[Résolu]RSIT pour contrôle.

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu]RSIT pour contrôle.

Messagepar FASTER » 10 Juil 2010 15:53

Salut. :)

Par deux fois, hier et aujourd'hui, mon fils, en visionnant des vidéos tout ce qu'il y a de plus banales
sur Daylimotion à eu des alertes d'Antivir de ce type:

Image

à chaque fois elles sont dans les fichiers temporaires.

J'ai refusé l'accès à chaque fois et passé un coup de Bleachbit pour m'en débarrasser.

Je joins un RSIT car je ne sais pas si j'ai une bestiole quelque part ou, (c'est ce que je pense)
ces attaques sont uniquement dues à la malchance du surf à un instant T :evil:

Merci. :wink:
*
*
Logfile of random's system information tool 1.08 (written by random/random)
Run by IRON JAW at 2010-07-10 16:50:52
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 42 GB (59%) free of 71 GB
Total RAM: 2045 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:51:15, on 10/07/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Emsisoft\Online Armor\oaui.exe
C:\Program Files\Emsisoft\Online Armor\OAhlp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\IRON JAW\Downloads\RSIT.exe
C:\Program Files\trend micro\IRON JAW.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Emsisoft\Online Armor\oaui.exe"
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Expérience d’application (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Informations d'application (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Générateur de points de terminaison du service Audio Windows (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Audio Windows (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Moteur de filtrage de base (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Propagation du certificat (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Services de chiffrement (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Réplication DFS (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe
O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Configuration automatique de réseau câblé (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de stratégie de diagnostic (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Protocole EAP (Extensible Authentication Protocol) (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service de réception Windows Media Center (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: Service de planification Windows Media Center (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: Service ReadyBoost (EMDMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Journal d’événements Windows (Eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Système d'événement COM+ (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Hôte du fournisseur de découverte de fonctions (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de cache de police Windows (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Accès du périphérique d'interface utilisateur (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestion des clés et des certificats d'intégrité (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Modules de génération de clés IKE et AuthIP (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Énumérateur de bus IP PnP-X (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Assistance IP (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Isolation de clé CNG (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: Service KtmRm pour Distributed Transaction Coordinator (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Station de travail (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Mappage de découverte de topologie de la couche de liaison (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - (no file)
O23 - Service: Service Windows Media Center Extender (Mcx2Svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Planificateur de classes multimédias (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Pare-feu Windows (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Coordinateur de transactions distribuées (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: Service Initiateur iSCSI de Microsoft (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Windows Installer (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: Agent de protection d’accès réseau (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: NetLogon (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service Liste des réseaux (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Connaissance des emplacements réseau (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service Interface du magasin réseau (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Online Armor Helper Service (OAcat) - Unknown owner - C:\Program Files\Emsisoft\Online Armor\OAcat.exe
O23 - Service: Gestionnaire d'identité réseau homologue (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Groupement de mise en réseau de pairs (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Journaux & alertes de performance (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de publication des noms d’ordinateurs PNRP (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Protocole de résolution de noms d'homologues (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service de profil utilisateur (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: Expérience audio-vidéo haute qualité Windows (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Localisateur d'appels de procédure distante (RPC) (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Stratégie de retrait de la carte à puce (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Sauvegarde Windows (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service de notification d’événements système (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Configuration des services Terminal Server (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Détection matériel noyau (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Licence du logiciel (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe
O23 - Service: Service de notification de l’interface utilisateur SL (SLUINotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Interruption SNMP (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
O23 - Service: Découverte SSDP (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service SSTP (Secure Socket Tunneling Protocol) (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Acquisition d'image Windows (WIA) (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Program Files\Emsisoft\Online Armor\oasrv.exe
