infection Vundo.JW sur tdlcmd.dll

[alleztenir]

Bonjour,

J'ai trouvé d'autres sujets qui traitent du même problème que le mien, mais apparemment, chaque solution est personnalisée...

Ma protection : AVG antivirus et Sunbelt Personal Firewall

Mon problème : mon antivirus détecte tous les jours un cheval de troie nommé "Vundo.JW" sur C:\windows\system32\tdlcmd.dll, qu'il me propose uniquement de mettre en quarantaine... puis il revient le lendemain...

Ci-dessous, les rapports obtenus avec RSIT.

Pouvez-vous m'aider svp?

Grand merci

Fred

 

Log.txt

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Fred at 2010-01-20 20:34:28

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2

System drive C: has 46 GB (32%) free of 146 GB

Total RAM: 3066 MB (52% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:34:49, on 20/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Programmes\AVG\AVG9\avgtray.exe

C:\Programmes\Kerio Personal Firewall\SbPFCl.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Programmes\iTunes\iTunes.exe

C:\Programmes\Mozilla Firefox\firefox.exe

C:\Programmes\AVG\AVG9\avgui.exe

C:\Users\Fred\Desktop\RSIT.exe

C:\Program Files\trend micro\Fred.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O1 - Hosts: ::1 localhost

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmes\AVG\AVG9\avgssie.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~3\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~3\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programmes\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)

O13 - Gopher Prefix:

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmes\AVG\AVG9\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmes\AVG\AVG9\avgwdsvc.exe

O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe

O23 - Service: ExtraFilm upload service (EFUploadSrv) - Textalk AB - C:\Programmes\ExtraFilm Designer BE FR\EFUploadSrv.exe

O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programmes\Kerio Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programmes\Kerio Personal Firewall\SbPFSvc.exe

 

--

End of file - 5323 bytes

 

======Scheduled tasks folder======

 

C:\Windows\tasks\AppleSoftwareUpdate.job

C:\Windows\tasks\Install_NSS.job

C:\Windows\tasks\Maintenance en 1 clic.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]

AVG Safe Search - C:\Programmes\AVG\AVG9\avgssie.dll [2010-01-02 1484056]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - Acer eDataSecurity Management - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll [2008-03-04 142896]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"AVG9_TRAY"=C:\PROGRA~3\AVG\AVG9\avgtray.exe [2010-01-03 2033432]

"WarReg_PopUp"=C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe [2008-01-29 303104]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLS"="avgrsstx.dll"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"EnableLUA"=0

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"FilterAdministratorToken"=1

"EnableUIADesktopToggle"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"BindDirectlyToPropertySetStorage"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2212478c-aa03-11de-8f39-0016ea55ddc4}]

shell\AutoRun\command - G:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a89f303-94af-11dd-976f-0016ea55ddc4}]

shell\AutoRun\command - F:\autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d6f4d29-a2cf-11de-b2c2-0016ea55ddc4}]

shell\AutoRun\command - rx.exe

shell\open\command - rx.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abd7f3aa-c221-11dd-bff7-eb8298eb2b89}]

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d946b950-94bc-11dd-a76f-806e6f6e6963}]

shell\AutoRun\command - E:\setup.exe

 

 

======List of files/folders created in the last 3 months======

 

2010-01-20 20:34:29 ----D---- C:\Program Files\trend micro

2010-01-20 20:34:28 ----D---- C:\rsit

2010-01-20 19:48:24 ----A---- C:\Windows\system32\tdlcmd.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Wint351.exe

2010-01-19 21:06:39 ----A---- C:\Windows\system32\VBAR332.DLL

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Vb5db.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\MSREPL35.DLL

2010-01-19 21:06:39 ----A---- C:\Windows\system32\MSJTER35.DLL

2010-01-19 21:06:39 ----A---- C:\Windows\system32\MSJINT35.DLL

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Dzip32.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Dunzip32.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Dtcutil.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Dtctrace.dll

