Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Publicités intempestives sur mon PC


lorette

Messages recommandés

Bonjour,

 

Une fois déjà vous m'avez aidez à me débarrasser de " pubs intempestives " ( c'était le titre du sujet ) me revoilà avec le même problème d'invitations à des sites pornos à l'ouverture de la recherche internet ... Je partage l'ordinateur avec de grands enfants, je ne maitrise donc pas forcement la gestion de l'installation des programmes :P

 

En tous cas, merci si vous pouvez encore m'aider comme l'autre fois ! :P ( merci aussi de votre patience si je n'arrive pas du premier coup toutes les opérations nécessaires ... )

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

la dernière fois, c'est moi qui ai traité l'infection, qui venait d'un logiciel piégé installé.

J'espère que ce n'est pas le même...

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    Ca fait deux rapports donc. :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

la dernière fois, c'est moi qui ai traité l'infection, qui venait d'un logiciel piégé installé.

J'espère que ce n'est pas le même...

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    Ca fait deux rapports donc. :P

 

 

Coucou Falkra ! Bon, je sens que je vais me faire engeuler, argh ! je suis prête !!!

voilà le premier rapport :

info.txt logfile of random's system information tool 1.05 2009-02-27 16:33:33

 

======Uninstall list======

 

-->C:\Windows\unin040c.exe -f"C:\Program Files\EA SPORTS\LNF Manager 2002\DeIsL2.isu"

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FC4F90EC-B1DA-11D9-9D77-000129760D75}\setup.exe" -uninstall

Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL

Acer eMode Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall

Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c -removeonly

Acer ePerformance Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D462BF9E-0C35-4705-BF9B-3DF9F3816643}\setup.exe" -l0x40c -removeonly

Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly

Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c -removeonly

Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Reader 8.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}

Adobe Shockwave Player-->C:\Windows\System32\Adobe\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Adobe\SHOCKW~1\Install.log

Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}

aTube Catcher 1.0-->"C:\Program Files\DsNET Corp\aTube Catcher 1.0\unins000.exe"

avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup

Camfrog Video Chat 5.1 (remove only)-->"C:\Program Files\Camfrog\Camfrog Video Chat\uninstall.exe"

CamStudio 2.0 Fr-->"C:\Program Files\CamStudio\unins000.exe"

CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"

Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}

Codeur Windows Media Série 9-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}

Codeur Windows Media Série 9-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}

Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)-->MsiExec.exe /X{175B7C4A-CAF8-437A-B597-73E0D2D970FE}

DJ FACILE 1.2.0.4-->"C:\adj\unins000.exe"

DJ Mix Pro-->C:\Program Files\DJ Mix Pro\uninstall.exe

Dofus 1.24.0-->D:\Dofus\uninstall.exe

Dofus 1.25.0-->D:\Dofus\uninstall.exe

eoEngine 9.1-->"C:\Program Files\EoRezo\unins000.exe"

Favorit-->c:\users\cat\appdata\local\opxbab.bat

Galerie de photos Windows Live-->MsiExec.exe /X{44E54A81-9D91-4AA1-9417-80AFF134F5FF}

Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}

Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar2.dll"

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

Hotfix for Windows Media Encoder (KB929182)-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} MSIPATCHREMOVE={5406B219-A1AC-4BC4-8695-72292C8195AC} /qb

Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe

Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}

Java 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}

Java 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}

Java 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}

Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}

K-Lite Mega Codec Pack 1.52-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"

Lexmark 5400 Series-->C:\Program Files\Lexmark 5400 Series\Install\x86\Uninst.exe

Lexmark Barre d'outils-->regsvr32.exe /s /u "C:\Program Files\Lexmark Toolbar\toolband.dll"

LFP Manager 06-->C:\Program Files\EA SPORTS\LFP Manager 06\EAUninstall.exe

Ludi-->C:\Program Files\Ludi\uninstall.exe

MasterCook 5 : LGLC-->C:\Windows\IsUn040c.exe -f"C:\SIERRA\MasterCook 5\Uninst.isu" -c"C:\SIERRA\MasterCook 5\uninst32.DLL"

Menus intelligents (Windows Live Toolbar)-->MsiExec.exe /X{3585ED1C-74C5-43B0-A232-831B96A12A2B}

Messenger Plus! Live & Sponsor (CiD)-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"

Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Encarta 2007 - Études-->MsiExec.exe /I{07181881-E9B4-4DF6-A845-CAAFD093E477}

Microsoft Encarta Maths-->MsiExec.exe /I{07183840-959A-4B0D-8825-2C533F0DDB19}

Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}

Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}

Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}

Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}

Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Mise à jour Encarta_Les Indispensables Éducation-->RunDll32.exe advpack.dll, LaunchINFSectionEx C:\Program Files\Learning Essentials\1.0\fr\FR\WBEncarta\Uninstall\Uninstall.inf,Uninstall,,,N

Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}

MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

Navilog1 3.6.5-->"C:\Program Files\Navilog1\unins000.exe"

NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly

NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7

Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"

Phototool 1.8-->C:\PROGRA~1\PHOTOT~1\UNWISE.EXE C:\PROGRA~1\PHOTOT~1\INSTALL.LOG

PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.exe" -uninstall

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly

Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Security Update for Windows Media Encoder (KB954156)-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} MSIPATCHREMOVE={E836F1B7-43FB-46B0-A0D9-E4D2A5951659} /qb

SFR - Kit de connexion-->C:\Program Files\Neuf\Kit\uninstall.exe

SoftwareUpdate 1.0-->"C:\Users\Méthylène\AppData\Roaming\eoRezo\SoftwareUpdate\unins000.exe"

Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}

SweetIM For Internet Explorer 3.0b-->MsiExec.exe /X{F6D63A65-BD23-46F3-B9A3-87F442423481}

Trickster Online-->C:\Trickster Online\uninst.exe

Webcam Essentiel B Glob'mobile-->C:\Program Files\InstallShield Installation Information\{ECD03DA7-5952-406A-8156-5F0C93618D1F}\setup.exe -runfromtemp -l0x040c -removeonly

Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}

Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}

Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}

Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}

Windows Live Sync-->MsiExec.exe /X{9C5EB781-0D37-44B8-9A58-77B3E4BF5F5E}

Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}

Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}

Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

 

======Security center information======

 

AV: avast! antivirus 4.8.1335 [VPS 090226-0]

AS: Windows Defender

AS: avast! antivirus 4.8.1335 [VPS 090226-0]

 

System event log

 

Computer Name: PC-de-utilisate

Event Code: 7036

Message: Le service Cliché instantané de volume est entré dans l'état : en cours d'exécution.

Record Number: 251569

Source Name: Service Control Manager

Time Written: 20090227142451.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 10029

Message: DCOM a démarré le service swprv avec les arguments «  » de façon à exécuter le serveur :

{65EE1DBA-8FF4-4A58-AC1C-3470EE2F376A}

Record Number: 251570

Source Name: Microsoft-Windows-DistributedCOM

Time Written: 20090227142451.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 7036

Message: Le service Fournisseur de cliché instantané de logiciel Microsoft est entré dans l'état : en cours d'exécution.

Record Number: 251571

Source Name: Service Control Manager

Time Written: 20090227142452.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 7036

Message: Le service Cliché instantané de volume est entré dans l'état : arrêté.

Record Number: 251572

Source Name: Service Control Manager

Time Written: 20090227142752.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 7036

Message: Le service Fournisseur de cliché instantané de logiciel Microsoft est entré dans l'état : arrêté.

Record Number: 251573

Source Name: Service Control Manager

Time Written: 20090227143052.000000-000

Event Type: Information

User:

 

Application event log

 

Computer Name: PC-de-utilisate

Event Code: 1000

Message: Application défaillante msnmsgr.exe, version 14.0.8064.206, horodatage 0x498cf586, module défaillant APISlice.dll_unloaded, version 0.0.0.0, horodatage 0x455bf4c1, code d’exception 0xc0000005, décalage d’erreur 0x00958cc8, ID du processus 0xff4, heure de début de l’application 0x01c998d7e9efcc8c.

Record Number: 117157

Source Name: Application Error

Time Written: 20090227123647.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-de-utilisate

Event Code: 1001

Message: Récipient d’erreurs 476875382, type 5

Événement : BEX

Réponse : Aucun

ID de CAB : 0

 

Signature du problème :

P1 : msnmsgr.exe

P2 : 14.0.8064.206

P3 : 498cf586

P4 : APISlice.dll_unloaded

P5 : 0.0.0.0

P6 : 455bf4c1

P7 : 00958cc8

P8 : c0000005

P9 : 00000008

P10 :

 

Fichiers joints :

C:\Users\Méthylène\AppData\Local\Temp\WERD94D.tmp.version.txt

 

Ces fichiers sont peut-être disponibles ici :

C:\Users\Méthylène\AppData\Local\Microsoft\Windows\WER\ReportArchive\Report03df1708

Record Number: 117158

Source Name: Windows Error Reporting

Time Written: 20090227123704.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 1

Message: Le service Centre de sécurité Windows a démarré.

Record Number: 117159

Source Name: SecurityCenter

Time Written: 20090227123729.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 8224

Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé.

Record Number: 117160

Source Name: VSS

Time Written: 20090227142752.000000-000

Event Type: Information

User:

 

Computer Name: PC-de-utilisate

Event Code: 5

Message: Unsupported service control request (see data below)

Record Number: 117161

Source Name: LightScribeService

Time Written: 20090227153330.000000-000

Event Type: Information

User:

 

Security event log

 

Computer Name: PC-de-utilisate

Event Code: 4624

Message: L’ouverture de session d’un compte s’est correctement déroulée.

 

Sujet :

ID de sécurité : S-1-0-0

Nom du compte : -

Domaine du compte : -

ID d’ouverture de session : 0x0

 

Type d’ouverture de session : 0

 

Nouvelle ouverture de session :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Informations sur le processus :

ID du processus : 0x4

Nom du processus :

 

Informations sur le réseau :

Nom de la station de travail : -

Adresse du réseau source : -

Port source : -

 

Informations détaillées sur l’authentification :

Processus d’ouverture de session : -

Package d’authentification : -

Services en transit : -

Nom du package (NTLM uniquement) : -

Longueur de la clé : 0

 

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

 

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

 

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

 

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

 

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

 

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.

- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .

- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.

- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.

- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Record Number: 73717

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20080819014444.640650-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-utilisate

Event Code: 4902

Message: La table de stratégie d’audit par utilisateur a été créée.

 

Nombre d’éléments : 0

ID de la stratégie : 0x10476

Record Number: 73718

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20080819014445.015053-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-utilisate

Event Code: 4648

Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-UTILISATE$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Compte dont les informations d’identification ont été utilisées :

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Serveur cible :

Nom du serveur cible : localhost

Informations supplémentaires : localhost

 

Informations sur le processus :

ID du processus : 0x264

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Adresse du réseau : -

Port : -

 

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.

Record Number: 73719

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20080819014445.685857-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-utilisate

Event Code: 4624

Message: L’ouverture de session d’un compte s’est correctement déroulée.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-UTILISATE$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

 

Type d’ouverture de session : 5

 

Nouvelle ouverture de session :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Informations sur le processus :

ID du processus : 0x264

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Nom de la station de travail :

Adresse du réseau source : -

Port source : -

 

Informations détaillées sur l’authentification :

Processus d’ouverture de session : Advapi

Package d’authentification : Negotiate

Services en transit : -

Nom du package (NTLM uniquement) : -

Longueur de la clé : 0

 

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

 

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

 

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

 

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

 

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

 

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.

- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .

- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.

- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.

- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Record Number: 73720

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20080819014445.685857-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-utilisate

Event Code: 4672

Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

 

Privilèges : SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

Record Number: 73721

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20080819014445.685857-000

Event Type: Succès de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 2, GenuineIntel

"PROCESSOR_REVISION"=0602

"NUMBER_OF_PROCESSORS"=2

 

-----------------EOF-----------------

Lien vers le commentaire
Partager sur d’autres sites

et le deuxième, enfin je crois ...Logfile of random's system information tool 1.05 (written by random/random)

Run by Méthylène at 2009-02-27 16:33:00

Microsoft® Windows Vista Édition Familiale Basique

System drive C: has 25 GB (34%) free of 73 GB

Total RAM: 447 MB (29% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:33:25, on 27/02/2009

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16809)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Users\Méthylène\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe

C:\Windows\tsnpstd3.exe

C:\Windows\vsnpstd3.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\EoRezo\EoEngine.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Méthylène\RSIT.exe

C:\Program Files\trend micro\Méthylène.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://lo.st#first

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O3 - Toolbar: (no name) - {D53E4ACF-EDF5-4071-903B-F84B64FC1EA2} - (no file)

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"

O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe

O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"

O4 - HKLM\..\RunOnce: [softwareHelper] C:\Users\Méthylène\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)

O13 - Gopher Prefix:

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: lxct_device - - C:\Windows\system32\lxctcoms.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

 

--

End of file - 8595 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}]

Lexmark Barre d'outils - C:\Program Files\Lexmark Toolbar\toolband.dll [2006-08-09 184320]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]

Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2008-12-04 92504]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2008-11-10 320920]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

Google Toolbar Helper - c:\program files\google\googletoolbar2.dll [2007-01-19 2436160]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}]

EoBHO Class - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll [2008-11-18 42792]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2008-11-10 34816]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - Acer eDataSecurity Management - C:\Windows\system32\eDStoolbar.dll [2006-11-16 151552]

{1017A80C-6F09-4548-A84D-EDD6AC9525F0} - Lexmark Barre d'outils - C:\Program Files\Lexmark Toolbar\toolband.dll [2006-08-09 184320]

{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

{D53E4ACF-EDF5-4071-903B-F84B64FC1EA2}

{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2007-12-12 1006264]

"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2006-11-09 3784704]

"WarReg_PopUp"=C:\Acer\WR_PopUp\WarReg_PopUp.exe [2006-11-05 57344]

"eDataSecurity Loader"=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe [2006-11-17 453120]

"PCMService"=C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe [2006-11-25 151552]

"LXCTCATS"=rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll []

"tsnpstd3"=C:\Windows\tsnpstd3.exe [2007-04-21 270336]

"snpstd3"=C:\Windows\vsnpstd3.exe [2007-05-10 835584]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2008-11-10 136600]

"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-02-05 81000]

"EoEngine"=C:\Program Files\EoRezo\EoEngine.exe [2009-02-23 472872]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"SoftwareHelper"=C:\Users\Méthylène\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [2008-12-09 368224]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ISUSPM Startup"=C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [2005-08-11 249856]

"swg"=C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [2008-02-13 171448]

"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]

"ccleaner"=C:\Program Files\CCleaner\ccleaner.exe [2008-02-20 816368]

"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"LogonHoursAction"=2

"DontDisplayLogonHoursWarnings"=1

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"FilterAdministratorToken"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe"="C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu"

"C:\Acer\Empowering Technology\eDataSecurity\encryption.exe"="C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption"

"C:\Acer\Empowering Technology\eDataSecurity\decryption.exe"="C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption"

"D:\bittorent\BitTorrent\bittorrent.exe"="D:\bittorent\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d284b8e-cb78-11dd-a3ce-001921493cca}]

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

shell\Open(&0)\command - Recycled\ctfmon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb38ffde-3559-11dd-b74e-001921493cca}]

shell\Auto\command - cmd /C launch.bat

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb8238d1-74af-11dd-bb4a-001921493cca}]

shell\AutoRun\command - J:\EmDesk.exe

shell\EmDesk\command - J:\EmDesk.exe

 

 

======List of files/folders created in the last 1 months======

 

2009-02-27 16:33:04 ----D---- C:\Program Files\trend micro

2009-02-27 16:33:00 ----D---- C:\rsit

2009-02-27 09:13:27 ----D---- C:\Program Files\Pivot Stickfigure Animator

2009-02-22 04:36:41 ----A---- C:\Windows\system32\infocardapi.dll

2009-02-22 04:36:36 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll

2009-02-22 04:36:30 ----A---- C:\Windows\system32\icardagt.exe

2009-02-22 04:36:29 ----A---- C:\Windows\system32\PresentationHostProxy.dll

2009-02-22 04:36:29 ----A---- C:\Windows\system32\icardres.dll

2009-02-22 04:36:13 ----A---- C:\Windows\system32\PresentationNative_v0300.dll

2009-02-22 04:35:28 ----A---- C:\Windows\system32\PresentationHost.exe

2009-02-21 12:43:58 ----D---- C:\Program Files\Windows Live

2009-02-19 19:00:38 ----D---- C:\Program Files\DJ Mix Pro

2009-02-19 13:49:45 ----D---- C:\adj

2009-02-19 13:47:46 ----D---- C:\Program Files\EoRezo

2009-02-13 14:45:57 ----D---- C:\Program Files\Metin2_France

2009-02-11 06:06:09 ----A---- C:\Windows\system32\msfeeds.dll

2009-02-11 06:06:08 ----A---- C:\Windows\system32\mshtml.dll

2009-02-11 06:06:05 ----A---- C:\Windows\system32\ieframe.dll

2009-02-11 06:06:04 ----A---- C:\Windows\system32\urlmon.dll

2009-02-11 06:06:03 ----A---- C:\Windows\system32\wininet.dll

2009-02-11 06:06:03 ----A---- C:\Windows\system32\mshtmled.dll

2009-02-11 06:06:02 ----A---- C:\Windows\system32\mstime.dll

2009-02-11 06:06:02 ----A---- C:\Windows\system32\ieapfltr.dll

2009-02-11 06:06:01 ----A---- C:\Windows\system32\ieui.dll

2009-02-11 06:06:01 ----A---- C:\Windows\system32\ie4uinit.exe

2009-02-11 06:06:01 ----A---- C:\Windows\system32\advpack.dll

2009-02-11 06:06:00 ----A---- C:\Windows\system32\iesetup.dll

2009-02-11 06:06:00 ----A---- C:\Windows\system32\iernonce.dll

2009-02-11 06:06:00 ----A---- C:\Windows\system32\dxtrans.dll

2009-02-11 06:05:59 ----A---- C:\Windows\system32\iertutil.dll

2009-02-11 06:05:58 ----A---- C:\Windows\system32\icardie.dll

2009-02-11 06:05:58 ----A---- C:\Windows\system32\dxtmsft.dll

2009-02-11 06:05:57 ----A---- C:\Windows\system32\jsproxy.dll

2009-02-11 06:05:57 ----A---- C:\Windows\system32\ieUnatt.exe

2009-02-11 06:05:56 ----A---- C:\Windows\system32\pngfilt.dll

2009-02-06 18:52:40 ----A---- C:\Windows\system32\sirenacm.dll

2009-02-06 06:14:42 ----A---- C:\Windows\system32\dfshim.dll

2009-02-06 06:14:37 ----A---- C:\Windows\system32\mscoree.dll

2009-02-06 06:14:34 ----A---- C:\Windows\system32\netfxperf.dll

2009-02-06 06:14:14 ----A---- C:\Windows\system32\mscorier.dll

2009-02-06 06:14:02 ----A---- C:\Windows\system32\mscories.dll

 

======List of files/folders modified in the last 1 months======

 

2009-02-27 22:10:49 ----D---- C:\Windows\system32\config

2009-02-27 22:10:38 ----D---- C:\Windows\Tasks

2009-02-27 22:10:38 ----D---- C:\Windows\system32\spool

2009-02-27 22:10:38 ----D---- C:\Windows\system32\catroot2

2009-02-27 22:10:38 ----D---- C:\Windows\System32

2009-02-27 22:10:36 ----D---- C:\Windows\system32\wbem

2009-02-27 22:10:36 ----D---- C:\Windows\registration

2009-02-27 16:33:10 ----D---- C:\Windows\Temp

2009-02-27 16:33:06 ----D---- C:\Windows\Prefetch

2009-02-27 16:33:04 ----RD---- C:\Program Files

2009-02-27 15:37:11 ----D---- C:\Users\Méthylène\AppData\Roaming\EoRezo

2009-02-27 14:42:12 ----D---- C:\Program Files\Lx_cats

2009-02-27 13:37:38 ----D---- C:\Windows\Minidump

2009-02-27 13:37:38 ----D---- C:\Windows

2009-02-27 13:34:22 ----D---- C:\Program Files\Microsoft Silverlight

2009-02-27 13:25:41 ----SHD---- C:\Windows\Installer

2009-02-27 13:20:59 ----SHD---- C:\System Volume Information

2009-02-24 05:59:20 ----RD---- C:\Users

2009-02-22 06:20:27 ----D---- C:\Windows\Microsoft.NET

2009-02-22 06:20:19 ----RSD---- C:\Windows\assembly

2009-02-22 04:52:05 ----D---- C:\Windows\system32\XPSViewer

2009-02-22 04:52:05 ----D---- C:\Windows\system32\en-US

2009-02-22 04:45:26 ----D---- C:\Windows\winsxs

2009-02-22 04:43:59 ----D---- C:\Windows\system32\catroot

2009-02-21 12:51:25 ----SD---- C:\ProgramData\Microsoft

2009-02-21 12:45:33 ----D---- C:\Program Files\Common Files\microsoft shared

2009-02-18 22:12:11 ----D---- C:\Program Files\Mozilla Firefox

2009-02-14 02:09:05 ----D---- C:\Users\Méthylène\AppData\Roaming\BitTorrent

2009-02-11 09:37:32 ----D---- C:\Windows\Debug

2009-02-11 09:33:54 ----D---- C:\Windows\system32\migration

2009-02-11 09:33:54 ----D---- C:\Program Files\Internet Explorer

2009-02-11 09:33:53 ----D---- C:\Windows\AppPatch

2009-02-11 06:48:39 ----D---- C:\Program Files\Windows Mail

2009-02-08 02:29:50 ----D---- C:\Windows\system32\drivers

2009-02-05 22:11:35 ----A---- C:\Windows\system32\aswBoot.exe

2009-02-04 00:21:12 ----A---- C:\Windows\system32\mrt.exe

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 aswRdr;aswRdr; C:\Windows\system32\drivers\aswRdr.sys [2009-02-05 23152]

R1 aswSP;avast! Self Protection; C:\Windows\system32\drivers\aswSP.sys [2009-02-05 114768]

R1 aswTdi;avast! Network Shield Support; C:\Windows\system32\drivers\aswTdi.sys [2009-02-05 51376]

R2 aswFsBlk;aswFsBlk; C:\Windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]

R2 aswMonFlt;aswMonFlt; C:\Windows\system32\DRIVERS\aswMonFlt.sys [2009-02-05 51792]

R2 int15;int15; \??\C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 76584]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2006-11-08 1647976]

R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2006-12-15 6144]

R3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-24 2085888]

R3 SNPSTD3;USB PC Camera (SNPSTD3); C:\Windows\system32\DRIVERS\snpstd3.sys [2007-11-20 10401024]

R3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2006-11-02 71552]

R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2006-11-02 35328]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]

R3 yukonwlh;Pilote miniport NDIS6.0 pour contrôleur Ethernet Marvell Yukon; C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-02 194048]

S3 bfastfao;bfastfao; \??\C:\Users\ADMINI~2\AppData\Local\Temp\bfastfao.sys []

S3 catchme;catchme; \??\C:\Users\MTHYLN~1\AppData\Local\Temp\catchme.sys []

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]

S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]

S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]

S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]

S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]

S3 NPPTNT2;NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [2005-01-04 4682]

S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2006-11-02 39936]

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-06-14 611664]

R2 AcerMemUsageCheckService;ePerformance Service; C:\Acer\Empowering Technology\ePerformance\MemCheck.exe [2006-11-12 24576]

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-02-05 18752]

R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2006-11-24 557056]

R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-02-05 138680]

R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe [2006-11-25 274520]

R2 CLSched;CyberLink Task Scheduler (CTS); C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe [2006-11-25 118870]

R2 eRecoveryService;eRecovery Service; C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe [2006-12-08 45056]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]

R2 lxct_device;lxct_device; C:\Windows\system32\lxctcoms.exe [2006-11-22 537520]

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-11-24 262247]

R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]

R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-02-05 254040]

R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-02-05 352920]

S2 CLTNetCnService;Symantec Lic NetConnect service; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []

S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-13 138168]

S3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2008-06-27 87288]

S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2006-11-02 22016]

S3 WAS;@%windir%\system32\inetsrv\iisres.dll,-30001; C:\Windows\system32\svchost.exe [2006-11-02 22016]

 

-----------------EOF-----------------

Lien vers le commentaire
Partager sur d’autres sites

Coucou Falkra ! Bon, je sens que je vais me faire engeuler, argh ! je suis prête !!!
Pas spécialement, mais là c'est exactement la même infection, et en plus il y en a d'autres, et je te retrouve avec Avast (qui ne te protège pas), or je t'avais soigneusement conseillé Antivir... etc.

 

Cette réinfection est logique... :P

Mais elle aurait pu être évitée...

 

  • Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).
     
  • Démarrer > Panneau de Configuration
     
  • Double clique sur l'icône Comptes d'utilisateurs
     
  • Clique ensuite sur Désactiver et valide.
     
  • Télécharge maintenant Navilog1 depuis-ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
     
  • Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.
     
  • Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.
     
  • Attends la fin de l'installation.

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

  • Sur le menu principal, choisis 1.
     
  • Suis les instructions et patiente.
     
  • Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps).
     
  • Appuie sur une touche ainsi que demandé.
     
  • Un document du Bloc-notes est créé : fixnavi.txt.
     
  • Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
     
  • Referme le Bloc-notes.

 

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

Lien vers le commentaire
Partager sur d’autres sites

je vais faire tout ça ... mais avant je te dois pour le moins des explications par rapport à antivir. le problème c'est que Antivir s'ouvre sans prévenir en pleine page au milieu des combats dans un donjon, ou des jeux où le temps est compté ... c'est pour ça que je l'ai enlevé, je sais que je n'aurais pas dû, mais il n'y aurait pas moyen de faire que Antivir soit plus discret ?

Lien vers le commentaire
Partager sur d’autres sites

voilà la bête !

Search Navipromo version 3.7.5 commencé le 27/02/2009 à 18:08:09,23

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

 

Microsoft® Windows Vista Édition Familiale Basique ( v6.0.6000 )

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : Default System BIOS

USER : Méthylène ( Not Administrator ! )

BOOT : Normal boot

 

Antivirus : avast! antivirus 4.8.1335 [VPS 090226-0] 4.8.1335 (Activated)

 

 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:71 Go (Free:24 Go)

D:\ (Local Disk) - NTFS - Total:70 Go (Free:18 Go)

E:\ (CD or DVD)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (USB)

 

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\Windows" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Recherche dossiers dans "C:\ProgramData" ***

 

 

*** Recherche dossiers dans "c:\users\mthyln~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\ADMINI~2\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\cat\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\JEAN-C~1\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\KALIFA~1\AppData\Local\virtualstore\Program Files" ***

 

 

 

*** Recherche dossiers dans "C:\Users\M‚thylŠne\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\ADMINI~2\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\cat\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\JEAN-C~1\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\KALIFA~1\AppData\Local" ***

 

 

 

 

*** Recherche dossiers dans "C:\Users\M‚thylŠne\AppData\Roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\ADMINI~2\appdata\roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\cat\appdata\roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\JEAN-C~1\appdata\roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\KALIFA~1\appdata\roaming" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\Windows\system32" *

 

* Recherche dans "C:\Users\M‚thylŠne\AppData\Local\Microsoft" *

 

* Recherche dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\windows\system32" *

 

* Recherche dans "C:\Users\M‚thylŠne\AppData\Local" *

 

* Recherche dans "C:\Users\ADMINI~2\AppData\Local" *

 

* Recherche dans "C:\Users\cat\AppData\Local" *

 

* Recherche dans "C:\Users\INVIT~1\AppData\Local" *

 

* Recherche dans "C:\Users\JEAN-C~1\AppData\Local" *

 

* Recherche dans "C:\Users\KALIFA~1\AppData\Local" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\Windows\system32" :

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local\Microsoft" :

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\windows\system32" :

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local" :

 

 

* Dans "C:\Users\ADMINI~2\AppData\Local" :

 

 

* Dans "C:\Users\cat\AppData\Local" :

 

opxbab.exe trouvé !

opxbab.dat trouvé !

opxbab_navps.dat trouvé !

opxbab.bat trouvé !

 

* Dans "C:\Users\INVIT~1\AppData\Local" :

 

 

* Dans "C:\Users\JEAN-C~1\AppData\Local" :

 

 

* Dans "C:\Users\KALIFA~1\AppData\Local" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 27/02/2009 à 18:19:48,17 ***

Lien vers le commentaire
Partager sur d’autres sites

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé.

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

  • Sur le menu principal, choisis 2.
     
  • Suis les instructions et patiente.
     
  • L'outil va t'informer qu'il redémarrera ton ordinateur.
     
  • Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres.
     
  • Appuie sur une touche ainsi que demandé.
     
  • Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement.
     
  • Choisis ta session habituelle si nécessaire.
     
  • Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps).
     
  • Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver.
     
  • Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
     
  • Referme le Bloc-notes.
     
  • Ton Bureau va réapparaître.

 

Réactive le contrôle des comptes utilisateurs (UAC-User Account Control).

 

Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

 

------------

Après avoir posté ce rapport, voici la suite :

------------

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

NB : MBAM te demandera à redémarrer, fais-le, et ajoute un rapport hijackThis stp. (ça fera 3 rapports en tout, tu peux faire 3 posts).

Lien vers le commentaire
Partager sur d’autres sites

1er rapport :

Clean Navipromo version 3.7.5 commencé le 27/02/2009 à 18:37:45,78

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

 

Microsoft® Windows Vista Édition Familiale Basique ( v6.0.6000 )

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : Default System BIOS

USER : Méthylène ( Not Administrator ! )

BOOT : Normal boot

 

Antivirus : avast! antivirus 4.8.1335 [VPS 090226-0] 4.8.1335 (Activated)

 

 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:71 Go (Free:24 Go)

D:\ (Local Disk) - NTFS - Total:70 Go (Free:18 Go)

E:\ (CD or DVD)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (USB)

 

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\Windows\System32" *

 

 

* Suppression dans "C:\Users\M‚thylŠne\AppData\Local\Microsoft" *

 

 

* Suppression dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\windows\system32" *

 

 

* Suppression dans "C:\Users\M‚thylŠne\AppData\Local" *

 

 

* Suppression dans "C:\Users\ADMINI~2\AppData\Local" *

 

 

* Suppression dans "C:\Users\cat\AppData\Local" *

 

 

* Suppression dans "C:\Users\INVIT~1\AppData\Local" *

 

 

* Suppression dans "C:\Users\JEAN-C~1\AppData\Local" *

 

 

* Suppression dans "C:\Users\KALIFA~1\AppData\Local" *

 

 

 

*** Suppression dossiers dans "C:\Windows" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Suppression dossiers dans "C:\ProgramData" ***

 

 

*** Suppression dossiers dans c:\users\mthyln~1\appdata\roaming\micros~1\windows\startm~1\programs ***

 

 

*** Suppression dossiers dans "C:\Users\ADMINI~2\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\cat\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\JEAN-C~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\KALIFA~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\ADMINI~2\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\cat\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\JEAN-C~1\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\KALIFA~1\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\M‚thylŠne\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\ADMINI~2\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\cat\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\INVIT~1\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\JEAN-C~1\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\KALIFA~1\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\M‚thylŠne\AppData\Roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\ADMINI~2\appdata\roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\cat\appdata\roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\JEAN-C~1\appdata\roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\KALIFA~1\appdata\roaming" ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\MTHYLN~1\AppData\Local\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\Windows\system32" *

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local\Microsoft" *

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local\virtualstore\windows\system32" *

 

 

* Dans "C:\Users\M‚thylŠne\AppData\Local" *

 

 

* Dans "C:\Users\ADMINI~2\AppData\Local" *

 

 

* Dans "C:\Users\cat\AppData\Local" *

 

 

opxbab.exe trouvé !

Copie opxbab.exe réalisée avec succès !

opxbab.exe supprimé !

 

opxbab.dat trouvé !

Copie opxbab.dat réalisée avec succès !

opxbab.dat supprimé !

 

opxbab_navps.dat trouvé !

Copie opxbab_navps.dat réalisée avec succès !

opxbab_navps.dat supprimé !

 

opxbab.bat trouvé !

Copie opxbab.bat réalisée avec succès !

opxbab.bat supprimé !

 

 

* Dans "C:\Users\INVIT~1\AppData\Local" *

 

 

* Dans "C:\Users\JEAN-C~1\AppData\Local" *

 

 

* Dans "C:\Users\KALIFA~1\AppData\Local" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

 

 

*** Recherche autres dossiers et fichiers connus ***

 

 

 

*** Nettoyage terminé le 27/02/2009 à 18:43:50,95 ***

Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en Publicités intempestives sur mon PC

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...