O23 - Service: Fournisseur de cliché instantané de logiciel Microsoft (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Superfetch (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Services de base de module de plateforme sécurisée (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Services Terminal Server (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Thèmes (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Serveur de priorités des threads (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Programme d’installation de modules Windows (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: Détection de services interactifs (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: Hôte de périphérique UPnP (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestionnaire de sessions du Gestionnaire de fenêtrage (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Disque virtuel (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: Windows Connect Now - Registre de configuration (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Système de couleurs Windows (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service hôte WDIServiceHost (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Hôte système de diagnostics (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Collecteur d'événements de Windows (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Prise en charge de l’application Rapports et solutions aux problèmes du Panneau de configuration (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service de découverte automatique de Proxy Web pour les services HTTP Windows (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Infrastructure de gestion Windows (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Gestion à distance de Windows (Gestion WSM) (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Service de configuration automatique WLAN (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Carte de performance WMI (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
O23 - Service: Service Énumérateur d’appareil mobile (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100 (WPFFontCache_v0400) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
O23 - Service: Centre de sécurité (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Windows Search (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: Windows Update (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Windows Driver Foundation - Infrastructure de pilote mode-utilisateur (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 14810 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-07-09 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"eRecoveryService"= []
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"@OnlineArmor GUI"=C:\Program Files\Emsisoft\Online Armor\oaui.exe [2010-07-07 6854984]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
C:\Acer\AcerTour\Reminder.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALUAlert]
C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
C:\Program Files\Apoint2K\Apoint.exe [2007-06-06 159744]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\Windows\system32\hkcmd.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [2007-03-21 174872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\Windows\system32\igfxtray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\Windows\system32\NvCpl.dll [2007-07-25 8470528]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\Windows\system32\NvMcTray.dll [2007-07-25 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
C:\Windows\system32\nvsvc.dll [2007-07-25 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
C:\Windows\system32\igfxpers.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSet]
C:\Windows\PLFSet.dll [2007-04-24 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
C:\Windows\RtHDVCpl.exe [2007-07-06 4669440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetPanel]
C:\Acer\APanel\APanel.cmd []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
C:\Windows\Skytel.exe [2007-06-15 1826816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
C:\Acer\WR_PopUp\WarReg_PopUp.exe [2006-11-05 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
igfxdev.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"=C:\PROGRA~1\Emsisoft\ONLINE~1\oaevent.dll [2010-07-07 924488]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=0
"EnableShellExecuteHooks"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-07-10 16:50:52 ----D---- C:\rsit
2010-07-09 21:18:37 ----D---- C:\Program Files\Common Files\Java
2010-07-09 21:18:16 ----A---- C:\Windows\system32\javaws.exe
2010-07-09 21:18:16 ----A---- C:\Windows\system32\javaw.exe
2010-07-09 21:18:16 ----A---- C:\Windows\system32\java.exe
2010-07-09 21:18:01 ----D---- C:\Program Files\Java
2010-07-09 16:54:30 ----D---- C:\Users\IRON JAW\AppData\Roaming\OnlineArmor
2010-07-09 16:54:30 ----D---- C:\ProgramData\OnlineArmor
2010-07-09 16:53:27 ----A---- C:\Windows\system32\drivers\OAnet.sys
2010-07-09 16:53:27 ----A---- C:\Windows\system32\drivers\OAmon.sys
2010-07-09 16:53:27 ----A---- C:\Windows\system32\drivers\OADriver.sys
2010-07-09 16:53:26 ----D---- C:\Program Files\Emsisoft
2010-07-09 11:45:55 ----D---- C:\ProgramData\Kaspersky Lab
2010-06-23 11:46:57 ----D---- C:\Windows\system32\WindowsPowerShell
2010-06-23 11:44:59 ----A---- C:\Windows\system32\winrsmgr.dll
2010-06-23 11:44:50 ----A---- C:\Windows\system32\wsmprovhost.exe
2010-06-23 11:44:50 ----A---- C:\Windows\system32\wsmplpxy.dll
2010-06-23 11:44:50 ----A---- C:\Windows\system32\winrssrv.dll
2010-06-23 11:44:50 ----A---- C:\Windows\system32\winrshost.exe
2010-06-23 11:44:50 ----A---- C:\Windows\system32\winrs.exe
2010-06-23 11:44:49 ----A---- C:\Windows\system32\WsmRes.dll
2010-06-23 11:44:49 ----A---- C:\Windows\system32\wevtfwd.dll
2010-06-23 11:44:49 ----A---- C:\Windows\system32\wecutil.exe
2010-06-23 11:44:49 ----A---- C:\Windows\system32\wecsvc.dll
2010-06-23 11:44:49 ----A---- C:\Windows\system32\wecapi.dll
2010-06-23 11:44:49 ----A---- C:\Windows\system32\pwrshplugin.dll
2010-06-23 11:44:46 ----A---- C:\Windows\system32\winrm.vbs
2010-06-23 11:44:45 ----A---- C:\Windows\system32\WsmWmiPl.dll
2010-06-23 11:44:45 ----A---- C:\Windows\system32\WsmAuto.dll
2010-06-23 11:44:45 ----A---- C:\Windows\system32\winrscmd.dll
2010-06-23 11:44:44 ----A---- C:\Windows\system32\WsmSvc.dll
2010-06-23 11:44:44 ----A---- C:\Windows\system32\WSManMigrationPlugin.dll
2010-06-23 11:44:44 ----A---- C:\Windows\system32\WSManHTTPConfig.exe
2010-06-23 11:42:02 ----D---- C:\Program Files\Microsoft.NET
2010-06-23 11:41:07 ----A---- C:\Windows\system32\PresentationHostProxy.dll
2010-06-23 11:41:07 ----A---- C:\Windows\system32\PresentationHost.exe
2010-06-23 11:41:07 ----A---- C:\Windows\system32\netfxperf.dll
2010-06-23 11:41:07 ----A---- C:\Windows\system32\mscoree.dll
2010-06-23 11:41:06 ----A---- C:\Windows\system32\dfshim.dll
2010-06-23 08:35:51 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll
2010-06-23 08:35:51 ----A---- C:\Windows\system32\Apphlpdm.dll

