Comprendre le bitcoin, l'intelligence artificielle, faire un site web... En 3 minutes en vidéo!

Nettoyage pc potentiellement infecté.

<<<1>>>

[Page 1 sur 1 - 8 messages]
Informations Messages

Lyonnais69

Avatar de Lyonnais69
4 messages
Neurone isolé
Neurone isolé

Lien direct Le 05 Décembre 2018 à 18h19

Bonsoir, j'ai téléchargé quelque chose que mon antivirus à détecté comme ransomeware (un png donc un peut louche), j'aimerai faire un bon nettoyage par sécurité.Content
Merci d'avance

 

Publicité

Winx

Avatar de Winx
27675 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 06 Décembre 2018 à 17h15

Salut à toi et bienvenue,Sourire Hello


Dans un tout premier temps, prends connaissance et approuve les règles élémentaires en vigeur sur ce forum ( histoire de ne pas perdre nortre temps à tous les deux ! )
Ajoute une petite phrase dans ta réponse, pour me montrer que tu as bien lu et approuvé les quelques règles en cours ( merci , c'est sympa Clin d'oeil ), histoire de partir sur un bon pied.

Afin de m' éclairer sur la nature précise de tes soucis "infectieux",
dans un premier temps fais cette procédure et poste le rapport généré par Random's system information tool (RSIT) par
random/random
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    - Double-clique sur RSIT.exe afin de lancer RSIT.
    ( sous Windows Seven et 8, llancer avec un clic droit sur le fichier, et choisir les Droits administrateur )
    - Clique Continue à l'écran Disclaimer.


    - Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.





    Ensuite une petite fenetre apparait, avec la mention "Hijackthis " ensuite " Listing recently..."


    il peut arriver qu'une petite fenêtre d'erreur de hijackthis s'ouvre, ce n'est pas grave, on clic sur "ok" ( il rale parce que Windows a bloqué l'accès au fichier "Host " qui se trouve sous Seven 64 bits dans C\windows\SysWOW64\driver\etc , donc ce n'est pas grave, ça ne va pas empêcher Hijackthis de s'éxécuter.

    - Poste le contenu de log.txt (<<qui sera affiché) dans la barre de tâche ( sous Seven )
    ainsi que info.txt (<<qui sera réduit dans la Barre des Tâches).


Il est toutefois possible que sous Seven, le fichier " info.txt" ne soit pas créé. Ne poster donc alors que le contenu de "log.txt"




// ! Important !
=======================

Citation

Durant la phase de désinfection, il est absolument indispensable et primordial de ne pas rajouter de programmes à votre PC, afin de ne pas perturber la décontamination de votre machine. Faites-en un usage minimum durant cette phase.

D'autre part, ne pas utiliser d'outil(s) de décontamination de sa propre initiative, cela peut définitivement nuire à notre travail et au bon rétablissement de la machine. Sourire
C'est à la mode en ce moment, d'utiliser des outils comme Combofix sans autorisation !
C'est ABSOLUMENT proscrit ici sur ce Forum.

Il est évident qu'un PC infecté peut tout à fait devenir inutilisable malgré la tentative de désinfection, et de ce fait prendre la précaution de sauvegarder tous ses documents personnels, AVANT de commencer notre travail, c'est une très bonne idée en soi....merci de prendre ça en considération LOL !

Il est évident que je considère que l'option formatage et/ou une restauration du Système ne fait pas actuellement partie de ton intention, ce qui m'évite de perdre du temps.... LOL ! merci d'avance



Ps:
======
Conseil d'ordre général Sourire
---->> Aller sur le Net avec Windows Internet Explorer, n'est pas souhaitable.
Ne me demandez pas ici pourquoi, c'est un fait établi, que vous devrez considérer comme acquis.
( si vous n'êtes pas d'accord, c'est votre droit, mais je n'ai pas de temps à perdre en polémiques inutiles et non constructives. )
Toutefois, ce qui ne veut pas dire que Windows Internet Explorer, ne doit pas être à jour ! (vérifier que vous avez la dernière version ! )

Télécharger Mozilla-FirefoxVersion 57.0.4, X. (le X représente évidemment la dernière version ) et le mettre à l'install comme Navigateur par défaut.