2010-01-19 21:06:39 ----A---- C:\Windows\system32\Dtccm.dll

2010-01-19 21:06:38 ----A---- C:\Windows\system32\MSXBSE35.DLL

2010-01-19 21:06:38 ----A---- C:\Windows\system32\Msvbvm50.dll

2010-01-19 21:06:38 ----A---- C:\Windows\system32\MSRD2X35.DLL

2010-01-19 21:06:38 ----A---- C:\Windows\system32\Axdist.exe

2010-01-19 21:06:37 ----A---- C:\Windows\system32\MSJET35.DLL

2010-01-19 21:06:37 ----A---- C:\Windows\system32\Dzactx.dll

2010-01-19 21:06:37 ----A---- C:\Windows\system32\Duzactx.dll

2010-01-19 21:06:36 ----A---- C:\Windows\system32\Adme.dll

2010-01-19 21:06:36 ----A---- C:\Windows\system32\actrpt.dll

2010-01-19 21:06:28 ----D---- C:\Program Files\ING

2010-01-11 22:42:16 ----D---- C:\Program Files\Everest Poker

2010-01-07 10:36:30 ----D---- C:\Windows\Minidump

2010-01-02 14:24:26 ----HD---- C:\$AVG

2010-01-02 14:24:24 ----A---- C:\Windows\system32\avgrsstx.dll

2010-01-02 14:23:28 ----D---- C:\ProgramData\avg9

2010-01-02 14:23:28 ----D---- C:\Program Files\AVG

2009-12-28 23:12:35 ----D---- C:\Users\Fred\AppData\Roaming\DeepBurner

2009-11-19 20:56:29 ----D---- C:\Users\Fred\AppData\Roaming\Dropbox

2009-11-16 19:08:59 ----A---- C:\Windows\JCMKR32.INI

2009-11-16 19:07:53 ----D---- C:\ProgramData\LightScribe

 

======List of files/folders modified in the last 3 months======

 

2010-01-20 20:34:50 ----D---- C:\Windows\Prefetch

2010-01-20 20:34:29 ----RD---- C:\Program Files

2010-01-20 19:48:24 ----D---- C:\Windows\System32

2010-01-20 19:37:26 ----SHD---- C:\System Volume Information

2010-01-20 18:58:50 ----D---- C:\Windows\Temp

2010-01-20 17:19:20 ----D---- C:\Windows\inf

2010-01-20 17:19:20 ----A---- C:\Windows\system32\PerfStringBackup.INI

2010-01-20 17:14:22 ----D---- C:\Windows\system32\catroot2

2010-01-19 21:06:28 ----D---- C:\Programmes

2010-01-17 02:07:13 ----D---- C:\Users\Fred\AppData\Roaming\TeraCopy

2010-01-13 23:00:56 ----D---- C:\Users\Fred\AppData\Roaming\Azureus

2010-01-13 22:55:29 ----D---- C:\Windows\system32\Tasks

2010-01-13 22:55:28 ----D---- C:\Windows\Tasks

2010-01-11 22:42:54 ----A---- C:\Windows\win.ini

2010-01-07 10:36:30 ----D---- C:\Windows

2010-01-05 21:29:09 ----D---- C:\Users\Fred\AppData\Roaming\Adobe

2010-01-05 21:29:09 ----D---- C:\ProgramData\Adobe

2010-01-03 23:30:03 ----D---- C:\Windows\system32\config

2010-01-03 23:29:57 ----D---- C:\Windows\system32\spool

2010-01-03 23:29:57 ----D---- C:\Windows\system32\Msdtc

2010-01-03 23:29:57 ----D---- C:\Windows\system32\CodeIntegrity

2010-01-03 23:29:57 ----D---- C:\Users\Fred\AppData\Roaming\vlc

2010-01-03 23:29:56 ----D---- C:\Windows\system32\wbem

2010-01-03 23:29:56 ----D---- C:\Windows\registration

2010-01-03 23:26:14 ----D---- C:\Windows\system32\LogFiles

2010-01-03 22:49:41 ----D---- C:\Windows\ServiceProfiles

2010-01-03 22:49:40 ----D---- C:\Windows\system32\drivers

2010-01-03 22:29:21 ----AD---- C:\ProgramData\TEMP

2010-01-03 22:25:23 ----D---- C:\Users\Fred\AppData\Roaming\Skype

2010-01-03 22:03:28 ----D---- C:\Users\Fred\AppData\Roaming\skypePM

2010-01-03 21:52:53 ----SHD---- C:\Windows\Installer

2010-01-03 21:52:39 ----D---- C:\Windows\system32\catroot

2010-01-03 21:51:00 ----D---- C:\Windows\Internet Logs

2010-01-03 21:10:27 ----D---- C:\Jeux

2010-01-03 20:56:44 ----A---- C:\Users\Fred\AppData\Roaming\acervcmtmp.ini

2010-01-03 20:40:37 ----HD---- C:\Program Files\InstallShield Installation Information

2010-01-03 20:39:24 ----D---- C:\ProgramData\Codemasters

2010-01-03 17:22:29 ----D---- C:\Windows\SchCache

2010-01-02 14:26:55 ----D---- C:\Windows\winsxs

2010-01-02 14:23:28 ----HD---- C:\ProgramData

2010-01-02 00:05:03 ----D---- C:\Users\Fred\AppData\Roaming\dvdcss

2009-12-28 21:05:47 ----D---- C:\Program Files\Common Files

2009-12-25 18:39:55 ----D---- C:\Users\Fred\AppData\Roaming\Apple Computer

2009-12-25 10:56:52 ----D---- C:\ProgramData\Apple

2009-11-11 00:57:31 ----A---- C:\Windows\system32\PnkBstrB.exe

2009-10-29 13:28:04 ----D---- C:\Windows\Microsoft.NET

2009-10-29 13:20:31 ----RSD---- C:\Windows\assembly

2009-10-29 13:18:04 ----D---- C:\Program Files\Windows Live

2009-10-29 13:15:03 ----D---- C:\Program Files\Microsoft

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2010-01-02 333192]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2010-01-02 28424]

R1 AvgTdiX;AVG Free Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2010-01-02 360584]

R1 SbFw;SbFw; C:\Windows\system32\drivers\SbFw.sys [2008-10-31 270888]

R1 sbhips;Sunbelt HIPS Driver; C:\Windows\system32\drivers\sbhips.sys [2008-06-21 66600]

R2 int15;int15; \??\C:\Windows\system32\drivers\int15.sys [2008-03-21 15392]

R2 irda;IrDA Protocol; C:\Windows\system32\DRIVERS\irda.sys [2008-01-21 95744]

R2 PSDNServ;PSDNServ; C:\Windows\system32\DRIVERS\PSDNServ.sys [2008-03-04 16944]

R2 psdvdisk;PSDVdisk; C:\Windows\system32\DRIVERS\PSDVdisk.sys [2008-03-04 60464]

R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2008-03-01 1202560]

R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]

R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys [2009-03-19 23400]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2009-08-05 2745760]

R3 NETw5v32;Pilote de carte Intel® Wireless WiFi Link pour Windows Vista 32 bits ; C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]

R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2008-01-31 14848]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver; C:\Windows\system32\drivers\nvhda32v.sys [2009-05-11 64544]

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-08-19 9787488]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport; C:\Windows\system32\DRIVERS\sbfwim.sys [2008-06-21 65576]

R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-02-22 198064]

R3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]

R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]

R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2008-02-21 299008]

S3 adksrycx;adksrycx; C:\Windows\system32\drivers\adksrycx.sys []

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]

S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]

S3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]

S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2008-01-21 200704]

S3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys [2008-04-12 84240]

S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]

S3 MSPCLOCK;Microsoft Streaming Clock Proxy; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]