======List of files/folders modified in the last 1 months======

2010-07-10 16:51:15 ----D---- C:\Program Files\Trend Micro
2010-07-10 16:51:10 ----D---- C:\Windows\Prefetch
2010-07-10 16:50:48 ----D---- C:\Windows\Temp
2010-07-10 14:38:01 ----SHD---- C:\System Volume Information
2010-07-10 11:38:15 ----D---- C:\Program Files\Eset
2010-07-10 11:36:24 ----D---- C:\Windows
2010-07-10 07:18:07 ----D---- C:\Windows\System32
2010-07-10 07:18:07 ----D---- C:\Windows\inf
2010-07-10 07:18:07 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-07-10 07:11:28 ----D---- C:\Windows\Debug
2010-07-09 21:18:38 ----SHD---- C:\Windows\Installer
2010-07-09 21:18:37 ----D---- C:\Program Files\Common Files
2010-07-09 21:18:04 ----A---- C:\Windows\system32\deployJava1.dll
2010-07-09 21:18:01 ----RD---- C:\Program Files
2010-07-09 16:54:30 ----HD---- C:\ProgramData
2010-07-09 16:54:16 ----D---- C:\Windows\system32\drivers
2010-07-07 18:43:30 ----D---- C:\Program Files\MyDefragGUI
2010-07-05 06:36:25 ----D---- C:\Windows\system32\catroot2
2010-06-27 11:09:35 ----D---- C:\Program Files\Mozilla Firefox
2010-06-26 08:36:54 ----D---- C:\Program Files\Mozilla Thunderbird
2010-06-23 12:21:49 ----D---- C:\Windows\Microsoft.NET
2010-06-23 12:21:47 ----RSD---- C:\Windows\assembly
2010-06-23 12:06:55 ----D---- C:\Windows\rescache
2010-06-23 11:46:59 ----D---- C:\Windows\AppPatch
2010-06-23 11:46:58 ----D---- C:\Windows\system32\fr-FR
2010-06-23 11:46:58 ----D---- C:\Windows\PolicyDefinitions
2010-06-23 11:46:56 ----D---- C:\Windows\ehome
2010-06-23 11:46:10 ----D---- C:\Windows\winsxs
2010-06-23 11:45:42 ----D---- C:\Windows\system32\catroot
2010-06-23 11:42:06 ----D---- C:\Windows\system32\en-US
2010-06-15 21:49:05 ----D---- C:\Windows\system32\Macromed
2010-06-13 18:06:36 ----SD---- C:\Windows\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2007-03-21 304920]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 OADevice;OADriver; \??\C:\Windows\system32\drivers\OADriver.sys [2010-07-07 236104]
R1 OAmon;OAmon; \??\C:\Windows\system32\drivers\OAmon.sys [2010-07-07 22600]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 int15;int15; \??\C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 76584]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2007-01-30 8704]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2010-05-28 1870848]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 179712]
R3 enecir;ENE CIR Receiver; C:\Windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2007-04-26 984064]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2007-04-26 208384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-07-10 1792792]
R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2007-08-10 6144]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-07-25 7604256]
R3 OAnet;OnlineArmor Service; C:\Windows\system32\DRIVERS\oanet.sys [2010-07-07 29256]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC); C:\Windows\system32\DRIVERS\snp2uvc.sys [2007-02-07 1729152]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2007-04-26 660480]
S1 DritekPortIO;Dritek General Port I/O; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys []
S3 ApfiltrService;Alps Pointing-device Filter Driver; C:\Windows\system32\DRIVERS\Apfiltr.sys [2007-06-14 154624]
S3 driverhardwarev2;driverhardwarev2; C:\Windows\system32\drivers\driverhardwarev2.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys []
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NETw3v32;Pilote de carte Intel(R) PRO/Wireless 3945ABG pour Windows Vista 32 bits; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
S3 NETw4v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits; C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-04-30 2219520]
S3 rspSanity;rspSanity; C:\Windows\system32\DRIVERS\rspSanity32.sys [2009-11-12 27192]
S3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]
S3 WSVD;WSVD; \??\C:\Windows\system32\drivers\WSVD.sys [2006-09-19 80744]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 eRecoveryService;eRecovery Service; C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe [2007-02-13 53248]
R2 FontCache;Service de cache de police Windows; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [2007-03-21 355096]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440]
R2 OAcat;Online Armor Helper Service; C:\Program Files\Emsisoft\Online Armor\OAcat.exe [2010-07-07 1283400]
R2 SvcOnlineArmor;Online Armor; C:\Program Files\Emsisoft\Online Armor\oasrv.exe [2010-07-07 3364680]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2007-01-30 386560]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S4 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe []

-----------------EOF-----------------
*
*
Et info.txt
*
*
info.txt logfile of random's system information tool 1.08 2010-07-10 16:51:19

======Uninstall list======

-->MsiExec.exe /X{62008929-7F3E-4565-A3DF-F55F35009021}
Acer Crystal Eye webcam-->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe -runfromtemp -l0x040c -removeonly -u
Acer Crystal Eye webcam-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D0ACE89D-EC7F-470F-80BE-4C98ED366B32}\setup.exe" -l0x40c -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe -maintain activex
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
ALPS Touch Pad Driver-->C:\Program Files\Apoint2K\Uninstap.exe ADDREMOVE
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
BleachBit-->C:\Program Files\BleachBit\uninstall.exe
Canon MP Navigator 3.1-->"C:\Program Files\Canon\MP Navigator 3.1\Maint.exe" /UninstallRemove C:\Program Files\Canon\MP Navigator 3.1\uninst.ini
Canon MP140 series-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series /L0x000c
FileHippo.com Update Checker-->"C:\Program Files\FileHippo.com\uninstall.exe"
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\UIU32m.exe -U -IAcrZUn32z.inf
HiJackThis-->MsiExec.exe /X{45A66726-69BC-466B-A7A4-12FCBA4883D7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
livebox-->C:\Program Files\InstallShield Installation Information\{17342E3B-0818-4A6F-BFF8-99476605ADD6}\Setup.exe -runfromtemp -l0x040c -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft .NET Framework 4 Client Profile FRA Language Pack-->MsiExec.exe /X{0F5B4A82-9DAF-3D13-8CB8-AEB25E4A614E}
Microsoft .NET Framework 4 Client Profile-->C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe /repair /x86 /parameterfolder Client
Microsoft .NET Framework 4 Client Profile-->MsiExec.exe /X{3C3901C5-3455-3E0A-A214-0B093A5070A6}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Module linguistique Microsoft .NET Framework 4 Client Profile FRA-->C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\ClientLP\Setup.exe /repair /x86 /lcid 1036 /parameterfolder ClientLP
Mozilla Firefox (3.6.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (3.1)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
Online Armor 4.0-->"C:\Program Files\Emsisoft\Online Armor\unins000.exe"
QT Lite 3.2.2-->"C:\Program Files\QT Lite\unins000.exe"
Real Alternative 2.0.2 Lite-->"C:\Program Files\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x40c anything
SumatraPDF-->"C:\Program Files\SumatraPDF\uninstall.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Vista Services Optimizer-->MsiExec.exe /I{6E87F7DD-C1C8-44B2-8D54-BEB6FE26394F}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

======Hosts File======

127.0.0.1 localhost
127.0.0.1 fr.a2dfp.net
127.0.0.1 m.fr.a2dfp.net
127.0.0.1 ad.a8.net
127.0.0.1 asy.a8ww.net
127.0.0.1 adserver.abv.bg
127.0.0.1 adv.abv.bg
127.0.0.1 bimg.abv.bg
127.0.0.1 www2.a-counter.kiev.ua
127.0.0.1 track.acclaimnetwork.com

======Security center information======

AS: Windows Defender (disabled)

=====Security event log=====

Computer Name: KABUR
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : KABUR$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x2cc
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 54543
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100709191719.120760-000
Event Type: Succès de l'audit
User:

Computer Name: KABUR
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 54542
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100709191702.569160-000
Event Type: Succès de l'audit
User:

Computer Name: KABUR
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : KABUR$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x2cc
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 54541
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100709191702.569160-000
Event Type: Succès de l'audit
User:

Computer Name: KABUR
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : KABUR$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x2cc
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 54540
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100709191702.569160-000
Event Type: Succès de l'audit
User:

Computer Name: KABUR
Event Code: 1102
Message: Le journal d’audit a été effacé.
Objet :
ID de sécurité : S-1-5-21-3339231226-4037010415-3712228549-1000
Nom de compte : IRON JAW
Nom de domaine : KABUR
ID de connexion : 0x1fd52
Record Number: 54539
Source Name: Microsoft-Windows-Eventlog
Time Written: 20100709183450.950960-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QT Lite\QTSystem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\

-----------------EOF-----------------
*
PS:
Les alertes Antivir se font sur cette page:
http://www.google.fr/search?q=man+vs+wi ... art=0&sa=N

Pour cette vidéo: Man vs Wild -FAN MOVIE
*
Et sur cette page:
http://www.google.fr/search?q=man+vs+wi ... rt=70&sa=N

Pour cette vidéo: Man VS Wild season 5 Episode 9 Dominican Republic

A chaque fois sur Daylimotion. :o ...Curieux.
Dernière édition par FASTER le 17 Juil 2010 19:48, édité 3 fois.
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: RSIT pour contrôle.

Messagepar Florinator » 11 Juil 2010 09:24

Bonjour Faster :wink:

Il n'y a rien à signaler sur ce log de RSIT.
Concernant tes alertes je pense qu'il sagit d'une mauvaise détection d'Antivir sur des pages Web.
Attends 2-3 jours,fais une mise à jour ça devrait être alors corrigé.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: RSIT pour contrôle.

Messagepar FASTER » 11 Juil 2010 09:45

Salut Florinator :)

Merci d'avoir jeté un oeil sur mon rapport. :supers:
S'il est ok, :cool

Pour Antivir, je vais donc attendre des maj.
Je verrai d'ici lundi car le week end, chez Avira ils :plage: :lol:

J'espère que ces fausses détections seront corrigées car vendredi j'ai eu plusieurs maj et même
avec des définitions de virus récentes, il y avait déjà détections.
Sinon mon fils se contentera des vidéos de you tube. :lol:

:merci encore pour ton avis.

A+ :salut:

Ps: Je te tiendrai au courant si c'est corrigé. :wink:
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: RSIT pour contrôle.

Messagepar FASTER » 11 Juil 2010 12:19

Je viens de voir que je ne suis pas le seul avec ces détections:
http://forum.avira.com/wbb/index.php?pa ... dID=116075
http://forum.avira.com/wbb/index.php?pa ... dID=116027
ça semble bien venir d'avira.

Je vais voir ce que donnent les maj, sinon, dans l'attente, je ferai ce que dit johnyjohn via viruslab.
A+
:wink:
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: RSIT pour contrôle.

Messagepar FASTER » 17 Juil 2010 19:45

Salut Florinator :)
Juste pour te confirmer qu'Avira (après maj), a rectifié les faux positif sur les vidéos Daylimotion. ( C'est le fiston qui est content :clap )
C'est confirmé aussi sur le forum Avira par les personnes qui avaient le même problème.
Donc, tout baigne. :supers:
Passe de bonnes vacances. :wink:
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: [Résolu]RSIT pour contrôle.

Messagepar Florinator » 17 Juil 2010 22:55

Bonsoir Faster :wink:

Merci d'avoir donné des nouvelles,
Bonnes vacances à toi.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron