TR/ATRAPS.Gen2 + comportement bizarre de flash

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 27 Juin 2012 20:36

Bonsoir,
depuis quelques jours je suis infecté par ce qu'avira détecte comme étant le cheval de troie TR/ATRAPS.Gen2.
Impossible de le supprimer malgré plusieurs passages complet d'avira et de MBAM.

Avez vous une piste pour éradiquer ce machin qui fait "tilter" avira toutes les minutes environ ?
Par ailleurs, malgré une désinstallation/réinstallation, j'ai visiblement un souci avec flash qui cherche à s'installer automatiquement depuis je ne sais quelle source...

Pour aider les spécialistes qui passeraient dans le coin voici les rapports rsit :


info.txt logfile of random's system information tool 1.09 2012-06-27 21:14:51

======Uninstall list======

-->MsiExec /X{9530AE42-DAE1-4619-9594-B23487285D17}
µTorrent-->"C:\Program Files (x86)\uTorrent\uTorrent.exe" /UNINSTALL
adsl TV-->"C:\Program Files (x86)\adslTV\Uninstall.exe" "C:\Program Files (x86)\adslTV\Uninstall.log" -u
Armada 2526 Gold-->msiexec.exe /x {340A28C1-7EEC-433C-888B-FC7421F4037C}
Armada 2526 Gold-->MsiExec.exe /X{340A28C1-7EEC-433C-888B-FC7421F4037C}
Auslogics Disk Defrag-->"C:\Program Files (x86)\Auslogics\Auslogics Disk Defrag\unins000.exe"
Avira Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
calibre-->MsiExec.exe /I{AEAB754A-426C-4738-89C1-52FCB389FCDF}
Catalyst Control Center - Branding-->MsiExec.exe /I{03D4C700-2BFE-43E0-A0B4-9512B43C5B9F}
Crusader Kings II version 1.05g-->"C:\Program Files (x86)\Crusader Kings II\unins000.exe"
Crusader Kings II-->"C:\Program Files (x86)\Crusader Kings II\unins000.exe"
DAEMON Tools Lite-->C:\Program Files (x86)\DAEMON Tools Lite\uninst.exe
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{D0AC5F9F-1043-4569-ACE3-67EE990EB0E6}" "1036" "0"
Endless Space-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/208140
FileHippo.com Update Checker-->"C:\Program Files (x86)\FileHippo.com\uninstall.exe"
FileZilla Client 3.5.3-->C:\Program Files (x86)\FileZilla FTP Client\uninstall.exe
foobar2000 v1.1.13-->"C:\Program Files (x86)\foobar2000\uninstall.exe" _?=C:\Program Files (x86)\foobar2000
Football Manager 2012-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/71270
Game of Thrones version 1.1.0.0-->"C:\Program Files (x86)\Game of Thrones\unins001.exe"
GIMP 2.6.11-->"C:\Program Files (x86)\GIMP-2.0\setup\unins000.exe"
Google Chrome-->"C:\Program Files (x86)\Google\Chrome\Application\20.0.1132.43\Installer\setup.exe" --uninstall --multi-install --chrome --system-level --verbose-logging
Google Talk Plugin-->MsiExec.exe /I{975C3A93-2491-3D44-A071-F6CBF153E46D}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Hearts of Iron III Sprite Packs-->"C:\Windows\Hearts of Iron III Sprite Packs\uninstall.exe" "/U:C:\Program Files (x86)\Paradox Interactive\Hearts of Iron III\Uninstall\uninstall.xml"
Hearts of Iron III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{D0106CC2-E34B-4FA3-B6B6-91F0ACEA2CC3}\Setup.exe" -l0x9
Iron Front: Liberation 1944-->"C:\Program Files (x86)\R.G. Element Arts\Iron Front\unins000.exe"
Java(TM) 6 Update 31-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
Luxor Evolved-->"C:\Program Files (x86)\Luxor Evolved\uninstall.exe" "/U:C:\Program Files (x86)\Luxor Evolved\Uninstall\uninstall.xml"
Malwarebytes Anti-Malware version 1.61.0.1400-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Media Player Codec Pack 4.1.1-->C:\Windows\SysWOW64\C2MP\Uninst.exe
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{047B0968-E622-4FAA-9B4B-121FA109EDDE}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0015-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0016-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0018-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0019-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001A-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001B-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0401-0000-0000000FF1CE}" "{1A43C155-3DDA-43C9-92C5-0E7D0B2B156D}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0407-0000-0000000FF1CE}" "{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0409-0000-0000000FF1CE}" "{99ACCA38-6DD3-48A8-96AE-A283C9759279}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-040C-0000-0000000FF1CE}" "{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0413-0000-0000000FF1CE}" "{5072FEA2-862C-4BF0-9654-CB0DCBE2BE28}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0C0A-0000-0000000FF1CE}" "{DEA87BE2-FFCC-4F33-9946-FCBE55A1E998}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002A-0000-1000-0000000FF1CE}" "{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002A-040C-1000-0000000FF1CE}" "{0CCCD9C7-637C-41CA-A293-6E9992109B09}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002C-040C-0000-0000000FF1CE}" "{C8E4AA87-3E5A-4C70-8CB7-43FE25C99B74}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0044-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-006E-040C-0000-0000000FF1CE}" "{7C5C7E8C-F6D2-43AC-93A4-89E4FF7367E6}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-00A1-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office 2010 Service Pack 1 (SP1)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-00BA-040C-0000-0000000FF1CE}" "{C3AE9E57-4CD3-44FB-802F-9B461B26E3EB}" "1036" "0"
Microsoft Office Access MUI (French) 2010-->MsiExec.exe /X{90140000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2010-->MsiExec.exe /X{90140000-0016-040C-0000-0000000FF1CE}
Microsoft Office File Validation Add-In-->MsiExec.exe /I{90140000-2005-0000-0000-0000000FF1CE}
Microsoft Office Groove MUI (French) 2010-->MsiExec.exe /X{90140000-00BA-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2010-->MsiExec.exe /X{90140000-0044-040C-0000-0000000FF1CE}
Microsoft Office OneNote MUI (French) 2010-->MsiExec.exe /X{90140000-00A1-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2010-->MsiExec.exe /X{90140000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2010-->MsiExec.exe /X{90140000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2010-->MsiExec.exe /X{90140000-0011-0000-0000-0000000FF1CE}
Microsoft Office Professionnel Plus 2010-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Proof (Arabic) 2010-->MsiExec.exe /X{90140000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2010-->MsiExec.exe /X{90140000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2010-->MsiExec.exe /X{90140000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2010-->MsiExec.exe /X{90140000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2010-->MsiExec.exe /X{90140000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2010-->MsiExec.exe /X{90140000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2010-->MsiExec.exe /X{90140000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2010-->MsiExec.exe /X{90140000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2010-->MsiExec.exe /X{90140000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2010-->MsiExec.exe /X{90140000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable - KB2467175-->MsiExec.exe /X{a0fe116e-9a8a-466f-aee0-625cb7c207e3}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F}
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219-->MsiExec.exe /X{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}
Microsoft XNA Framework Redistributable 4.0-->MsiExec.exe /I{2BFC7AA0-544C-4E3A-8796-67F3BE655BE9}
MS Access 97 SP2-->C:\Program Files\Microsoft Office\setup\setup.exe
Mumble 1.2.3-->MsiExec.exe /I{E1019541-10A2-464F-A23E-A4F23DA65160}
NVIDIA PhysX-->MsiExec.exe /X{9530AE42-DAE1-4619-9594-B23487285D17}
OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U
OpenOffice.org 3.3-->MsiExec.exe /I{05653DE1-6567-40C6-B930-39D399B64369}
PC Wizard 2010.1.96-->"C:\Program Files (x86)\CPUID\PC Wizard 2010\unins000.exe"
Pro Cycling Manager - Saison 2012 version 1.1.0.1-->"C:\Program Files (x86)\Pro Cycling Manager - Saison 2012\unins000.exe"
Razer Diamondback-->C:\Program Files (x86)\InstallShield Installation Information\{DE4CF159-4AD2-4754-BDA0-5FB088C8B58B}\setup.exe -runfromtemp -l0x0009 -removeonly
Razer Imperator (2012) Firmware Updater-->MsiExec.exe /I{71320E4D-A4B8-4C7E-805F-7541CBFB97DD}
Razer Imperator-->MsiExec.exe /X{C05905B9-775A-4894-A4DF-B57C15250958}
Realtek HDMI Audio Driver for ATI-->C:\Program Files\Realtek\Audio\HDA\RtkUpd64.exe -k -m -nrg2709
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\LSetup.exe" -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {B5BD3CA1-11AB-35A6-B22A-6A219DC0668E} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E720AD01-93D5-3E8E-BB8D-E4EF5AF4E5DD} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {BCD37DCB-F479-3D4D-A90E-A0F7575549C4} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {FF811680-AECE-3F35-A98C-1B84B6E09168} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {6AF6C62E-4E3D-33BF-A591-9E4D53BDF22F} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {5D45782A-1099-317E-ABCC-FF63D5B21386} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E59B2174-E924-311F-8549-AD714C14664D} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {FDD13F1E-9C6B-311E-A0D9-D6E172FC28FF} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {DA36C2E5-6B34-3A6A-9C0A-7D1CC1C5A768} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {7B82A51A-768B-3A7B-ADFA-F777097A8079} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E40184A4-4A61-3D2E-9035-CB6E1E610E07} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)-->c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Extended\setup.exe /uninstallpatch {9D621E6E-E010-3C80-A055-135891134750} /parameterfolder Extended
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)-->c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Extended\setup.exe /uninstallpatch {E59B2174-E924-311F-8549-AD714C14664D} /parameterfolder Extended
Security Update for Microsoft Excel 2010 (KB2597166) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{B76D8C6D-1F13-42A7-9931-D7504CB89D6D}" "1036" "0"
Security Update for Microsoft Office 2010 (KB2553091)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{07CA44F3-F5B3-4D12-8C91-EDC5FE91D45C}" "1036" "0"
Security Update for Microsoft Office 2010 (KB2553096)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{10802A6D-EDBF-4383-BCBD-9D5B32F56D35}" "1036" "0"
Security Update for Microsoft Office 2010 (KB2553371) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{CCC48FE2-175F-4CDE-82DF-F7BC4672C1A3}" "1036" "0"
Security Update for Microsoft Office 2010 (KB2589320) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{DCE6D0BF-93E4-46C5-9A7C-F1EFF9707C02}" "1036" "0"
Security Update for Microsoft Office 2010 (KB2598039) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{01F2485C-FAEE-47E7-986E-B4F2FFC22D57}" "1036" "0"
Security Update for Microsoft PowerPoint 2010 (KB2553185) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{61461470-8168-4F4B-97B7-617AF354F028}" "1036" "0"
Security Update for Microsoft SharePoint Workspace 2010 (KB2566445)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{337A3FB9-281D-4EC8-9CC1-7F6DDAC2359F}" "1036" "0"
Security Update for Microsoft SharePoint Workspace 2010 (KB2566445)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002A-0000-1000-0000000FF1CE}" "{337A3FB9-281D-4EC8-9CC1-7F6DDAC2359F}" "1036" "0"
Security Update for Microsoft Visio Viewer 2010 (KB2597981) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{B75541D4-3970-4CC7-934B-D48F8C26DCA5}" "1036" "0"
Semper Fi 2.04-->"C:\Program Files (x86)\Paradox Interactive\Hearts of Iron III\unins000.exe"
Skype™ 5.10-->MsiExec.exe /X{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
The Elder Scrolls V: Skyrim-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/72850
Universal Extractor 1.6.1-->"C:\Program Files (x86)\Universal Extractor\unins000.exe"
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {29C7BE97-DE59-37A2-A687-2ADD5321948A} /parameterfolder Client
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {7D799A81-5661-3159-BF92-754161CED6E6} /parameterfolder Client
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {4DFA8287-EA36-3469-99FE-F568FEC81653} /parameterfolder Client
Update for Microsoft .NET Framework 4 Extended (KB2468871)-->c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Extended\setup.exe /uninstallpatch {29C7BE97-DE59-37A2-A687-2ADD5321948A} /parameterfolder Extended
Update for Microsoft .NET Framework 4 Extended (KB2533523)-->c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Extended\setup.exe /uninstallpatch {7D799A81-5661-3159-BF92-754161CED6E6} /parameterfolder Extended
Update for Microsoft .NET Framework 4 Extended (KB2600217)-->c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Extended\setup.exe /uninstallpatch {4DFA8287-EA36-3469-99FE-F568FEC81653} /parameterfolder Extended
Update for Microsoft Office 2010 (KB2494150)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{3FCFD88F-4D13-4F38-8625-ABABEA7F61EA}" "1036" "0"
Update for Microsoft Office 2010 (KB2553065)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{A8686D24-1E89-43A1-973E-05A258D2B3F8}" "1036" "0"
Update for Microsoft Office 2010 (KB2553092)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{7AC49FC8-F8D2-4DD8-9086-09E52385A21F}" "1036" "0"
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{48E1B6C2-7299-4F3F-AA63-42F0ACE55AA4}" "1036" "0"
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{18B3CF2A-73F7-4716-B1AE-86D68726D408}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0401-0000-0000000FF1CE}" "{57820349-C59E-45FF-BDDC-C68384C39FE0}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0407-0000-0000000FF1CE}" "{E6EAF5E1-5E2A-4E4F-847E-97B45179E45B}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0409-0000-0000000FF1CE}" "{17E7B9AB-2DD2-457D-8D8E-CD14ACA973FE}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-040C-0000-0000000FF1CE}" "{15058154-469F-4794-ACD5-94F8420F9B80}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0413-0000-0000000FF1CE}" "{AC5C66AB-7561-4D7E-9EAD-0204DE4EEC9B}" "1036" "0"
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001F-0C0A-0000-0000000FF1CE}" "{995A7832-B512-46D5-87C9-2D71FB541435}" "1036" "0"
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{C8694FF0-8203-483B-A07A-2BC40433167D}" "1036" "0"
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-006E-040C-0000-0000000FF1CE}" "{B9A75D61-A9B7-452A-9FFB-BA8AC6697C99}" "1036" "0"
Update for Microsoft Office 2010 (KB2553385) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{28FAC187-7C0E-413A-B90A-76F19D0FBF30}" "1036" "0"
Update for Microsoft Office 2010 (KB2566458)-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{EFB525A0-E1C0-4E32-9968-FE401BC87363}" "1036" "0"
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{ED31DE9A-3E13-4E2C-9106-E0D8AFFB9FA6}" "1036" "0"
Update for Microsoft Office 2010 (KB2597091) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{4D98EEEA-A31B-42FA-991A-F989594F4DA5}" "1036" "0"
Update for Microsoft Office 2010 (KB2597091) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002A-0000-1000-0000000FF1CE}" "{4D98EEEA-A31B-42FA-991A-F989594F4DA5}" "1036" "0"
Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-00A1-040C-0000-0000000FF1CE}" "{FD88F03A-5684-4BF7-A01F-8514F8D3CB59}" "1036" "0"
Update for Microsoft OneNote 2010 (KB2589345) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{3613AECC-1454-4DDD-AC36-C42DC16D6DEE}" "1036" "0"
Update for Microsoft OneNote 2010 (KB2589345) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-002A-0000-1000-0000000FF1CE}" "{3613AECC-1454-4DDD-AC36-C42DC16D6DEE}" "1036" "0"
Update for Microsoft Outlook 2010 (KB2553248) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{38990592-F6A1-4A26-96C7-0600E36AE794}" "1036" "0"
Update for Microsoft Outlook 2010 (KB2553248) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001A-040C-0000-0000000FF1CE}" "{320987F5-60AE-484D-BA8A-24DADD7E697F}" "1036" "0"
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-0011-0000-0000-0000000FF1CE}" "{BC6DFBFD-16DD-47E1-A7EF-2C062930FA4F}" "1036" "0"
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\Oarpmany.exe" /removereleaseinpatch "{90140000-001A-040C-0000-0000000FF1CE}" "{7EB5858D-D86C-4081-BA4E-B2BFA32A6760}" "1036" "0"
VLC media player 2.0.1-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files (x86)\Winamp\UninstWA.exe"
WinRAR 4.10 (32 bits)-->C:\Program Files (x86)\WinRAR\uninstall.exe
Xvid Video Codec-->C:\Program Files (x86)\Xvid\uninstall.exe