Flèche lien ici

-->source ici de conseils
Eviter à tous prix de poster dans plusieurs Forum à la fois...pas de multi-postage donc !



Poster les 2 rapports demandés (log.txt et info.txt)
En cas de fichier trop gros, suffit de le diviser sur deux réponses, ou plus.....




PS:
Pas de messages en MP en ce qui concerne le sujet en cours de désinfection, les MP sont réservés aux questions d'ordre privé Clin d'oeil
Si tu ne peux pas télécharger en direct avec la machine infectée, il est évident qu'il faut faire usage, d'une carte SD ou clé usb via un autre PC.

Si je détecte l'usage de P2, et de téléchargements de jeux crackés via µtorrent, ou n'importe quels autre clients Torrent, je peux vous aider une fois, seule chose ne remettez pas le couvert 15 jours après ( ou plus ) en général je donne un avertissement à ce sujet, il y a d'autres moyens légaux que de télécharger des jeux crackés actuellement.

edit 06/17
Il est important de considérer que les rapports doivent être fourni le plus vite possible par rapport à ma demande, ainsi que le fait de ne pas jouer l'apprentis sorcier pendant la phase de décontamination. Sourire

Citation

Flèche ça me paraît d'une évidence limpide, mais sans réponse dans les 48 h le post est verrouillé. Si vous avez une raison valable, expliquez en MP, je déverrouille alors le sujet en cours.

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Lyonnais69

Avatar de Lyonnais69
4 messages
Neurone isolé
Neurone isolé

Lien direct Le 07 Décembre 2018 à 14h17

info.txt logfile of random's system information tool 1.10 2018-12-07 14:15:59

======MBR======



======Uninstall list======

Adobe Acrobat Reader DC - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-AC0F074E4100}
Adobe Refresh Manager-->MsiExec.exe /I{AC76BA86-0804-1033-1959-001824298644}
AIDA64 Extreme v5.98-->"C:\Program Files (x86)\FinalWire\AIDA64 Extreme\unins000.exe"
Assassin's Creed Odyssey-->"C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\upc.exe" uplay://uninstall/5059
Assassin's Creed Origins-->"C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\upc.exe" uplay://uninstall/3539
Avast Internet Security-->C:\Program Files\AVAST Software\Avast\Setup\Instup.exe /control_panel
Binance version 1.3.0-->"C:\Binance\unins000.exe"
Brackets-->MsiExec.exe /X{592BB3B3-F93A-47DF-8B2D-95FDE239BF13}
CORSAIR iCUE Software-->MsiExec.exe /I{3DDA8C8B-7623-42DE-81C3-9E41CAD4F14A}
Dropbox Update Helper-->MsiExec.exe /I{099218A5-A723-43DC-8DB5-6173656A1E94}
Dropbox-->"C:\Program Files (x86)\Dropbox\Client\DropboxUninstaller.exe" /InstallType:MACHINE
Epic Games Launcher-->MsiExec.exe /X{CC65E120-E089-4438-815A-E20004182608}
FFB Racing Wheel drivers-->"C:\Program Files (x86)\InstallShield Installation Information\{28B758EA-5C83-48B1-B352-C70F12C73F5A}\setup.exe" -runfromtemp -l0x040c -removeonly
FIFA 18-->"C:\Program Files\Common Files\EAInstaller\FIFA 18\Cleanup.exe" uninstall_game -autologging
Google Chrome-->"C:\Program Files (x86)\Google\Chrome\Application\70.0.3538.110\Installer\setup.exe" --uninstall --system-level --verbose-logging
Google Update Helper-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
hide.me VPN 2.1.0-->"C:\Program Files (x86)\hide.me VPN\unins000.exe"
Intel(R) Trusted Connect Service Client x86-->MsiExec.exe /I{C9552825-7BF2-4344-BA91-D3CD46F4C441}
Intel(R) Trusted Connect Services Client-->"C:\ProgramData\Package Cache\{aa81bdf2-96a6-4400-a596-c7d1916ce9f7}\iclsClientInstaller.exe" /uninstall
IObit Uninstaller 8-->"C:\Program Files (x86)\IObit\IObit Uninstaller\unins000.exe"
Kinect for Windows Speech Recognition Language Pack (en-AU)-->MsiExec.exe /X{48CEC0A3-AE10-4EE3-AC62-76D3D58792E5}
Kinect for Windows Speech Recognition Language Pack (en-CA)-->MsiExec.exe /X{9C5505DA-F9C1-46CB-9F8F-AC38F8EA518A}
Kinect for Windows Speech Recognition Language Pack (en-GB)-->MsiExec.exe /X{A0186231-0A8B-455A-8A25-B64AABCC11A6}
Kinect for Windows Speech Recognition Language Pack (en-IE)-->MsiExec.exe /X{998D5259-3BED-4710-98FF-D63387B5429E}
Kinect for Windows Speech Recognition Language Pack (en-NZ)-->MsiExec.exe /X{07FC9CAD-FCEC-4186-BB83-EF7CCC9372BA}
Kinect for Windows Speech Recognition Language Pack (en-US)-->MsiExec.exe /X{8AAA44BB-487E-4D01-AF76-484ACB90DBFE}
Kinect for Windows Speech Recognition Language Pack (fr-CA)-->MsiExec.exe /X{7D179500-CA0C-4456-B624-C15876B15F39}
Kinect for Windows Speech Recognition Language Pack (fr-FR)-->MsiExec.exe /X{4CC174AA-25BC-46FF-B1E2-13B24AFB6142}
Launcher Prerequisites (x64)-->"C:\ProgramData\Package Cache\{c6c5a357-c7ca-4a5f-9789-3bb1af579253}\LauncherPrereqSetup_x64.exe" /uninstall
League of Legends-->E:\League of legends\Uninstall League of Legends.exe
Lightshot-5.4.0.35-->"C:\Program Files (x86)\Skillbrains\lightshot\unins000.exe"
Microsoft Server Speech Recognition Language - TELE (en-IN)-->MsiExec.exe /I{3B06AC90-DE68-44A9-95EB-0A3C1AF1514F}
Microsoft VC++ redistributables repacked.-->MsiExec.exe /I{0BCE8758-E425-4BD8-B5FB-4FBEDAE133DF}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F}
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219-->MsiExec.exe /X{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60610-->"C:\ProgramData\Package Cache\{a1909659-0a08-4554-8af1-2175904903a1}\vcredist_x64.exe" /uninstall
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030-->"C:\ProgramData\Package Cache\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}\vcredist_x64.exe" /uninstall
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60610-->"C:\ProgramData\Package Cache\{95716cce-fc71-413f-8ad5-56c2892d4b3a}\vcredist_x86.exe" /uninstall
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030-->"C:\ProgramData\Package Cache\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}\vcredist_x86.exe" /uninstall
Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.61030-->MsiExec.exe /X{B175520C-86A2-35A7-8619-86DC379688B9}
Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.61030-->MsiExec.exe /X{BD95A8CD-1D9F-35AD-981A-3E7925026EBB}
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501-->"C:\ProgramData\Package Cache\{050d4fc8-5d48-4b8f-8972-47c82c46020f}\vcredist_x64.exe" /uninstall
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501-->"C:\ProgramData\Package Cache\{f65db027-aff3-4070-886a-0d87064aabb1}\vcredist_x86.exe" /uninstall
Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.21005-->MsiExec.exe /X{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}
Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.21005-->MsiExec.exe /X{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}
Microsoft Visual C++ 2017 Redistributable (x64) - 14.14.26405-->"C:\ProgramData\Package Cache\{5b295ba9-ef89-4aeb-8acc-b61adb0b9b5f}\VC_redist.x64.exe" /uninstall
Microsoft Visual C++ 2017 Redistributable (x86) - 14.14.26405-->"C:\ProgramData\Package Cache\{ec9c2282-a836-48a6-9e41-c2f0bf8d678b}\VC_redist.x86.exe" /uninstall
Microsoft Visual C++ 2017 x86 Additional Runtime - 14.14.26405-->MsiExec.exe /X{2BCACFA1-2BE1-373C-9051-76A9661D9FC4}
Microsoft Visual C++ 2017 x86 Minimum Runtime - 14.14.26405-->MsiExec.exe /X{644544A0-318A-344C-964C-4DBE2FB5F864}
MSI Afterburner 4.5.0-->"C:\Program Files (x86)\MSI Afterburner\uninstall.exe"
NordVPN network TAP-->MsiExec.exe /X{97DEC5D6-2BE9-45BB-BFC5-274B851B486B}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
OBS Studio-->C:\Program Files (x86)\obs-studio\uninstall.exe
Office 16 Click-to-Run Extensibility Component-->MsiExec.exe /X{90160000-008C-0000-0000-0000000FF1CE}
Office 16 Click-to-Run Localization Component-->MsiExec.exe /X{90160000-008C-040C-0000-0000000FF1CE}
Origin-->C:\Program Files (x86)\Origin\OriginUninstall.exe
PBE-->C:\Riot Games\PBE\Uninstall PBE.exe
PokerStars.fr-->"C:\Program Files (x86)\PokerStars.FR\PokerStarsUninstall.exe" /u:PokerStars.fr
Realtek High Definition Audio Driver-->C:\Program Files\Realtek\Audio\HDA\RtlUpd64.exe -r -m -nrg2709
Samsung Data Migration-->"C:\Program Files (x86)\InstallShield Installation Information\{3B304604-0BF5-488E-AB95-F2F2E31206F3}\setup.exe" -runfromtemp -l0x040c -removeonly /z "UNINSTALL"
Samsung Magician-->"C:\Program Files (x86)\Samsung\Samsung Magician\unins000.exe"
SlimDX Runtime .NET 4.0 x86 (January 2012)-->MsiExec.exe /X{7EBD0E43-6AC0-4CA8-9990-00E50069AD29}
Steam-->C:\Program Files (x86)\Steam\uninstall.exe
SWF Opener-->"C:\Program Files (x86)\UnH Solutions\SWF Opener\unins000.exe"
TeamViewer 13-->"C:\Program Files (x86)\TeamViewer\uninstall.exe"
TunnelBear-->"C:\ProgramData\Package Cache\{58a01650-b45c-443b-a51e-90f586a63532}\TunnelBear-Installer.exe" /uninstall
TunnelBear-->MsiExec.exe /I{C7E7F8CF-E23A-4FC1-8AAC-8710A70490E3}
Uplay-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
Wireshark 2.6.4 64-bit-->"C:\Program Files\Wireshark\uninstall.exe"

======System event log======

Computer Name: PC-Nicolas
Event Code: 7031
Message: Le service Service utilisateur de notifications Push Windows_2a27aa3 s’est terminé de manière inattendue. Ceci s’est produit 1 fois. L’action corrective suivante va être effectuée dans 10000 millisecondes : Redémarrer le service.
Record Number: 32561
Source Name: Service Control Manager
Time Written: 20181203165813.575875-000
Event Type: Erreur
User:

Computer Name: PC-Nicolas
Event Code: 10016
Message: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
et l’APPID
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
au SID PC-NICOLAS\nico de l’utilisateur (S-1-5-21-3113436935-1655820403-3251001970-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Microsoft.Windows.ContentDeliveryManager_10.0.17134.1_neutral_neutral_cw5n1h2txyewy du conteneur d’applications (S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
Record Number: 32560
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20181203165702.737628-000
Event Type: Erreur
User: PC-NICOLAS\nico

Computer Name: PC-Nicolas
Event Code: 10016
Message: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
et l’APPID
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
au SID PC-NICOLAS\nico de l’utilisateur (S-1-5-21-3113436935-1655820403-3251001970-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Microsoft.Windows.ContentDeliveryManager_10.0.17134.1_neutral_neutral_cw5n1h2txyewy du conteneur d’applications (S-1-15-2-350187224-1905355452-1037786396-3028148496-2624191407-3283318427-1255436723). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
Record Number: 32559
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20181203165700.984299-000
Event Type: Erreur
User: PC-NICOLAS\nico

Computer Name: PC-Nicolas
Event Code: 10016
Message: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
et l’APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
au SID PC-NICOLAS\nico de l’utilisateur (S-1-5-21-3113436935-1655820403-3251001970-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
Record Number: 32556
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20181203164651.171985-000
Event Type: Erreur
User: PC-NICOLAS\nico

Computer Name: PC-Nicolas
Event Code: 10016
Message: Les paramètres d’autorisation propres à l’application n’accordent pas l’autorisation Local Activation pour l’application serveur COM avec le CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
et l’APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
au SID PC-NICOLAS\nico de l’utilisateur (S-1-5-21-3113436935-1655820403-3251001970-1001) depuis l’adresse LocalHost (avec LRPC) s’exécutant dans le SID Non disponible du conteneur d’applications (Non disponible). Cette autorisation de sécurité peut être modifiée à l’aide de l’outil d’administration Services de composants.
Record Number: 32553
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20181203145059.871502-000
Event Type: Erreur
User: PC-NICOLAS\nico

=====Application event log=====

Computer Name: PC-Nicolas
Event Code: 1000
Message: Nom de l’application défaillante ATKEX_cmd.exe, version : 0.0.0.0, horodatage : 0x00000000
Nom du module défaillant : KERNELBASE.dll, version : 10.0.17134.407, horodatage : 0xade8d4fe
Code d’exception : 0x0eedfade
Décalage d’erreur : 0x00111812
ID du processus défaillant : 0x4324
Heure de début de l’application défaillante : 0x01d48bdeb1aad2a4
Chemin d’accès de l’application défaillante : C:\Program Files\Realtek\Audio\HDA\ATKEX_cmd.exe
Chemin d’accès du module défaillant: C:\WINDOWS\System32\KERNELBASE.dll
ID de rapport : 290968ba-36f7-48e8-a14d-a53162958081
Nom complet du package défaillant :
ID de l’application relative au package défaillant :
Record Number: 59923
Source Name: Application Error
Time Written: 20181204143608.504361-000
Event Type: Erreur
User:

Computer Name: PC-Nicolas
Event Code: 1000
Message: Nom de l’application défaillante ATKEX_cmd.exe, version : 0.0.0.0, horodatage : 0x00000000
Nom du module défaillant : KERNELBASE.dll, version : 10.0.17134.407, horodatage : 0xade8d4fe
Code d’exception : 0x0eedfade
Décalage d’erreur : 0x00111812
ID du processus défaillant : 0x4324
Heure de début de l’application défaillante : 0x01d48bdeb1aad2a4
Chemin d’accès de l’application défaillante : C:\Program Files\Realtek\Audio\HDA\ATKEX_cmd.exe
Chemin d’accès du module défaillant: C:\WINDOWS\System32\KERNELBASE.dll
ID de rapport : 53693068-1439-4b69-871b-f37ddad0747f
Nom complet du package défaillant :
ID de l’application relative au package défaillant :
Record Number: 59921
Source Name: Application Error
Time Written: 20181204143608.207555-000
Event Type: Erreur
User:

Computer Name: PC-Nicolas
Event Code: 8198
Message: Échec de l’activation des licences (slui.exe) avec le code d’erreur suivant :
hr=0x8007139F
Arguments de la ligne de commande :
RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
Record Number: 59917
Source Name: Microsoft-Windows-Security-SPP
Time Written: 20181204143604.084803-000
Event Type: Erreur
User:

Computer Name: PC-Nicolas
Event Code: 8233
Message: Le moteur de règles a signalé l’échec d’une tentative d’activation de licences en volume.
Motif :0x8007007B
IdApp = 0ff1ce15-a989-479d-af46-f275c6370663, IdSku = d450596f-894d-49e0-966a-fd39ed4c4c64
Déclencheur=NetworkAvailable
Record Number: 59912
Source Name: Microsoft-Windows-Security-SPP
Time Written: 20181203203445.900104-000
Event Type: Avertissement
User:

Computer Name: PC-Nicolas
Event Code: 1000
Message: Nom de l’application défaillante svchost.exe_WpnUserService, version : 10.0.17134.1, horodatage : 0xa38b9ab2
Nom du module défaillant : NotificationController.dll, version : 10.0.17134.165, horodatage : 0xe0385185
Code d’exception : 0xc0000005
Décalage d’erreur : 0x000000000007a24d
ID du processus défaillant : 0xca8
Heure de début de l’application défaillante : 0x01d48b105d52869e
Chemin d’accès de l’application défaillante : C:\WINDOWS\system32\svchost.exe
Chemin d’accès du module défaillant: C:\Windows\System32\NotificationController.dll
ID de rapport : 0caf1ebf-8320-492a-8f0a-de738f4fbe2f
Nom complet du package défaillant :
ID de l’application relative au package défaillant :
Record Number: 59878
Source Name: Application Error
Time Written: 20181203165811.780661-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-Nicolas
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Objet :
ID de sécurité : S-1-5-18
Nom du compte : PC-NICOLAS$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3E7

Informations d'ouverture de session :
Type d'ouverture de session : 5
Mode administrateur restreint : -
Compte virtuel : Non
Jeton élevé : Oui

Niveau d'emprunt d'identité : Emprunt d’identité

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3E7
ID d'ouverture de session liée : 0x0
Nom du compte réseau : -
Domaine du compte réseau : -
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x31c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 116961
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20181203145154.560335-000
Event Type: Succès de l’audit
User:

Computer Name: PC-Nicolas
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3E7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Record Number: 116960
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20181203145154.453153-000
Event Type: Succès de l’audit
User:

Computer Name: PC-Nicolas
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Objet :
ID de sécurité : S-1-5-18
Nom du compte : PC-NICOLAS$
Domaine du compte : WORKGROUP
ID d'ouverture de session : 0x3E7

Informations d'ouverture de session :
Type d'ouverture de session : 5
Mode administrateur restreint : -
Compte virtuel : Non
Jeton élevé : Oui

Niveau d'emprunt d'identité : Emprunt d’identité

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3E7
ID d'ouverture de session liée : 0x0
Nom du compte réseau : -
Domaine du compte réseau : -
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x31c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : Advapi
Package d'authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Le champ du niveau d'emprunt d'identité indique la portée de l'emprunt d'identité que peut prendre un processus dans la session d'ouverture de session.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 116959
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20181203145154.453150-000
Event Type: Succès de l’audit
User:

Computer Name: PC-Nicolas
Event Code: 4798
Message: Une adhésion au groupe local d'un utilisateur a été énumérée.

Objet :
ID de sécurité : S-1-5-21-3113436935-1655820403-3251001970-1001
Nom du compte : nico
Domaine du compte : PC-NICOLAS
ID d'ouverture de session : 0x2A1C853

Utilisateur :
ID de sécurité : S-1-5-21-3113436935-1655820403-3251001970-1001
Nom du compte : nico
Domaine du compte : PC-NICOLAS

Informations sur le processus :
ID du processus : 0x1c2c
Nom du processus : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Record Number: 116958
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20181203145139.229285-000
Event Type: Succès de l’audit
User:

Computer Name: PC-Nicolas
Event Code: 1102
Message: Le journal d’audit a été effacé.
Objet :
ID de sécurité : S-1-5-21-3113436935-1655820403-3251001970-1001
Nom de compte : nico
Nom de domaine : PC-NICOLAS
ID de connexion : 0x2A1C77D
Record Number: 116957
Source Name: Microsoft-Windows-Eventlog
Time Written: 20181203145041.656189-000
Event Type: Succès de l’audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"DriverData"=C:\Windows\System32\Drivers\DriverData
"OS"=Windows_NT
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"Path"=C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\iCLS\;C:\Program Files\Intel\Intel(R) Management Engine Components\iCLS\;C:\WINDOWS\SYSTEM32;C:\WINDOWS;C:\WINDOWS\SYSTEM32\WBEM;C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\;C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\PHYSX\COMMON;C:\WINDOWS\SYSTEM32;C:\WINDOWS;C:\WINDOWS\SYSTEM32\WBEM;C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\;C:\WINDOWS\SYSTEM32\OPENSSH\;C:\PROGRAM FILES (X86)\BRACKETS\COMMAND;C:\Program Files\WIDCOMM\Bluetooth Software\;C:\Program Files\WIDCOMM\Bluetooth Software\syswow64;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine Components\DAL;C:\Program Files\NVIDIA Corporation\NVIDIA NvDLISR
"PSModulePath"=%ProgramFiles%\WindowsPowerShell\Modules;%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files\Intel\Wired Networking\
"NUMBER_OF_PROCESSORS"=4
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 94 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=5e03
"VBOX_MSI_INSTALL_PATH"=C:\Program Files\Oracle\VirtualBox\

-----------------EOF-----------------

 

Winx

Avatar de Winx
27675 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 07 Décembre 2018 à 20h54

fais ceci

AdwCleaner - Recherche :

[*]télécharge AdwCleaner sur ton bureau.





[*]Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation ( XP )
/!\ Sous Vista et Windows 7, 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*]Sur le menu principal, clique sur Scanner et patiente le temps de l'analyse

[*]A la fin du scan, un rapport AdwCleaner[R].txt est créé. automatiquement.
Clic sur le bouton "Rapport"
Poste le contenu de ce rapport dans ta prochaine réponse


Désinfection
------------------------------------

Relance Adwcleaner, et clic sur le bouton, "Nettoyer", ensuite il est possible que l'outil demande de redémarrer le PC, un rapport s'ouvrira au redémarrage ( arrivé sur le bureau évidemment ) , poste-le dans ta réponse.

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Lyonnais69

Avatar de Lyonnais69
4 messages
Neurone isolé
Neurone isolé

Lien direct Le 08 Décembre 2018 à 12h36

Le nettoyage n'a rien trouvé.

 

Winx

Avatar de Winx
27675 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 08 Décembre 2018 à 19h12

* Télécharge sur le bureau RogueKiller 32/64 bits (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven ,8.1, 10 clique droit -> lancer en tant qu'administrateur
* Sinon, lance simplement RogueKiller.exe.
* Clic sur le bouton bleu, Démarrer le scan.


Le scan démarre



* Une fois terminé, clic sur ' Ouvrir txt et copie/colle le rapport dans ta réponse.

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Lyonnais69

Avatar de Lyonnais69
4 messages
Neurone isolé
Neurone isolé

Lien direct Hier - 10h32

RogueKiller Anti-Malware V13.0.15.0 (x64) [Dec 3 2018] (Gratuit) par Adlice Software
email : https://adlice.com/contact/
Site web : https://adlice.com/download/roguekiller/
Système d'exploitation : Windows 10 (10.0.17134) 64 bits
Démarré en : Mode normal
Utilisateur : nico [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller64.exe
Mode : Scan Standard, Scan -- Date : 2018/12/09 10:24:24 (Durée : 00:06:47)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[Proc.Hidden (Malicieux)] wmiprvse.exe (5660) -- C:\Windows\System32\wbem\WmiPrvSE.exe -> Trouvé(e)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Modules de Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tâches ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
[PUP.Auslogics (Potentiellement Malicieux)] (X86) HKEY_LOCAL_MACHINE\Software\Auslogics -- N/A -> Trouvé(e)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Fichier Hosts ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Fichiers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUP.Auslogics (Potentiellement Malicieux)] (shortcut) Auslogics Disk Defrag.lnk -- C:\Users\nico\Desktop\Auslogics Disk Defrag.lnk => C:\PROGRA~2\AUSLOG~1\DISKDE~1\DISKDE~1.EXE -> Trouvé(e)
[PUP.AutoIt.Gen (Potentiellement Malicieux)] (file) RSIT.exe -- C:\Users\nico\Desktop\RSIT.exe -> Trouvé(e)
[PUP.Auslogics (Potentiellement Malicieux)] (folder) Auslogics -- C:\ProgramData\Auslogics -> Trouvé(e)
[PUP.Auslogics (Potentiellement Malicieux)] (folder) Auslogics -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics -> Trouvé(e)
[PUP.Auslogics (Potentiellement Malicieux)] (folder) Auslogics -- C:\Program Files (x86)\Auslogics -> Trouvé(e)
[PUP.Auslogics (Potentiellement Malicieux)] (folder) Auslogics -- C:\Program Files (x86)\Auslogics -> Trouvé(e)
[PUP.Auslogics (Potentiellement Malicieux)] (shortcut) Auslogics Disk Defrag.lnk -- C:\Users\nico\Desktop\Auslogics Disk Defrag.lnk => C:\PROGRA~2\AUSLOG~1\DISKDE~1\DISKDE~1.EXE -> Trouvé(e)
[PUP.AutoIt.Gen (Potentiellement Malicieux)] (file) RSIT.exe -- C:\Users\nico\Desktop\RSIT.exe -> Trouvé(e)
[PUP.AutoIt.Gen (Potentiellement Malicieux)] (file) RSIT.exe -- C:\Users\nico\Downloads\RSIT.exe -> Trouvé(e)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Navigateurs web ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

 

Winx

Avatar de Winx
27675 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Hier - 19h07

re,
tu as fais le nettoyage ?

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

<<<1>>>

[Page 1 sur 1 - 8 messages]