service suivant : LMS. Ce dernier n'est peut-être pas installé.
Record Number: 763346
Source Name: Service Control Manager
Time Written: 20150317080700.169128-000
Event Type: Erreur
User:

Computer Name: Ghislain-PC
Event Code: 4001
Message: Le Service d'autoconfiguration WLAN s'est arrêté correctement.

Record Number: 763207
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20150316231146.481184-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Ghislain-PC
Event Code: 7003
Message: Le service Intel(R) Management & Security Application User Notification Service dépend du service suivant : LMS. Ce dernier n'est peut-être pas installé.
Record Number: 762997
Source Name: Service Control Manager
Time Written: 20150316073807.223555-000
Event Type: Erreur
User:

Computer Name: Ghislain-PC
Event Code: 1014
Message: La résolution du nom dns.msftncsi.com a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 762687
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20150315085617.865450-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

Computer Name: Ghislain-PC
Event Code: 1014
Message: La résolution du nom isatap.lan a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 762683
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20150315085603.535631-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU
Application event log
Computer Name: Ghislain-PC
Event Code: 100
Message: Pour information uniquement. C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE is trusted.
Record Number: 82302
Source Name: CVHSVC
Time Written: 20140707082736.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 3057
Message: {tid=FE0}
Le service principal du client Application Virtualization s'est initialisé correctement.
Produit installé :
Version : 4.6.2.22610
Chemin d'installation : C:\Program Files (x86)\Microsoft Application Virtualization Client
Répertoire de données globales : C:\ProgramData\Microsoft\Application Virtualization Client\
Nom de l'ordinateur : GHISLAIN-PC
Système d'exploitation : Windows 7 64-bit Service Pack 1.0 Build 7601
Commande OSD :
Record Number: 82280
Source Name: Application Virtualization Client
Time Written: 20140707081730.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 3191
Message: {tid=FE0}
-------------------------------------------------------- Journal client initialisé (C:\ProgramData\Microsoft\Application Virtualization Client\sftlog.txt)
Record Number: 82279
Source Name: Application Virtualization Client
Time Written: 20140707081702.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
33 user registry handles leaked from \Registry\User\S-1-5-21-3876411415-4251403952-215351330-1000:
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServiceOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Run
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Search Assistant
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServices
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Policies
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunService
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Search Assistant
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunService
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Internet Explorer

Record Number: 82261
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20140706230909.437129-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Ghislain-PC
Event Code: 12348
Message: Avertissement du service de cliché instantané de volumes : le service VSS s'est vu refuser l'accès à la racine du volume \\?\Volume{040bf8dc-c994-11df-a2d7-485b39e7c4da}\. Le refus de l'accès des administrateurs aux racines de volume peut provoquer de nombreuses défaillances inattendues et empêchera le fonctionnement correct du service VSS. Vérifiez la sécurité du volume et réessayez l'opération.

Opération :
Suppression de clichés instantanés à libération automatique
Chargement du fournisseur

Contexte :
Contexte d'exécution: System Provider
Record Number: 82257
Source Name: VSS
Time Written: 20140706170001.000000-000
Event Type: Avertissement
User:
Security event log
Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 76601
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194925.348848-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 76600
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194808.115430-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 76599
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194808.115430-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 76598
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194805.544283-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 76597
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194805.544283-000
Event Type: Succès de l'audit
User:

Environment variables

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\QuickTime\QTSystem\;C:\Program Files (x86)\Skype\Phone\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=4
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 37 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=2502
"configsetroot"=%SystemRoot%\ConfigSetRoot
"asl.log"=Destination=file

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.10 2015-07-23 08:17:22

MBR

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

Uninstall list

Acrobat.com-->MsiExec.exe /X{287ECFA4-719A-2143-A09B-D6A12DE54E40}
Adobe AIR-->c:\Program Files (x86)\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{7BBAEC47-1CC0-4CB8-ADB4-531B78DBD1DD}
Adobe Flash Player 18 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_ActiveX.exe -maintain activex
Adobe Flash Player 18 NPAPI-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_Plugin.exe -maintain plugin
Adobe Reader XI (11.0.12)-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-AB0000000001}
Adobe Refresh Manager-->MsiExec.exe /I{AC76BA86-0804-1033-1959-001824147215}
adsl TV-->"C:\Program Files (x86)\adslTV\Uninstall.exe" "C:\Program Files (x86)\adslTV\Uninstall.log" -u
Alcor Micro USB Card Reader-->C:\Program Files (x86)\InstallShield Installation Information\{F4BF5F6B-F695-4762-AEB2-D095A4C34D89}\Setup.exe -runfromtemp -l0x0409
Alice Greenfingers-->"C:\Program Files (x86)\Asus\Game Park\Alice Greenfingers\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Alice Greenfingers\install.log"
Apple Application Support-->MsiExec.exe /I{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}
Apple Software Update-->MsiExec.exe /I{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
ASUS AI Recovery-->MsiExec.exe /I{06585B02-F20D-4AB2-9A64-86EF2AE0F8F0}
ASUS AP Bank-->"C:\Program Files (x86)\ASUS\ASUS AP Bank\unins000.exe"
ASUS FancyStart-->MsiExec.exe /I{2B81872B-A054-48DA-BE3B-FA5C164C303A}
ASUS LifeFrame3-->MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}
ASUS Live Update-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\Setup.exe" -l0x9
ASUS MultiFrame-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{9D48531D-2135-49FC-BC29-ACCDA5396A76}\setup.exe" -l0x9
ASUS SmartLogon-->MsiExec.exe /I{64452561-169F-4A36-A2FF-B5E118EC65F5}
ASUS Splendid Video Enhancement Technology-->MsiExec.exe /I{0969AF05-4FF6-4C00-9406-43599238DE0D}
ASUS Virtual Camera-->MsiExec.exe /I{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}
ASUS WebStorage-->C:\Program Files (x86)\ASUS\ASUS WebStorage\uninst.exe
ATK Package-->MsiExec.exe /I{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}
Avast Free Antivirus-->C:\Program Files\Alwil Software\Avast5\Setup\Instup.exe /control_panel /instop:uninstall
Bbox - Bouygues Telecom - Utilitaire de mise à jour-->C:\Program Files (x86)\BboxUpdate\uninstall.exe
Bing Bar-->MsiExec.exe /X{B4089055-D468-45A4-A6BA-5A138DD715FC}
Boingo Wi-Fi-->MsiExec.exe /X{B653A2EC-D816-4498-A4FD-651047AB9DC9}
CANAL+ CANALSAT A LA DEMANDE-->MsiExec.exe /X{04DA096D-6236-4A5D-8FB6-3081E67009BA}
Catalyst Control Center - Branding-->MsiExec.exe /I{AB3C268A-E54B-4F6D-BF97-2DFCEEFA94F5}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
ControlDeck-->MsiExec.exe /I{5B65EF64-1DFA-414A-8C94-7BB726158E21}
CyberLink LabelPrint-->"C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
CyberLink LabelPrint-->"C:\Program Files (x86)\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" /z-uninstall
CyberLink Power2Go-->"C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
CyberLink Power2Go-->"C:\Program Files (x86)\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
CyberLink PowerDVD 9-->"C:\Program Files (x86)\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
CyberLink PowerDVD 9-->"C:\Program Files (x86)\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
Désinstaller Bouygues Telecom - CD d'installation Bbox-->C:\Program Files (x86)\Bbox\eSKernel.exe /Uninstall.xml
Dream Day Wedding Married in Manhattan-->"C:\Program Files (x86)\Asus\Game Park\Dream Day Wedding Married in Manhattan\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Dream Day Wedding Married in Manhattan\install.log"
ffdshow v1.2.4422 [2012-04-09]-->"C:\Program Files (x86)\ffdshow\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{43563ACB-371B-4C58-8979-B192B390424C}
Game Park Console-->"C:\Program Files (x86)\Asus\Game Park\GameConsole\unins000.exe"
Glary Utilities 5.30-->C:\Program Files (x86)\Glary Utilities 5\uninst.exe
Google Chrome-->"C:\Program Files (x86)\Google\Chrome\Application\44.0.2403.89\Installer\setup.exe" --uninstall --multi-install --chrome --system-level --verbose-logging
Google Update Helper-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Haali Media Splitter-->C:\Program Files (x86)\Haali\MatroskaSplitter\uninstall_nsis.exe
IDT Audio-->"C:\Program Files (x86)\InstallShield Installation Information\{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}\setup.exe" -remove -removeonly
Installation Windows Live-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{3CCB732A-E472-4CF9-B1EE-F18365341FE0}
Intel(R) Management Engine Components-->C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\Uninstall\setup.exe -uninstall
Junk Mail filter update-->MsiExec.exe /I{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}
K_Series_ScreenSaver_EN-->C:\Windows\system32\K_Series_ScreenSaver_EN.scr /u
Kaspersky Total Security-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}
Kaspersky Total Security-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Malwarebytes Anti-Malware version 2.1.8.1057-->"C:\Program Files (x86)\Malwarebytes Anti-Malware\unins000.exe"
MergeModule_x86-->MsiExec.exe /I{DD7721BB-CF1C-4DC9-AD87-8D5FB75413B7}
Microsoft Office « Démarrer en un clic » 2010-->"C:\PROGRA~2\COMMON~1\MICROS~1\VIRTUA~1\CVHBS.EXE" /removeall
Microsoft Office Starter 2010 - Français-->C:\Program Files (x86)\Common Files\microsoft shared\virtualization handler\cvhbs.exe /uninstall {90140011-0066-040C-0000-0000000FF1CE}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570-->MsiExec.exe /X{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F}
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219-->MsiExec.exe /X{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}
Mozilla Firefox 39.0 (x86 fr)-->"C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe"
Mozilla Maintenance Service-->"C:\Program Files (x86)\Mozilla Maintenance Service\uninstall.exe"
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP3 Parser (KB2721691)-->MsiExec.exe /I{355B5AC0-CEEE-42C5-AD4D-7F3CFD806C36}
MSXML 4.0 SP3 Parser (KB2758694)-->MsiExec.exe /I{1D95BA90-F4F8-47EC-A882-441C99D30C1E}
MSXML 4.0 SP3 Parser (KB973685)-->MsiExec.exe /I{859DFA95-E4A6-48CD-B88E-A3E483E89B44}
MSXML 4.0 SP3 Parser-->MsiExec.exe /I{196467F1-C11F-4F76-858B-5812ADC83B94}
Office 15 Click-to-Run Extensibility Component-->MsiExec.exe /X{90150000-008C-0000-0000-0000000FF1CE}
Office 15 Click-to-Run Localization Component-->MsiExec.exe /X{90150000-008C-040C-0000-0000000FF1CE}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Piggly FREE-->"C:\Program Files (x86)\Asus\Game Park\Piggly FREE\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Piggly FREE\install.log"
PlayMemories Home-->MsiExec.exe /X{94F4815B-755A-4FFA-AFDC-EE8FE776981E}
PMB_ModeEditor-->MsiExec.exe /I{D5318740-B088-4B1A-B6A8-1F90A172CCD1}
PMB_ServiceUploader-->MsiExec.exe /I{E7FDF11C-12BB-4D6F-9B6D-F8E488C776DC}
PokerStars.fr-->"C:\Program Files (x86)\PokerStars.FR\PokerStarsUninstall.exe" /u:PokerStars.fr
QuickTime 7-->MsiExec.exe /I{111EE7DF-FC45-40C7-98A7-753AC46B12FB}
Safari-->MsiExec.exe /I{C779648B-410E-4BBA-B75B-5815BCEFE71D}
Skype(TM) 7.6-->MsiExec.exe /X{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}
Smileyville FREE-->"C:\Program Files (x86)\Asus\Game Park\Smileyville FREE\Uninstall.exe" "C:\Program Files (x86)\Asus\Game Park\Smileyville FREE\install.log"
Visionneuse Microsoft PowerPoint-->MsiExec.exe /X{95140000-00AF-040C-0000-0000000FF1CE}
VLC media player-->C:\Program Files (x86)\adslTV\VLC\uninstall.exe
Winamax Poker-->msiexec /qb /x {05A47222-FC54-09A9-EC0B-118D5A4EAB56}
Winamax Poker-->MsiExec.exe /I{05A47222-FC54-09A9-EC0B-118D5A4EAB56}
Windows Live Call-->MsiExec.exe /I{01523985-2098-43AF-9C97-12B07BE02A9B}
Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Sync-->MsiExec.exe /X{67D0313C-4F15-437D-9A2D-C1564088A26A}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinFlash-->MsiExec.exe /X{8F21291E-0444-4B1D-B9F9-4370A73E346D}
Wireless Console 3-->MsiExec.exe /I{20FDF948-C8ED-4543-A539-F7F4AEF5AFA2}

System event log

Computer Name: Ghislain-PC
Event Code: 7003
Message: Le service Intel(R) Management & Security Application User Notification Service dépend du service suivant : LMS. Ce dernier n'est peut-être pas installé.
Record Number: 763346
Source Name: Service Control Manager
Time Written: 20150317080700.169128-000
Event Type: Erreur
User:

Computer Name: Ghislain-PC
Event Code: 4001
Message: Le Service d'autoconfiguration WLAN s'est arrêté correctement.

Record Number: 763207
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20150316231146.481184-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Ghislain-PC
Event Code: 7003
Message: Le service Intel(R) Management & Security Application User Notification Service dépend du service suivant : LMS. Ce dernier n'est peut-être pas installé.
Record Number: 762997
Source Name: Service Control Manager
Time Written: 20150316073807.223555-000
Event Type: Erreur
User:

Computer Name: Ghislain-PC
Event Code: 1014
Message: La résolution du nom dns.msftncsi.com a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 762687
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20150315085617.865450-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

Computer Name: Ghislain-PC
Event Code: 1014
Message: La résolution du nom isatap.lan a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 762683
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20150315085603.535631-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU
Application event log
Computer Name: Ghislain-PC
Event Code: 100
Message: Pour information uniquement. C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE is trusted.
Record Number: 82302
Source Name: CVHSVC
Time Written: 20140707082736.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 3057
Message: {tid=FE0}
Le service principal du client Application Virtualization s'est initialisé correctement.
Produit installé :
Version : 4.6.2.22610
Chemin d'installation : C:\Program Files (x86)\Microsoft Application Virtualization Client
Répertoire de données globales : C:\ProgramData\Microsoft\Application Virtualization Client\
Nom de l'ordinateur : GHISLAIN-PC
Système d'exploitation : Windows 7 64-bit Service Pack 1.0 Build 7601
Commande OSD :
Record Number: 82280
Source Name: Application Virtualization Client
Time Written: 20140707081730.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 3191
Message: {tid=FE0}
-------------------------------------------------------- Journal client initialisé (C:\ProgramData\Microsoft\Application Virtualization Client\sftlog.txt)
Record Number: 82279
Source Name: Application Virtualization Client
Time Written: 20140707081702.000000-000
Event Type: Avertissement
User:

Computer Name: Ghislain-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
33 user registry handles leaked from \Registry\User\S-1-5-21-3876411415-4251403952-215351330-1000:
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServiceOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Run
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Search Assistant
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServices
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Policies
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunService
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Process 1344 (\Device\HarddiskVolume2\Windows\System32\FBAgent.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Search Assistant
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Windows\CurrentVersion\RunService
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Process 3360 (\Device\HarddiskVolume2\Program Files\Trend Micro\Internet Security\SfCtlCom.exe) has opened key \REGISTRY\USER\S-1-5-21-3876411415-4251403952-215351330-1000\Software\Microsoft\Internet Explorer

Record Number: 82261
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20140706230909.437129-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Ghislain-PC
Event Code: 12348
Message: Avertissement du service de cliché instantané de volumes : le service VSS s'est vu refuser l'accès à la racine du volume \\?\Volume{040bf8dc-c994-11df-a2d7-485b39e7c4da}\. Le refus de l'accès des administrateurs aux racines de volume peut provoquer de nombreuses défaillances inattendues et empêchera le fonctionnement correct du service VSS. Vérifiez la sécurité du volume et réessayez l'opération.

Opération :
Suppression de clichés instantanés à libération automatique
Chargement du fournisseur

Contexte :
Contexte d'exécution: System Provider
Record Number: 82257
Source Name: VSS
Time Written: 20140706170001.000000-000
Event Type: Avertissement
User:
Security event log
Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 76601
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194925.348848-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 76600
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194808.115430-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 76599
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194808.115430-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 76598
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20140926194805.544283-000
Event Type: Succès de l'audit
User:

Computer Name: Ghislain-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : GHISLAIN-PC$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3e7

Type d'ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été u
A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,


Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
  • Télécharge le sur ton bureau ou dossier de téléchargement.
  • Lance AdwCleaner, clique sur [Scanner].
  • L'analyse peux durer plusieurs minutes, patiente.
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
  • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.


Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
stgeorges44 Messages postés 80 Date d'inscription   Statut Membre Dernière intervention  
 
voici les 2 rapports Adwcleaner:

# AdwCleaner v4.208 - Rapport créé le 21/07/2015 à 00:45:44
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Yann - GHISLAIN-PC
# Exécuté depuis : C:\Users\Yann\Downloads\AdwCleaner-4.208.exe
# Option : Scanner
          • [ Services ] *****
          • [ Fichiers / Dossiers ] *****


Dossier Trouvé : C:\ProgramData\Partner
Dossier Trouvé : C:\Users\Yann\AppData\Local\Google\Chrome\User Data\Default\Extensions\bopakagnckmlgajfccecajhnimjiiedh
Fichier Trouvé : C:\Users\Yann\AppData\Roaming\Mozilla\Firefox\Profiles\0rem64sh.default\searchplugins\Search The Web.xml
Fichier Trouvé : C:\Users\Yann\AppData\Roaming\Mozilla\Firefox\Profiles\0rem64sh.default\user.js
          • [ Tâches planifiées ] *****
          • [ Raccourcis ] *****
          • [ Registre ] *****


Clé Trouvée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Trouvée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Trouvée : HKLM\SOFTWARE\Google\Chrome\Extensions\bopakagnckmlgajfccecajhnimjiiedh
Donnée Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
Valeur Trouvée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{21FA44EF-376D-4D53-9B0F-8A89D3229068}]
          • [ Navigateurs ] *****


-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v39.0 (x86 fr)

[0rem64sh.default] - Ligne Trouvée : user_pref("browser.search.order.1", "Search The Web");
[0rem64sh.default] - Ligne Trouvée : user_pref("browser.search.selectedEngine", "Search The Web");
[0rem64sh.default] - Ligne Trouvée : user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .title + .WRCN, #yui-main #teoma-results .title + .WRCN {display:inline !important; background: url(\"I[...]
[0rem64sh.default] - Ligne Trouvée : user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");

-\\ Google Chrome v43.0.2357.134


AdwCleaner[R0].txt - [2101 octets] - [21/07/2015 00:45:44]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2161 octets] ##########



# AdwCleaner v4.208 - Rapport créé le 21/07/2015 à 00:49:23
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Yann - GHISLAIN-PC
# Exécuté depuis : C:\Users\Yann\Downloads\AdwCleaner-4.208.exe
# Option : Nettoyer
          • [ Services ] *****
          • [ Fichiers / Dossiers ] *****


Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\Yann\AppData\Local\Google\Chrome\User Data\Default\Extensions\bopakagnckmlgajfccecajhnimjiiedh
Fichier Supprimé : C:\Users\Yann\AppData\Roaming\Mozilla\Firefox\Profiles\0rem64sh.default\searchplugins\Search The Web.xml
Fichier Supprimé : C:\Users\Yann\AppData\Roaming\Mozilla\Firefox\Profiles\0rem64sh.default\user.js
          • [ Tâches planifiées ] *****
          • [ Raccourcis ] *****
          • [ Registre ] *****


Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bopakagnckmlgajfccecajhnimjiiedh
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{21FA44EF-376D-4D53-9B0F-8A89D3229068}]
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
          • [ Navigateurs ] *****


-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v39.0 (x86 fr)

[0rem64sh.default\prefs.js] - Ligne Supprimée : user_pref("browser.search.order.1", "Search The Web");
[0rem64sh.default\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "Search The Web");
[0rem64sh.default\prefs.js] - Ligne Supprimée : user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .title + .WRCN, #yui-main #teoma-results .title + .WRCN {display:inline !important; background: url(\"I[...]
[0rem64sh.default\prefs.js] - Ligne Supprimée : user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");

-\\ Google Chrome v43.0.2357.134


AdwCleaner[R0].txt - [2241 octets] - [21/07/2015 00:45:44]
AdwCleaner[S0].txt - [2224 octets] - [21/07/2015 00:49:23]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2284 octets] ##########
0
stgeorges44 Messages postés 80 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour
merci pour l'aide. Les liens demandés (FRST - ADDITION - SHORTCUT):
- https://pjjoint.malekal.com/files.php?id=20150728_h5m15h13y9n5
- https://pjjoint.malekal.com/files.php?id=20150728_n12y10w13z6e5
- https://pjjoint.malekal.com/files.php?id=20150728_d5i14o11f6y5
salut
0
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok passe à FRST.
0
stgeorges44 Messages postés 80 Date d'inscription   Statut Membre Dernière intervention  
 
bonjour
je ne sais pas si tu as reçu la réponse que j'avais envoyé a la suite de mes rapports Adwcleaner du 21 juillet .... désolé si doublon.

Bonjour
merci pour l'aide. Les liens demandés (FRST - ADDITION - SHORTCUT):
- https://pjjoint.malekal.com/files.php?id=20150728_h5m15h13y9n5
- https://pjjoint.malekal.com/files.php?id=20150728_n12y10w13z6e5
- https://pjjoint.malekal.com/files.php?id=20150728_d5i14o11f6y5
salut
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Deux antivirus, cela ralentit le PC et peut provoquer des plantages.
Désinstalle celui en trop.

AV: Kaspersky Total Security (Enabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}


Fais ceci et vois ce que cela donne :

Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

0