S3 MSPQM;Microsoft Streaming Quality Manager Proxy; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]

S3 MXOPSWD;Maxtor OneTouch Security Driver; C:\Windows\system32\DRIVERS\mxopswd.sys [2007-05-03 22152]

S3 NSCIRDA;NSC Infrared Device Driver; C:\Windows\system32\DRIVERS\nscirda.sys [2008-01-21 30720]

S3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-21 88576]

S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-05-29 39424]

S3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-10 73216]

S3 winachsf;winachsf; C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2008-01-21 654336]

S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]

S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]

S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2008-03-18 13312]

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-05-29 144712]

R2 avg9wd;AVG Free WatchDog; C:\Programmes\AVG\AVG9\avgwdsvc.exe [2010-01-02 285392]

R2 eDataSecurity Service;eDataSecurity Service; C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe [2008-03-04 500784]

R2 EFUploadSrv;ExtraFilm upload service; C:\Programmes\ExtraFilm Designer BE FR\EFUploadSrv.exe [2008-11-27 1712128]

R2 ETService;Empowering Technology Service; C:\Program Files\Acer\Empowering Technology\Service\ETService.exe [2008-03-21 24576]

R2 Irmon;@%SystemRoot%\System32\irmon.dll,-2000; C:\Windows\system32\svchost.exe [2008-01-21 21504]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440]

R2 Maxtor Sync Service;Maxtor Service; C:\Program Files\Maxtor\Sync\SyncServices.exe [2008-07-21 193888]

R2 MobilityService;MobilityService; C:\Acer\Mobility Center\MobilityService.exe [2007-12-06 110592]

R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-08-19 211488]

R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-09-17 66872]

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\Cyberlink\Shared files\RichVideo.exe [2009-04-17 247152]

R2 RS_Service;Raw Socket Service; C:\Program Files\Acer\Acer VCM\RS_Service.exe [2008-01-10 233472]

R2 SbPF.Launcher;SbPF.Launcher; C:\Programmes\Kerio Personal Firewall\SbPFLnch.exe [2008-10-31 95528]

R2 SPF4;Sunbelt Personal Firewall 4; C:\Programmes\Kerio Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]

R3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2009-05-30 541992]

S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [2008-10-29 68096]

S3 aspnet_state;Service d'état ASP.NET; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2009-03-29 31048]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]

S4 BUNAgentSvc;NTI Backup Now 5 Agent Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]

S4 NTIBackupSvc;NTI Backup Now 5 Backup Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-06 50424]

S4 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-04 131072]

 

-----------------EOF-----------------

 

 

 

 

 

 

info.txt

 

info.txt logfile of random's system information tool 1.06 2010-01-20 20:34:53

 

======Uninstall list======

 

-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}

Ace Utilities-->"C:\Programmes\Ace Utilities\uninstall.exe"

Acer Crystal Eye Webcam 3.0.3.1-->C:\Program Files\InstallShield Installation Information\{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}\setup.exe -runfromtemp -l0x040c -removeonly

Acer eAudio Management-->"C:\Program Files\InstallShield Installation Information\{57265292-228A-41FA-9AEC-4620CBCC2739}\Setup.exe" -uninstall

Acer eDataSecurity Management-->C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSnstHelper.exe -Operation UNINSTALL

Acer Empowering Technology-->"C:\Program Files\InstallShield Installation Information\{8F1B6239-FEA0-450A-A950-B05276CE177C}\setup.exe" -runfromtemp -l0x040c -removeonly

Acer ePower Management-->"C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\setup.exe" -runfromtemp -l0x040c -removeonly

Acer eRecovery Management-->"C:\Program Files\InstallShield Installation Information\{7F811A54-5A09-4579-90E1-C93498E230D9}\setup.exe" -runfromtemp -l0x040c -removeonly

Acer eSettings Management-->"C:\Program Files\InstallShield Installation Information\{13D85C14-2B85-419F-AC41-C7F21E68B25D}\setup.exe" -runfromtemp -l0x040c -removeonly

Acer GridVista-->C:\Windows\GVUni.exe GridV.UNI

Acer Mobility Center Plug-In-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11316260-6666-467B-AC34-183FCB5D4335}\setup.exe" -l0x40c -removeonly

Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly

Acer VCM-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{047F790A-7A2A-4B6A-AD02-38092BA63DAC}\setup.exe" -l0x40c -removeonly

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c

Adobe Reader 8.1.4-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81300000003}

Adobe Shockwave Player 11.5-->C:\Windows\system32\Adobe\uninstaller.exe

Agere Systems HDA Modem-->agrsmdel

Apple Mobile Device Support-->MsiExec.exe /I{659B48CD-0608-4ED5-94C0-0B6C87114F10}

Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}

Archiveur WinRAR-->C:\Programmes\WinRAR\uninstall.exe

Audacity 1.2.6-->"C:\Programmes\Audacity\unins000.exe"

AVG Free 9.0-->C:\Programmes\AVG\AVG9\setup.exe /UNINSTALL

BitComet 1.07-->C:\Programmes\BitComet\uninst.exe

Call of Duty® 4 - Modern Warfare-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0409

CyberLink PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\Setup.exe" /z-uninstall

CyberLink PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\Setup.exe" /z-uninstall

DeepBurner v1.9.0.228-->"C:\Programmes\DeepBurner\Uninstall.exe" "C:\Programmes\DeepBurner\install.log" -u

Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall

ExtraFilm Designer BE FR-->C:\Programmes\ExtraFilm Designer BE FR\Uninstall.exe

Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly

foobar2000 v0.9.6.8-->"C:\Programmes\foobar2000\uninstall.exe" _?=C:\Programmes\foobar2000

iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}

Java 2 Runtime Environment, SE v1.4.2-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142000}

Java 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}

JMicron JMB38X Flash Media Controller-->"C:\Program Files\InstallShield Installation Information\{26604C7E-A313-4D12-867F-7C6E7820BE4C}\setup.exe" delpkg

Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}

Launch Manager-->C:\Windows\UnInst32.exe LManager.UNI

Malwarebytes' Anti-Malware-->"C:\Programmes\Malwarebytes' Anti-Malware\unins000.exe"

Marvell Miniport Driver-->C:\Program Files\Marvell\Miniport Driver\Uninst.exe

Maxtor Manager-->"C:\Program Files\InstallShield Installation Information\{4D36E953-4456-4F8F-BC44-90BC4AA59889}\setup.exe" -runfromtemp -l0x040c -removeonly

Maxtor Manager-->MsiExec.exe /I{4D36E953-4456-4F8F-BC44-90BC4AA59889}

Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}

Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}

Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}

Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}

Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}

Mozilla Firefox (3.0.13)-->C:\Programmes\Mozilla Firefox\uninstall\helper.exe

MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}

MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}

Need for Speed™ Undercover-->MsiExec.exe /X{E6D22FE1-AB5F-42CA-9480-6F70B96DDD88}

NTI Backup Now 5-->C:\Program Files\InstallShield Installation Information\{12EFA1A4-AC3B-443C-8143-237EDE760403}\setup.exe -runfromtemp -l0x040c

NTI Media Maker 8-->C:\Program Files\InstallShield Installation Information\{2413930C-8309-47A6-BC61-5EF27A4222BC}\setup.exe -runfromtemp -l0x040c

NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI

NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}

OpenAL-->"C:\Program Files\OpenAL\OalinstGridRelease.exe" /U

PhotoFiltre-->"C:\Programmes\PhotoFiltre\Uninst.exe"

PictureProject-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FF3999BE-1A7B-4738-88AA-97BF14094A4A}\Setup.exe" -l0x40c UNINSTALL

Pro Evolution Soccer 6-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{EBB794ED-D282-4334-92FB-254481EFF514} /l1036

PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u

QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}

Realtek High Definition Audio Driver-->C:\Program Files\Realtek\Audio\HDA\RtlUpd.exe -r -m -nrg2709

Services Off-line de Home'Bank 4.55-->"C:\Program Files\ING\Off-line\unins000.exe"

Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}

SmartSound Quicktracks Plugin-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}

Sony Sound Forge 8.0-->MsiExec.exe /X{767572FD-4D01-4FA3-B0A6-4B09FB2CFC37}

Sunbelt Personal Firewall-->MsiExec.exe /X{82B1150E-9B37-49FC-83EB-D52197D900D0}

Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall

TeraCopy 1.22 Pro-->"C:\Programmes\TeraCopy\unins000.exe"

Tom Clancy's Ghost Recon Advanced Warfighter® 2-->"C:\Program Files\InstallShield Installation Information\{F78AC3C0-578C-49AB-BD4E-3107A6036A13}\Setup.exe" -runfromtemp -l0x040c -removeonly

Tom Clancy's H.A.W.X-->"C:\Program Files\InstallShield Installation Information\{6E36A172-06FB-4BC8-B7FC-D30D219E6776}\setup.exe" -runfromtemp -l0x040c -removeonly

TVAnts 1.0-->C:\PROGRA~3\TVAnts\UNWISE.EXE C:\PROGRA~3\TVAnts\INSTALL.LOG

VC 9.0 Runtime-->MsiExec.exe /I{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}

Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}

VLC media player 0.9.9-->C:\Programmes\VLC\uninstall.exe

Vuze-->C:\Programmes\Vuze\uninstall.exe

Windows Live Call-->MsiExec.exe /I{F6BD194C-4190-4D73-B1B1-C48C99921BFE}

Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}

Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe

Windows Live Essentials-->MsiExec.exe /I{81128EE8-8EAD-4DB0-85C6-17C2CE50FF71}

Windows Live Mail-->MsiExec.exe /I{6412CECE-8172-4BE5-935B-6CECACD2CA87}

Windows Live Messenger-->MsiExec.exe /X{A85FD55B-891B-4314-97A5-EA96C0BD80B5}

Windows Live Movie Maker-->MsiExec.exe /X{3D5044A5-97B8-45C0-B956-BB2376569188}

Windows Live Photo Gallery-->MsiExec.exe /X{D6C75F0B-3BC1-4FC9-B8C5-3F7E8ED059CA}

Windows Live Sign-in Assistant-->MsiExec.exe /I{45338B07-A236-4270-9A77-EBB4115517B5}

Windows Live Sync-->MsiExec.exe /X{84EBDF39-4B33-49D7-A0BD-EB6E2C4E81C1}

Windows Live Upload Tool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

Windows Live Writer-->MsiExec.exe /X{178832DE-9DE0-4C87-9F82-9315A9B03985}

 

======Security center information======

 

FW: Sunbelt Personal Firewall

AS: Windows Defender

 

======System event log======

 

Computer Name: FredGoethals

Event Code: 1002

Message: Le bail de l'adresse IP 192.168.1.12 pour la carte réseau dont l'adresse réseau est 0016EA55DDC4 a été refusé par le serveur DHCP 192.168.1.254 (celui-ci a envoyé un message DHCPNACK).

Record Number: 40273

Source Name: Microsoft-Windows-Dhcp-Client

Time Written: 20090107111005.000000-000

Event Type: Erreur

User:

 

Computer Name: FredGoethals

Event Code: 1003

Message:

Record Number: 40272

Source Name: Microsoft-Windows-Dhcp-Client

Time Written: 20090107111005.000000-000

Event Type: Avertissement

User:

 

Computer Name: FredGoethals

Event Code: 1003

Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 0016EA55DDC4. Il s'est produit l'erreur suivante :

Le délai de temporisation de sémaphore a expiré.. Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP).

Record Number: 40265

Source Name: Microsoft-Windows-Dhcp-Client

Time Written: 20090107110944.000000-000

Event Type: Avertissement

User:

 

Computer Name: FredGoethals

Event Code: 134

Message: NtpClient n'a pas pu définir d'homologue manuel à utiliser comme source de temps en raison d'une erreur de résolution DNS sur " time.windows.com,0x1 ". NtpClient réessaiera dans 15 minutes, et à nouveau une fois le double de l'intervalle de nouvelle tentative écoulé. L'erreur était : Hôte inconnu. (0x80072AF9)

Record Number: 40264

Source Name: Microsoft-Windows-Time-Service

Time Written: 20090107110920.000000-000

Event Type: Avertissement

User:

 

Computer Name: FredGoethals

Event Code: 134

Message: NtpClient n'a pas pu définir d'homologue manuel à utiliser comme source de temps en raison d'une erreur de résolution DNS sur " time.windows.com,0x1 ". NtpClient réessaiera dans 15 minutes, et à nouveau une fois le double de l'intervalle de nouvelle tentative écoulé. L'erreur était : Hôte inconnu. (0x80072AF9)

Record Number: 40258

Source Name: Microsoft-Windows-Time-Service

Time Written: 20090107110839.000000-000

Event Type: Avertissement

User:

 

=====Application event log=====

 

Computer Name: FredGoethals

Event Code: 8194

Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

 

Opération :

Données du rédacteur en cours de collecte

 

Contexte :

ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}

Nom du rédacteur: System Writer

ID d’instance du rédacteur: {9f05d701-f3fb-4dfc-9b06-150c43ed1424}

Record Number: 531

Source Name: VSS

Time Written: 20081007165658.000000-000

Event Type: Erreur

User:

 

Computer Name: FredGoethals

Event Code: 1000

Message: Application défaillante HomeMedia.exe, version 5.0.0.2727, horodatage 0x4767dfa1, module défaillant CLVistaAudioMixer.dll, version 1.0.0.2013, horodatage 0x46c06970, code d’exception 0xc0000005, décalage d’erreur 0x00002ab2, ID du processus 0x540, heure de début de l’application 0x01c9289d3f3898a0.

Record Number: 528

Source Name: Application Error

Time Written: 20081007165646.000000-000

Event Type: Erreur

User:

 

Computer Name: FredGoethals

Event Code: 10

Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.

Record Number: 492

Source Name: Microsoft-Windows-WMI

Time Written: 20081007222129.000000-000

Event Type: Erreur

User:

 

Computer Name: FredGoethals

Event Code: 1008

Message: Le service Windows Search tente de supprimer l’ancien catalogue.

 

Record Number: 488

Source Name: Microsoft-Windows-Search

Time Written: 20081007222127.000000-000

Event Type: Avertissement

User:

 

Computer Name: WIN-8MGB3JWMZ19

Event Code: 1036

Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.

Record Number: 477

Source Name: Microsoft-Windows-SpoolerSpoolss

Time Written: 20081007221539.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

=====Security event log=====

 

Computer Name: FredGoethals

Event Code: 5032

Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

 

Code d’erreur : 2

Record Number: 5584

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20081119170847.387911-000

Event Type: Échec de l'audit

User:

 

Computer Name: FredGoethals

Event Code: 5024

Message: Le démarrage du service Pare-feu Windows s’est correctement déroulé.

Record Number: 5583

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20081119170846.909911-000

Event Type: Succès de l'audit

User:

 

Computer Name: FredGoethals

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Programmes\Avira\AntiVir PersonalEdition Classic\avgntflt.sys

Record Number: 5582

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20081119170846.636911-000

Event Type: Échec de l'audit

User:

 

Computer Name: FredGoethals

Event Code: 4624

Message: L’ouverture de session d’un compte s’est correctement déroulée.

 

Sujet :

ID de sécurité : S-1-0-0

Nom du compte : -

Domaine du compte : -

ID d’ouverture de session : 0x0

 

Type d’ouverture de session : 3

 

Nouvelle ouverture de session :

ID de sécurité : S-1-5-7

Nom du compte : ANONYMOUS LOGON

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x233cc

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Informations sur le processus :

ID du processus : 0x0

Nom du processus : -

 

Informations sur le réseau :

Nom de la station de travail :

Adresse du réseau source : -

Port source : -

 

Informations détaillées sur l’authentification :

Processus d’ouverture de session : NtLmSsp

Package d’authentification : NTLM

Services en transit : -

Nom du package (NTLM uniquement) : NTLM V1

Longueur de la clé : 0

 

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

 

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

 

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

 

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

 

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

 

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.

- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .

- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.

- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.

- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Record Number: 5581

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20081119170846.114911-000

Event Type: Succès de l'audit

User:

 

Computer Name: FredGoethals

Event Code: 5033

Message: Le pilote du Pare-feu Windows est correctement démarré.

Record Number: 5580

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20081119170845.797909-000

Event Type: Succès de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64;C:\Program Files\Common Files\Ulead Systems\MPEG;C:\Program Files\QuickTime\QTSystem\

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel

"PROCESSOR_REVISION"=1706

"NUMBER_OF_PROCESSORS"=2

"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat

"DFSTRACINGON"=FALSE

"Pathtem"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"NTIPath"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\;

"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip

"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

 

-----------------EOF-----------------

[Falkra]

Bonsoir, bienvenue.

 

Messages : 1

Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts :

• Comment participer à un forum
  
• Retrouver ses messages
  

 

Désactive AVG avant ce qui suit.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

 

N'oublie pas de réactiver AVG (si Windows redémarre ça se fera tout seul).

[alleztenir]

Hello,

Merci pour ton aide,

Voici le rapport de MBAM :

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3604

Windows 6.0.6002 Service Pack 2

Internet Explorer 7.0.6002.18005

 

20/01/2010 21:44:36

mbam-log-2010-01-20 (21-44-36).txt

 

Type de recherche: Examen rapide

Eléments examinés: 99401

Temps écoulé: 7 minute(s), 32 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Falkra]

Désactive AVG avant ce qui suit, tu le réactiveras après avoir posté le rapport.

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\tdlcmd.dll
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

[alleztenir]

Je trouve le fichier sans problème, mais pas moyen de l'ouvrir comme tu me le demandes :

une fenêtre s'ouvre et me dit que je n'ai pas l'autorisation d'ouvrir le fichier, consultez les propriétaire du fichier ou l'administrateur pour obtenir cette autorisation.

La seule action que je sache faire est cliquer sur OK...

[Falkra]

Es-tu administrateur de ton PC ?

Peux-tu faire un copier coller du fichier vers le bureau ? (un double du fichier, sans déplacer le premier)

[alleztenir]

Je suis bien administrateur de mon PC, c'est la première fois qu'il m'interdit d'accéder à un fichier.

Accès refusé également si j'essaye de le copier sur mon bureau

 

 

rectification : je peux le mettre sur mon bureau par drag & drop, mais pas moyen de faire un copier coller...

bizarre

donc maintenant il est sur mon bureau

 

Même s'il est sur mon bureau, pas moyen de l'ouvrir sur le site que tu m'indiquais

[Falkra]

Ok, remets-le en place, en attendant (à sa place d'origine).

 

C'est une infection connue, et coriace, mais on peut l'avoir.

 

Ne fais ce qui suit qu'après avoir remis le fichier à sa place d'origine.

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
  
• A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
  
• Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Fais redémarrer ton PC
  

[alleztenir]

Re ,

Désolé, mais à la fin de tdsskiller, j'appuye sur une touche et le bloc note s'ouvre bien, mais page blanche, pas de rapport.

Et pas de trace de rapport.txt dans le répertoire indiqué...

[Falkra]

Ok. Redémarre encore un coup, et regarde ce que tu as dans :

C:\tdsskiller