======System event log======

Computer Name: RONRON
Event Code: 7000
Message: Le service Steam Client Service n’a pas pu démarrer en raison de l’erreur :
Le service n’a pas répondu assez vite à la demande de lancement ou de contrôle.
Record Number: 796
Source Name: Service Control Manager
Time Written: 20111028110327.030642-000
Event Type: Erreur
User:

Computer Name: RONRON
Event Code: 7009
Message: Le dépassement de délai (30000 millisecondes) a été atteint lors de l’attente de la connexion du service Steam Client Service.
Record Number: 795
Source Name: Service Control Manager
Time Written: 20111028110327.030642-000
Event Type: Erreur
User:

Computer Name: RONRON
Event Code: 1006
Message: Le client n’a pas pu valider le ou les serveurs suivants en tant que serveurs DNS actifs pouvant servir ce client. Ce ou ces serveurs peuvent être temporairement indisponibles ou mal configurés. 212.27.40.240
Record Number: 634
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20111028103657.443670-000
Event Type: Avertissement
User: NT AUTHORITY\LOCAL SERVICE

Computer Name: RONRON
Event Code: 134
Message: NtpClient n'a pas pu définir d'homologue manuel utilisable comme source de temps en raison d'une erreur de résolution DNS sur "". NtpClient réessaiera dans 3473457 minutes, puis doublera l'intervalle d'attente pour les tentatives suivantes. L'erreur était : The requested name is valid, but no data of the requested type was found. (0x80072AFC)
Record Number: 450
Source Name: Microsoft-Windows-Time-Service
Time Written: 20111028090121.908625-000
Event Type: Avertissement
User: NT AUTHORITY\LOCAL SERVICE

Computer Name: RONRON
Event Code: 134
Message: NtpClient n'a pas pu définir d'homologue manuel utilisable comme source de temps en raison d'une erreur de résolution DNS sur "". NtpClient réessaiera dans 3473457 minutes, puis doublera l'intervalle d'attente pour les tentatives suivantes. L'erreur était : The requested name is valid, but no data of the requested type was found. (0x80072AFC)
Record Number: 449
Source Name: Microsoft-Windows-Time-Service
Time Written: 20111028090120.395423-000
Event Type: Avertissement
User: NT AUTHORITY\LOCAL SERVICE

=====Application event log=====

Computer Name: RONRON
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
5 user registry handles leaked from \Registry\User\S-1-5-21-3347344580-3966986097-2351165262-1000:
Process 456 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000
Process 456 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000
Process 456 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\My
Process 456 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\CA
Process 456 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\Disallowed

Record Number: 297
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20111028110011.161781-000
Event Type: Avertissement
User: NT AUTHORITY\SYSTEM

Computer Name: RONRON
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 241
Source Name: Microsoft-Windows-WMI
Time Written: 20111028101536.000000-000
Event Type: Erreur
User:

Computer Name: RONRON
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
6 user registry handles leaked from \Registry\User\S-1-5-21-3347344580-3966986097-2351165262-1000:
Process 396 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000
Process 468 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000
Process 468 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000
Process 468 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\My
Process 468 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\CA
Process 468 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\Microsoft\SystemCertificates\Disallowed

Record Number: 226
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20111028090636.379378-000
Event Type: Avertissement
User: NT AUTHORITY\SYSTEM

Computer Name: RONRON
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Full Index Reset}.

Record Number: 127
Source Name: Microsoft-Windows-Search
Time Written: 20111028085647.000000-000
Event Type: Avertissement
User:

Computer Name: RONRON
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 124
Source Name: Microsoft-Windows-WMI
Time Written: 20111028085532.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: RONRON
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : RONRON$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : NT AUTHORITY
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x238
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 11375
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111217030000.560263-000
Event Type: Succès de l’audit
User:

Computer Name: RONRON
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : NT AUTHORITY
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 11374
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111217022959.677741-000
Event Type: Succès de l’audit
User:

Computer Name: RONRON
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : RONRON$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : NT AUTHORITY
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x238
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 11373
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111217022959.677741-000
Event Type: Succès de l’audit
User:

Computer Name: RONRON
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : NT AUTHORITY
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 11372
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111217015959.885222-000
Event Type: Succès de l’audit
User:

Computer Name: RONRON
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : RONRON$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : NT AUTHORITY
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x238
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 11371
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111217015959.885222-000
Event Type: Succès de l’audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files (x86)\AMD APP\bin\x86_64;C:\Program Files (x86)\AMD APP\bin\x86;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Calibre2\;C:\Program Files (x86)\Universal Extractor;C:\Program Files (x86)\Universal Extractor\bin
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"windows_tracing_logfile"=C:\BVTBin\Tests\installpackage\csilogfile.log
"windows_tracing_flags"=3
"AMDAPPSDKROOT"=C:\Program Files (x86)\AMD APP\

-----------------EOF-----------------

(analyse suivante en réponse, je dépasse le nb max de caractères par post)


Merci d'avance aux bonnes âmes qui sauront m'aiguiller !
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 27 Juin 2012 20:37

voila le second fichier text de rapport généré par rsit, merci pour votre attention !


Logfile of random's system information tool 1.09 (written by random/random)
Run by Max at 2012-06-27 21:14:43
Microsoft Windows 7 Édition Intégrale Service Pack 1
System drive C: has 57 GB (24%) free of 238 GB
Total RAM: 4094 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:14:50, on 27/06/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16446)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Razer\Diamondback\Razer\Diamondback\razerhid.exe
C:\Program Files (x86)\Razer\Imperator\RazerImperatorSysTray.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\Diamondback\Razer\Diamondback\razerofa.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTShellHlp.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\Max\Downloads\RSIT.exe
C:\Program Files (x86)\trend micro\Max.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://friendly-google-search.blogspot.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Diamondback] C:\Program Files (x86)\Razer\Diamondback\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [Razer Imperator Driver] C:\Program Files (x86)\Razer\Imperator\RazerImperatorSysTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\Max\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (AudioSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: NLS Service (nlsX86cc) - Nalpeiron Ltd. - C:\Windows\SysWOW64\NLSSRV32.EXE
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\sysWow64\perfhost.exe,-2 (PerfHost) - Unknown owner - C:\Windows\SysWow64\perfhost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe

--
End of file - 22198 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3347344580-3966986097-2351165262-1000Core.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3347344580-3966986097-2351165262-1000UA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files (x86)\Java\jre6\bin\ssv.dll [2012-04-16 325408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]
Office Document Cache Handler - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL [2010-12-21 561552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2012-04-16 42272]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Diamondback"=C:\Program Files (x86)\Razer\Diamondback\Razer\Diamondback\razerhid.exe [2009-10-09 226816]
"Razer Imperator Driver"=C:\Program Files (x86)\Razer\Imperator\RazerImperatorSysTray.exe [2012-01-16 979360]
"StartCCC"=C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2012-04-06 641664]
"AMD AVT"=Cmd.exe /c start AMD Accelerated Video Transcoding device initialization /min C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe aml []
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2011-12-01 258512]
"Malwarebytes' Anti-Malware"=C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe [2012-04-04 462408]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"=C:\Windows\System32\StikyNot.exe []
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2010-11-21 1475584]
"Google Update"=C:\Users\Max\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-21 116648]
"FileHippo.com"=C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe [2012-03-26 306688]
"DAEMON Tools Lite"=C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [2012-04-17 3671872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL [2011-06-12 4221328]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SMR250]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=5
"ConsentPromptBehaviorUser"=3
"EnableUIADesktopToggle"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=1
"NoActiveDesktopChanges"=1
"ForceActiveDesktopOn"=0
"NoDriveTypeAutoRun"=255

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"vidc.mrle"=msrle32.dll
"vidc.msvc"=msvidc32.dll
"msacm.imaadpcm"=imaadp32.acm
"msacm.msg711"=msg711.acm
"msacm.msgsm610"=msgsm32.acm
"msacm.msadpcm"=msadp32.acm
"midimapper"=midimap.dll
"wavemapper"=msacm32.drv
"vidc.uyvy"=msyuv.dll
"vidc.yuy2"=msyuv.dll
"vidc.yvyu"=msyuv.dll
"vidc.iyuv"=iyuv_32.dll
"vidc.i420"=iyuv_32.dll
"vidc.yvu9"=tsbyuv.dll
"msacm.l3acm"=l3codecp.acm
"vidc.cvid"=iccvid.dll
"vidc.ffds"=ff_vfw.dll
"vidc.xvid"=xvidvfw.dll
"vidc.wmv3"=wmv9vcm.dll
"msacm.ac3filter"=ac3filter.acm
"msacm.divxa32"=DivXa32.acm
"msacm.lameacm"=LameACM.acm
"wave"=wdmaud.drv
"midi"=wdmaud.drv
"mixer"=wdmaud.drv
"aux"=wdmaud.drv
"wave1"=wdmaud.drv
"midi1"=wdmaud.drv
"mixer1"=wdmaud.drv
"aux1"=wdmaud.drv

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 month======

2012-06-27 21:14:43 ----D---- C:\rsit
2012-06-27 21:14:43 ----D---- C:\Program Files (x86)\trend micro
2012-06-27 20:50:32 ----A---- C:\TDSSKiller.2.7.42.0_27.06.2012_20.50.32_log.txt
2012-06-27 19:58:07 ----D---- C:\Program Files (x86)\DAEMON Tools Lite
2012-06-27 19:46:39 ----D---- C:\Program Files (x86)\FileZilla FTP Client
2012-06-27 19:35:00 ----D---- C:\Program Files (x86)\Winamp Detect
2012-06-27 19:20:52 ----A---- C:\Windows\SysWOW64\qdvd.dll
2012-06-27 18:38:42 ----D---- C:\Program Files (x86)\FileHippo.com
2012-06-27 15:55:27 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2012-06-22 18:34:56 ----D---- C:\Users\Max\AppData\Roaming\Pro Cycling Manager 2012
2012-06-22 18:14:41 ----D---- C:\Program Files (x86)\Pro Cycling Manager - Saison 2012
2012-06-17 02:31:42 ----D---- C:\Users\Max\AppData\Roaming\Fatshark
2012-06-17 00:48:18 ----D---- C:\Users\Max\AppData\Roaming\Avira
2012-06-17 00:42:45 ----D---- C:\ProgramData\Avira
2012-06-17 00:42:45 ----D---- C:\Program Files (x86)\Avira
2012-06-15 03:01:55 ----A---- C:\Windows\SysWOW64\mshtmled.dll
2012-06-15 03:01:54 ----A---- C:\Windows\SysWOW64\urlmon.dll
2012-06-15 03:01:54 ----A---- C:\Windows\SysWOW64\url.dll
2012-06-15 03:01:53 ----A---- C:\Windows\SysWOW64\iertutil.dll
2012-06-15 03:01:52 ----A---- C:\Windows\SysWOW64\ieUnatt.exe
2012-06-15 03:01:52 ----A---- C:\Windows\SysWOW64\ieui.dll
2012-06-15 03:01:51 ----A---- C:\Windows\SysWOW64\wininet.dll
2012-06-15 03:01:49 ----A---- C:\Windows\SysWOW64\jscript9.dll
2012-06-15 03:01:49 ----A---- C:\Windows\SysWOW64\jscript.dll
2012-06-15 03:01:48 ----A---- C:\Windows\SysWOW64\jsproxy.dll
2012-06-15 03:01:46 ----A---- C:\Windows\SysWOW64\mshtml.dll
2012-06-15 03:01:42 ----A---- C:\Windows\SysWOW64\ieframe.dll
2012-06-14 05:16:47 ----A---- C:\Windows\SysWOW64\ntoskrnl.exe
2012-06-14 05:16:46 ----A---- C:\Windows\SysWOW64\ntkrnlpa.exe
2012-06-14 05:16:41 ----A---- C:\Windows\SysWOW64\msi.dll
2012-06-14 05:16:31 ----A---- C:\Windows\SysWOW64\crypt32.dll
2012-06-14 05:16:30 ----A---- C:\Windows\SysWOW64\cryptsvc.dll
2012-06-14 05:16:29 ----A---- C:\Windows\SysWOW64\cryptnet.dll
2012-06-11 19:11:38 ----D---- C:\Users\Max\AppData\Roaming\Unity
2012-05-31 17:15:28 ----D---- C:\Program Files (x86)\R.G. Element Arts
2012-05-28 22:16:14 ----D---- C:\ProgramData\Codemasters
2012-05-28 19:05:42 ----D---- C:\Program Files (x86)\Dirt.ShowDown
2012-05-28 14:22:49 ----D---- C:\Program Files (x86)\Auslogics

======List of files/folders modified in the last 1 month======

2012-06-27 21:14:46 ----D---- C:\Windows\Temp
2012-06-27 21:14:43 ----RD---- C:\Program Files (x86)
2012-06-27 21:11:12 ----D---- C:\Windows\System32
2012-06-27 21:11:12 ----D---- C:\Windows\inf
2012-06-27 21:10:48 ----SHD---- C:\System Volume Information
2012-06-27 21:02:47 ----SHD---- C:\Windows\Installer
2012-06-27 21:02:45 ----RSD---- C:\Windows\assembly
2012-06-27 21:02:27 ----AHD---- C:\ProgramData
2012-06-27 21:02:25 ----D---- C:\Windows\SysWOW64
2012-06-27 21:00:31 ----D---- C:\Program Files (x86)\Razer
2012-06-27 20:59:09 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2012-06-27 20:03:10 ----D---- C:\Windows\Tasks
2012-06-27 20:01:19 ----AD---- C:\Windows
2012-06-27 19:59:10 ----D---- C:\Users\Max\AppData\Roaming\Winamp
2012-06-27 19:59:03 ----D---- C:\Users\Max\AppData\Roaming\Skype
2012-06-27 19:43:09 ----D---- C:\ProgramData\Skype
2012-06-27 19:43:07 ----RD---- C:\Program Files (x86)\Skype
2012-06-27 19:41:26 ----D---- C:\Users\Max\AppData\Roaming\foobar2000
2012-06-27 19:41:25 ----D---- C:\Program Files (x86)\foobar2000
2012-06-27 19:38:14 ----D---- C:\Program Files (x86)\Universal Extractor
2012-06-27 19:36:02 ----D---- C:\Program Files (x86)\Winamp
2012-06-27 19:27:19 ----RD---- C:\Program Files
2012-06-27 19:21:58 ----D---- C:\Windows\winsxs
2012-06-27 18:42:44 ----D---- C:\Program Files (x86)\Common Files\Adobe
2012-06-27 18:41:14 ----D---- C:\Program Files (x86)\Common Files
2012-06-27 18:41:14 ----D---- C:\Program Files (x86)\Adobe
2012-06-27 18:40:21 ----D---- C:\Program Files (x86)\Steam
2012-06-27 18:40:19 ----D---- C:\Users\Max\AppData\Roaming\uTorrent
2012-06-27 18:39:54 ----D---- C:\Windows\Logs
2012-06-27 18:39:54 ----D---- C:\Windows\debug
2012-06-27 18:29:35 ----D---- C:\Windows\Prefetch
2012-06-26 05:02:11 ----D---- C:\Users\Max\AppData\Roaming\Mozilla
2012-06-24 23:58:20 ----D---- C:\Windows\rescache
2012-06-24 13:26:11 ----D---- C:\Program Files (x86)\Common Files\Steam
2012-06-17 11:32:06 ----SHD---- C:\$Recycle.Bin
2012-06-17 02:32:05 ----D---- C:\Windows\SysWOW64\directx
2012-06-17 02:31:59 ----HD---- C:\Windows\msdownld.tmp
2012-06-16 23:59:16 ----D---- C:\Program Files (x86)\Game of Thrones
2012-06-15 03:42:10 ----D---- C:\Windows\Microsoft.NET
2012-06-15 03:29:07 ----D---- C:\Windows\SysWOW64\migration
2012-06-15 03:29:07 ----D---- C:\Windows\SysWOW64\fr-FR
2012-06-15 03:29:07 ----D---- C:\Windows\SysWOW64\en-US
2012-06-15 03:29:07 ----D---- C:\Program Files (x86)\Internet Explorer
2012-06-15 03:12:50 ----D---- C:\ProgramData\Microsoft Help
2012-06-11 22:11:25 ----D---- C:\Users\Max\AppData\Roaming\vlc
2012-06-10 16:55:56 ----D---- C:\Program Files (x86)\Gw2
2012-06-02 23:09:37 ----D---- C:\Program Files (x86)\Crusader Kings II
2012-05-31 22:37:10 ----SD---- C:\Users\Max\AppData\Roaming\Microsoft
2012-05-31 19:47:59 ----D---- C:\Users\Max\AppData\Roaming\gtk-2.0
2012-05-28 14:24:08 ----AD---- C:\ProgramData\TEMP
2012-05-28 13:51:02 ----D---- C:\Users\Max\AppData\Roaming\DAEMON Tools Lite
2012-05-28 13:51:00 ----D---- C:\Windows\ModemLogs

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 pciide;pciide; C:\Windows\system32\drivers\pciide.sys []
R0 rdyboost;ReadyBoost; C:\Windows\System32\drivers\rdyboost.sys []
R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys []
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys []
R1 avkmgr;avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys []
R1 CSC;@%systemroot%\system32\cscsvc.dll,-202; C:\Windows\system32\drivers\csc.sys []
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver; C:\Windows\system32\DRIVERS\dtsoftbus01.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R3 amdkmdag;amdkmdag; C:\Windows\system32\DRIVERS\atikmdag.sys []
R3 amdkmdap;amdkmdap; C:\Windows\system32\DRIVERS\atikmpag.sys []
R3 AtiHDAudioService;AMD Function Driver for HD Audio Service; C:\Windows\system32\drivers\AtihdW76.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 Lycosa;Lycosa Keyboard; C:\Windows\system32\drivers\Lycosa.sys []
R3 MBAMProtector;MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys []
R3 RTL8167;Realtek 8167 NT Driver; C:\Windows\system32\DRIVERS\Rt64win7.sys []
S0x01000000 papycpu;papycpu; C:\Windows\system32\drivers\papycpu.sys [1998-10-06 1984]
S0x01000000 papyjoy;papyjoy; C:\Windows\system32\drivers\papyjoy.sys [1998-10-06 1888]
S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
S3 a0tsdnf2;a0tsdnf2; C:\Windows\SysWOW64\drivers\a0tsdnf2.sys []
S3 Andbus;LGE Android Platform Composite USB Device; C:\Windows\system32\DRIVERS\lgandbus64.sys []
S3 aswArKrn;aswArKrn; \??\C:\Users\Max\AppData\Local\Temp\aswArKrn.sys []
S3 cpuz134;cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [2010-07-09 21480]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.); C:\Windows\system32\DRIVERS\ssudbus.sys []
S3 dmvsc;dmvsc; C:\Windows\system32\drivers\dmvsc.sys []
S3 EagleX64;EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys []
S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\C:\Users\Max\AppData\Local\Temp\RarSFX0\kerneld.amd64 []
S3 Razerlow;Razer Pro|Solutions; C:\Windows\system32\drivers\DB3G.sys []
S3 RDPDR;Terminal Server Device Redirector Driver; C:\Windows\System32\drivers\rdpdr.sys []
S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver; C:\Windows\System32\drivers\rdpvideominiport.sys []
S3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIVX.sys []
S3 s3cap;s3cap; C:\Windows\system32\drivers\vms3cap.sys []
S3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.); C:\Windows\system32\DRIVERS\ssudmdm.sys []
S3 storvsc;storvsc; C:\Windows\system32\drivers\storvsc.sys []
S3 Synth3dVsc;Synth3dVsc; C:\Windows\System32\drivers\synth3dvsc.sys []
S3 terminpt;Microsoft Remote Desktop Input Driver; C:\Windows\system32\drivers\terminpt.sys []
S3 TsUsbFlt;TsUsbFlt; C:\Windows\system32\drivers\tsusbflt.sys []
S3 TsUsbGD;Remote Desktop Generic USB Device; C:\Windows\system32\drivers\TsUsbGD.sys []
S3 tsusbhub;@%SystemRoot%\system32\drivers\tsusbhub.sys,-1; C:\Windows\system32\drivers\tsusbhub.sys []
S3 VGPU;VGPU; C:\Windows\System32\drivers\rdvgkmd.sys []
S3 vmbus;vmbus; C:\Windows\system32\drivers\vmbus.sys []
S3 VMBusHID;VMBusHID; C:\Windows\system32\drivers\VMBusHID.sys []
S3 WinUSB;Razer WinUSB; C:\Windows\system32\DRIVERS\WinUSB.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe []
R2 AntiVirSchedulerService;Avira Planificateur; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2011-12-01 86224]
R2 AntiVirService;Avira Protection temps réel; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2011-12-01 110032]
R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2009-07-14 20992]
R2 MBAMService;MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
R2 MDM;Machine Debug Manager; C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]
R2 nlsX86cc;NLS Service; C:\Windows\SysWOW64\NLSSRV32.EXE [2011-11-02 68896]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 gupdate;Service Google Update (gupdate); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-10-28 136176]
S2 SkypeUpdate;Skype Updater; C:\Program Files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2009-07-14 20992]
S3 aspnet_state;ASP.NET State Service; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe [2010-03-18 44376]
S3 gupdatem;Service Google Update (gupdatem); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-10-28 136176]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service; C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 149352]
S3 osppsvc;Office Software Protection Platform; C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S3 PeerDistSvc;@%SystemRoot%\system32\peerdistsvc.dll,-9000; C:\Windows\System32\svchost.exe [2009-07-14 20992]
S3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2012-06-20 529232]
S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2009-07-14 20992]
S3 WatAdminSvc;@%SystemRoot%\system32\Wat\WatUX.exe,-601; C:\Windows\system32\Wat\WatAdminSvc.exe []
S4 NetMsmqActivator;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\\ServiceModelInstallRC.dll,-8195; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [2010-03-18 124240]
S4 NetPipeActivator;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\\ServiceModelInstallRC.dll,-8197; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [2010-03-18 124240]
S4 NetTcpActivator;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\\ServiceModelInstallRC.dll,-8199; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [2010-03-18 124240]

-----------------EOF-----------------
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 29 Juin 2012 15:42

Bonjour arkanes, poste le rapport d'Avira
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 30 Juin 2012 15:24

Bonjour Zaede, et merci de regarder ça pour moi, c'est vraiment sympa !

voici le rapport d'avira :




Avira Free Antivirus
Date de création du fichier de rapport : samedi 30 juin 2012 10:19

La recherche porte sur 3817999 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : RONRON

Informations de version :
BUILD.DAT : 12.0.0.207 41963 Bytes 20/02/2012 15:58:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 17/06/2012 09:54:42
AVSCAN.DLL : 12.1.0.19 64976 Bytes 17/06/2012 09:54:42
LUKE.DLL : 12.1.0.19 68304 Bytes 17/06/2012 09:54:42
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 16/06/2012 22:47:24
AVREG.DLL : 12.3.0.17 232200 Bytes 16/06/2012 22:47:24
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 08:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 22:45:27
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 22:46:03
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 22:46:29
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 17:24:03
VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 17:24:03
VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 17:24:03
VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 17:24:03
VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 17:24:03
VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 17:24:03
VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 17:24:03
VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 17:24:04
VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 17:24:04
VBASE014.VDF : 7.11.34.125 2048 Bytes 29/06/2012 17:24:05
VBASE015.VDF : 7.11.34.126 2048 Bytes 29/06/2012 17:24:05
VBASE016.VDF : 7.11.34.127 2048 Bytes 29/06/2012 17:24:05
VBASE017.VDF : 7.11.34.128 2048 Bytes 29/06/2012 17:24:05
VBASE018.VDF : 7.11.34.129 2048 Bytes 29/06/2012 17:24:05
VBASE019.VDF : 7.11.34.130 2048 Bytes 29/06/2012 17:24:05
VBASE020.VDF : 7.11.34.131 2048 Bytes 29/06/2012 17:24:05
VBASE021.VDF : 7.11.34.132 2048 Bytes 29/06/2012 17:24:05
VBASE022.VDF : 7.11.34.133 2048 Bytes 29/06/2012 17:24:05
VBASE023.VDF : 7.11.34.134 2048 Bytes 29/06/2012 17:24:05
VBASE024.VDF : 7.11.34.135 2048 Bytes 29/06/2012 17:24:05
VBASE025.VDF : 7.11.34.136 2048 Bytes 29/06/2012 17:24:05
VBASE026.VDF : 7.11.34.137 2048 Bytes 29/06/2012 17:24:05
VBASE027.VDF : 7.11.34.138 2048 Bytes 29/06/2012 17:24:06
VBASE028.VDF : 7.11.34.139 2048 Bytes 29/06/2012 17:24:06
VBASE029.VDF : 7.11.34.140 2048 Bytes 29/06/2012 17:24:06
VBASE030.VDF : 7.11.34.141 2048 Bytes 29/06/2012 17:24:06
VBASE031.VDF : 7.11.34.150 40448 Bytes 29/06/2012 17:24:06
Version du moteur : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 16/06/2012 22:47:21
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21/06/2012 22:45:01
AESCN.DLL : 8.1.8.2 131444 Bytes 16/06/2012 22:47:20
AESBX.DLL : 8.2.5.12 606578 Bytes 16/06/2012 22:47:22
AERDL.DLL : 8.1.9.15 639348 Bytes 08/09/2011 20:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21/06/2012 22:44:59
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28/06/2012 12:43:29
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28/06/2012 12:43:28
AEHELP.DLL : 8.1.23.2 258422 Bytes 28/06/2012 12:43:13
AEGEN.DLL : 8.1.5.30 422261 Bytes 16/06/2012 22:47:02
AEEXP.DLL : 8.1.0.58 82292 Bytes 28/06/2012 12:43:32
AEEMU.DLL : 8.1.3.0 393589 Bytes 01/09/2011 20:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 16/06/2012 22:47:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2011 20:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 01/12/2011 15:55:08
AVPREF.DLL : 12.1.0.17 51920 Bytes 01/12/2011 15:55:05
AVREP.DLL : 12.3.0.15 179208 Bytes 16/06/2012 22:47:24
AVARKT.DLL : 12.1.0.23 209360 Bytes 17/06/2012 09:54:42
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 01/12/2011 15:55:04
SQLITE3.DLL : 3.7.0.0 398288 Bytes 01/12/2011 15:55:18
AVSMTP.DLL : 12.1.0.17 63440 Bytes 01/12/2011 15:55:07
NETNT.DLL : 12.1.0.17 17104 Bytes 01/12/2011 15:55:15
RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 19/09/2011 23:36:03
RCTEXT.DLL : 12.1.0.16 99792 Bytes 27/09/2011 08:22:58

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120630-101757-957C1CEC.avp
Documentation.................................: par défaut
Action principale.............................: supprimer
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 30 juin 2012 10:19

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche d'objets cachés commence.
HKEY_USERS\S-1-5-21-3347344580-3966986097-2351165262-1000\Software\ATI\ACE\Settings\Runtime\Runtime Platform Caste Aspect ProcTime
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Fil caché
[REMARQUE] Un fil système n'est pas visible.
Pilote caché
[REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés.

La recherche sur les processus démarrés commence :
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '47' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '39' module(s) sont contrôlés
Processus de recherche 'googletalkplugin.exe' - '69' module(s) sont contrôlés
Module OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '45' module(s) sont contrôlés
Module OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'chrome.exe' - '59' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '49' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '64' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '41' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '83' module(s) sont contrôlés
Module OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'razerofa.exe' - '18' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '85' module(s) sont contrôlés
Module OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'avgnt.exe' - '69' module(s) sont contrôlés
Processus de recherche 'RazerImperatorSysTray.exe' - '42' module(s) sont contrôlés
Processus de recherche 'razerhid.exe' - '36' module(s) sont contrôlés
Processus de recherche 'DTLite.exe' - '63' module(s) sont contrôlés
Module OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'NLSSRV32.EXE' - '12' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '74' module(s) sont contrôlés
Processus de recherche 'armsvc.exe' - '24' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '41' module(s) sont contrôlés

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1975' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\Windows\assembly\GAC_32\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[AVERTISSEMENT] Impossible de copier le fichier dans le répertoire de quarantaine.
[AVERTISSEMENT] Impossible de trouver le fichier source.
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Impossible de copier le fichier dans le répertoire de quarantaine.
[AVERTISSEMENT] Erreur système [0]: The operation completed successfully.
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
[AVERTISSEMENT] Fichier ignoré.
C:\Windows\assembly\GAC_64\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[AVERTISSEMENT] Impossible de copier le fichier dans le répertoire de quarantaine.
[AVERTISSEMENT] Impossible de trouver le fichier source.
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Impossible de copier le fichier dans le répertoire de quarantaine.
[AVERTISSEMENT] Erreur système [0]: The operation completed successfully.
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
[AVERTISSEMENT] Fichier ignoré.
C:\Windows\Installer\{3a3738d9-de46-75c3-1488-e92b62e2ede8}\U\80000000.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 197b143d.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\Windows\System32\services.exe
[RESULTAT] Contient le modèle de détection du virus Windows W32/Patched.UC
[AVERTISSEMENT] Impossible de supprimer le fichier !
[AVERTISSEMENT] Fichier ignoré.


Fin de la recherche : samedi 30 juin 2012 16:19
Temps nécessaire: 6:00:32 Heure(s)

La recherche a été effectuée intégralement

32847 Les répertoires ont été contrôlés
760727 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
1 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
5 Impossible de scanner des fichiers
760718 Fichiers non infectés
7443 Les archives ont été contrôlées
8 Avertissements
69 Consignes
830471 Des objets ont été contrôlés lors du Rootkitscan
66 Des objets cachés ont été trouvés
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 30 Juin 2012 16:41

Bonjour arkanes



Télécharge CureIt Dr.Web (launch.exe) sur l'un des liens ci-dessous
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
http://www.pcastuces.com/logitheque/cureit.htm

Il ne nécessite pas d'installation.

Tu le lances.

Il va te demander de faire un san en mode protection renforcée

Accepte et suis les instructions données par l'outil

A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 04 Juil 2012 04:09

et voila le rapport ! (désolé pour le délai, et merci pour le coup de main encore)


1cc3a061.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
2e461271.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
4d0bc761.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
4e9cc291.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
4fe5c3e1.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
53cc7f81.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
559ce8e1.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
560bed11.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
5772ec51.qua;C:\Documents and Settings\Max\DoctorWeb\Quarantine;BackDoor.Siggen.46239;Irréparable.Quarantaine.;
OTL.exe;C:\Documents and Settings\Max\DoctorWeb\Quarantine;Trojan.Siggen4.7162;Irréparable.Quarantaine.;
Desktop.ini;C:\Windows\assembly\GAC_32;BackDoor.Siggen.46239;;
Desktop.ini;C:\Windows\assembly\GAC_64;BackDoor.Maxplus.91;Supprimé.;
00000008.@;C:\Windows\Installer\{3a3738d9-de46-75c3-1488-e92b62e2ede8}\U;Tool.BtcMine.26;;
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 04 Juil 2012 23:37

Bonsoir arkanes, on va continuer la desinfection, il semble y avoir un "gros client " ici

Télécharger tdsskiller.zip
Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau.


Fermer toutes les applications ouvertes et désactiver l'antivirus

Faire un double clique sur ltdsskiller pour le lancer.(clique droit ==> lancer en tant qu'administrateur sous Vista et Seven )

L'écran de TDSSKiller s'affiche:

Cliquer sur Start scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option Cure est sélectionnée

Si des objects suspects Suspicious objects ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)

Puis cliquer sur le bouton Continue puis sur Reboot Now

Attendre l'affichage du fichier rapport.

Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage

cliquer sur le bouton Reboot computer

Post: le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure] est bien cochée.
Si Suspicious file est indiqué laisse l'option cochée sur Skip
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).


En cas de difficultés, suis ce tuto
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 05 Juil 2012 23:22

Bonsoir

j'ai lancé TDSSKiller, qui n'a rien trouvé visiblement
le rapport est visible ici : http://cjoint.com/?BGgauYvcuFD

Merci encore pour le temps passé à essayer de me sauver la mise ;)

(PS depuis les précédentes manips, je n'ai visiblement plus de souci avec flash comme auparavant, mais toujours des alertes en continue d'avira concernant le ATRAPS.Gen2)
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 06 Juil 2012 18:06

Bonjour arkanes, il y a des choses curieuses sur ce PC

Télécharge aswMBR.exe sur ton bureau
Double clique sur aswMBR.exe pour lancer le programme 'clic droit et exécuter en tant qu'administrateur pour Vista /Seven
Accepte la mise à jour de la base antivirus avast
Clique sur scan
A la fin du scan, clique sur save log et poste le resultat dans la prochaine reponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 08 Juil 2012 07:11

Bonjour zaede,
je n'arrive pas à lancer un scan complet avec cet outil, il plante systématiquement au bout d'un moment. J'ai quand même réussi à enregistrer le log tel qu'il est juste avant que ça plante après avoir repéré à quel moment cela intervenait, ça donne ça :

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-08 08:05:45
-----------------------------
08:05:45.629 OS Version: Windows x64 6.1.7601 Service Pack 1
08:05:45.629 Number of processors: 2 586 0x1706
08:05:45.629 ComputerName: RONRON UserName: Max
08:05:47.279 Initialize success
08:05:50.943 AVAST engine defs: 12070700
08:05:51.983 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
08:05:51.993 Disk 0 Vendor: ST3250410AS 3.AAC Size: 238474MB BusType: 3
08:05:51.993 Disk 0 MBR read successfully
08:05:51.993 Disk 0 MBR scan
08:05:51.993 Disk 0 Windows 7 default MBR code
08:05:51.993 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 238473 MB offset 63
08:05:52.013 Disk 0 scanning C:\Windows\system32\drivers
08:06:00.823 Service scanning
08:06:18.163 Modules scanning
08:06:18.163 Disk 0 trace - called modules:
08:06:18.173 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80039a42c0]<<sptd.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
08:06:18.173 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800491d060]
08:06:18.173 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa80043fe520]
08:06:18.183 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa80043e3060]
08:06:18.183 \Driver\atapi[0xfffffa800396d440] -> IRP_MJ_CREATE -> 0xfffffa80039a42c0
08:06:19.120 AVAST engine scan C:\Windows
08:06:19.387 Scanning: C:\Windows\explorer.exe x\Documents\MBR.dat"
08:06:19.387 The log file has been saved successfully to "C:\Users\Max\Documents\aswMBR.txt"
08:06:21.177 AVAST engine scan C:\Windows\system32
08:06:49.806 Disk 0 MBR has been saved successfully to "C:\Users\Max\Documents\MBR.dat"
08:06:49.816 The log file has been saved successfully to "C:\Users\Max\Documents\aswMBR.txt"
08:07:51.527 File: C:\Windows\assembly\GAC_32\Desktop.ini **INFECTED** Win32:Sirefef-PL [Rtk]
08:07:52.289 Disk 0 MBR has been saved successfully to "C:\Users\Max\Documents\MBR.dat"
08:07:52.299 The log file has been saved successfully to "C:\Users\Max\Documents\aswMBR.txt"
08:07:53.641 File: C:\Windows\assembly\GAC_64\Desktop.ini **INFECTED** Win32:Sirefef-PL [Rtk]
08:07:54.873 Disk 0 MBR has been saved successfully to "C:\Users\Max\Documents\MBR.dat"
08:07:54.884 The log file has been saved successfully to "C:\Users\Max\Documents\aswMBR.txt"

en espérant que cela te soit utile ;)

encore merci,
arkanes
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 08 Juil 2012 16:24

Re, on va tenter de l'avoir autrement

Télécharge FixZeroAccess
Un fix conçu par Norton. Enregistre ce fichier sur le bureau.

Quitte tous les programmes en cours, désactive tous les outils de sécurité (Antivirus, antispyware ect ...)
Clic droit sur FixZeroAccess.exe et Exécuter en tant qu'administrateur
Accepte la licence et clique sur Proceed
Laisse l'outil travailler ne touche ni au clavier ni à la souris
L'outil te demandera de redémarrer ton pc accepte
Après le redémarrage des informations sur l'infection seront affichées
Par mesure de sécurité refais un second scan avec FixZeroAccess
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 09 Juil 2012 06:42

Bonjour

FixZeroAccess n'a rien détecté à aucun de de ses deux passages.

Bonne journée à toi.

Arkanes
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 09 Juil 2012 18:15

Re, il reste des fichiers patchés à priori


Rends toi sur ce site :

http://www.virustotal.com/

- Clique sur parcourir et cherche ce fichier:

C:\Windows\assembly\GAC_32\Desktop.ini

- Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Recommence la manip avec ce fichier

C:\Windows\assembly\GAC_64\Desktop.ini
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar arkanes » 13 Juil 2012 15:29

Bonjour
Malheureusement impossible pour moi de faire cette manip'. Quand je parcours ce répertoire depuis le site que tu m'indiques, je ne vois pas de sous répertoire ou de fichier, mais une liste de processus.
Donc si tu as une autre idée ? ou une façon de contourner ça ?
Merci encore à toi

Arkanes
arkanes
 
Messages: 8
Inscription: 27 Juin 2012 20:25

Re: TR/ATRAPS.Gen2 + comportement bizarre de flash

Messagepar zaede » 13 Juil 2012 17:14

Bonjour en allant sur le site et en cliquant sur Choose file, puis naviguer jusqu'au fichier a analyser
Pour finir scan it et attendre que le rapport s'affiche au complet
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités