> Tous les forumsSécurité

 Rapport hijackthis PC trop lent
2 pages : [1] 2 ... Fin
Bas de la page Page Précédente Page Suivante 
Statut du sujet : NON RESOLU Imprimer
 TONIO87
  Posté le 03/11/2004 @ 18:49  
 Petit astucien

89 Messages
Bonsoir à tous, J'ai un gros problème de lenteur sur mon serveur nt4 du boulot Je suspecte un virus Ci joint le rapport hijackthis Aidez moi je pète un cable Logfile of HijackThis v1.97.7 Scan saved at 18:47:29, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 Merci
 
 Aller en bas de la page  
 
Publicité
 did71  Posté le 03/11/2004 à 18:52  
  Astucien


7699 Messages
bonjour TONIO87, 1-utilise cette version de hijackthis : [url]http://209.133.47.12/~merijn/files/HijackThis.exe[/url] 2-poster le rapport complet avec les processus. a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 03/11/2004 à 19:22  
Petit astucien

89 Messages
Bonsoir did71 Suite à ta demande ci joint le nouveau rapport Merci de ton aide car la je suis dans le gros merdier Logfile of HijackThis v1.98.2 Scan saved at 19:14:03, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 J'ai fait une copie d'écran du processus [IMG]http://img97.exs.cx/img97/3230/processusserveurnt.jpg[/IMG] Merci pour ton aide
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 did71  Posté le 03/11/2004 à 20:22  
  Astucien


7699 Messages
re, je voudrais bien t'aider mais je ne comprends pas que tu n aies pas accès aux running process avec hijackthis (Unable to list running processes (error#53) On va procéder comme suivant : supprime tes fichiers temporaire (propriété d'internet explorer>supprimer les fichiers) Supprimer les cookies inutiles. Vide ta corbeille. Passe un coup de spybot mis à jour :[url]http://www.spybot.info/fr/download/index.html[/url] et ad aware mis à jour : [url]http://www.lavasoft.de/[/url] Un scan anti trojan avec a2free : [url]http://www.emsisoft.net/fr/software/free/[/url] Un scan antivirus en ligne ici (désactive ta restauration système lors du scan et réactive la par la suite) : [url]http://www.ravantivirus.com/scan/[/url] puis poste le rapport du scan antivirus. a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 03/11/2004 à 20:55  
Petit astucien

89 Messages
ok je test ta procédure et te tiens informé mais vu la vitesse du PC ça risque d'être long très long A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 04/11/2004 à 13:41  
Petit astucien

89 Messages
salut did et aux autres J'ai suivi ta procédure Suppression des fichiers temporaire > ok Vider la corbeille > ok Suppression des cookies > ok Par contre, vu la saturation du PC je n'ai pas reussi a faire les éléments suivants: Installation de spyboot > refus total d'installation avec message d'erreur ad aware > refus total d'installation avec message d'erreur A2free > refus total d'installation avec message d'erreur Impossible d'exécuter un scan avec ravantivirus directement sur le poste 3 processus bloquent 100% de L'UC: Il s'agit de wins.exe , msdtc.exe et RpcSs.exe Par contre,j'ai scanné via mon réseau les 2 disques du PCSERVEUR via mon propre PC: Avec Norton 2004: Rien aucuns virus Avec mcafee en ligne: Rien aucuns virus Avec ravantivirus: Détection de un virus voir rapport ci joint Scan started at 04/11/2004 07:18:09 Scanning memory... Scanning boot sectors... Scanning files... X:\Applications\Pflex\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected X:\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected Scanned ============================ Objects: 159253 Directories: 8478 Archives: 2817 Size(Kb): -1725694 Infected files: 2 Found ============================ Viruses found: 1 Suspicious files: 0 Disinfected files: 0 Mail files: 404 Merci de ton aide sur cette merde A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 did71  Posté le 04/11/2004 à 14:50  
  Astucien


7699 Messages
bonjour, en passant vite fait ici, tu suis le chemin indiqué par ton scan et tu supprime manuellement ces executable. X:\Applications\Pflex\GP\RECYCLED\"SirC32.exe" X:\GP\RECYCLED\"SirC32.exe" a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 04/11/2004 à 22:49  
Petit astucien

89 Messages
Salut did J'ai viré les 2 répertoires mais je suis toujours saturé par mes 3 processus je relance un scan des lecteur via réseau avec ravantivirus Je te tiens au jus A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 05:01  
Astucien

4419 Messages
Bonjour TONIO87,bonjour did,bonjour à tous, J'ai regardé de trés prés les processus qui tournent chez toi,et celui que j'ai trouvé bizarre est celui-la:RpcSc.exe Les autres sont légitimes. Regardez bien la syntaxe: RpcSc.exe Le legitime s'inscrit de la sorte rpcss.exe
rpcss.exe Le processus rpcss.exe (rpcss signifiant Remote Procedure Call Subsystem) est un processus générique de Windows NT/2000/XP permettant à des applications d'utiliser les procédures RPC déclarées sur le système. Le processus rpcss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système critique ne pouvant pas être arrêté. http://www.commentcamarche.net/processus/rpcss-exe.php3
Fais donc une recherche sur ce RpcSc.exe,localisation,date de creation,taille,etc... Il se peut qu'il soit un fichier caché,change les options de ton explorateur pour le voir(afficher les fichiers cachés) Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Puis "Appliquer". Fais bien attention,à la syntaxe pour ne pas le confondre avec le legitime. Normalement ,il doit se trouver ici: C--->Winnt--->System32--->le nom du fichier en question. -Une chose aussi sur ton rapport: Ton navigateur(Internet Explorer)n'est pas à jour: Internet Explorer v5.51
-O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
Cette ligne egalement me perturbe,parceque je crois savoir que Norman Antivirus,ajoute cette dll(nmtracer.dll)dans la pile LSP . Ma question:est ce que tu as Norman antivirus sur ton PC,ou tu l'as déja eu et tu l'as désinstallé;sinon il faut reparer.Quand tu repondras,on te dira comment. Voic ce que je propose: Télécharge ces outils: -A²free:http://www.emsisoft.net/fr/software/free/ qui est un excellent antitrojan.Il est gratuit,tu dois t'enregistrer au prealable(tu auras ainsi un code). Tu le charge,ensuite tu le mets à jour. -eScan: http://www.mwti.net/antivirus/free_utilities.asp http://www.mwti.net/download/tools/mwav.exe Configure Escan de la sorte:
. cocher la case "Drive" . sélectionner le bouton-radio "Scan All Files" . cliquer sur le bouton "Scan Clean" (sous Action) Le scan dure un certain temps..,eScan distingue plusieurs catégories dans les éléments douteux : . "No action taken" pour des éléments qu'il reconnait comme n'étant pas des virus .. "File renamed" pour des éléments douteux .. "File deleted" pour les néfastes!
-Antivir:http://www.avup.de/personal/en/avwinsfx.exe Ne pas oublier de le mettre à jour lui aussi. Configure le de la sorte:
configurer correctement : =>aller sur le menu options => configuration menu "Search" dans la fenetre de droite Boot records activer = boot record of selected drives Files activer = All files Mémory activer = begin scan with memory Sous menu Search "Archives" correspond aux fichiers compréssés (rar,zip, gz, ace, cab, etc..) dans la fenetre de droite activer = search Archives activer = all archives menu Unwanted program correspond a des backdoor, dialers, games, jokes et malicious software activer = activate all types menu Heuristic correspond à la recherche heuristique Macro virus heuristic activer = enable macro virus heuristic Win32 files heuristic activer = Win32 file heuristic enable activer = detection level high menu Drag & Drop activer = scan subdirectories menu internet updater activer = allow automatic internet update downloads menu miscellaneous temporary patch metter le dossier dans lequel vous souhaitez que soit décompresser les patches stop scan permet de savoir si on doit supprimer un fichier ou le mettre en quarantaine (pendant le scan) activer = interruption allowed activer = overwrite deleted files Antivir tools activer = load the guard system start Virus definition file activer = check for files old virus definition files en dessous, indiquer = 1 days old
-Tu redémarre ensuite en mode sans echec,et tu passe successivement(pas en meme temps) A²free,Antivir,puis Escan -Quand tu auras terminé ces opérations ,fais tes mises à jour sur WindowsUpdate: http://windowsupdate.microsoft.com/ -Puis quand tu auras fini,poste un log Hijacthis. Bon courage. Did,si jamais je ne suis pas la,tu prends le relais,s'il te plait.

Modifié par queruak le 05/11/2004 05:31
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 did71  Posté le 05/11/2004 à 19:04  
  Astucien


7699 Messages
bonjour à tous, pour faire remonter le topic en attendant les nouvelles a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 05/11/2004 à 19:50  
  Astucien


5490 Messages
Bonsoir TONIO87, did71, queruak, bonsoir à tous, Est-ce que tu peux facilement redémarrer ton serveur ou est-il en exploitation ? Je te conseille de parcourir cette page Web -> http://gerard.melone.free.fr/IT/IT-AV0.html ; c'est la méthode que j'utilise lorsque j'ai à examiner mes serveurs (en exploitation... mais sous W2K). Bonne chance !
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 TONIO87  Posté le 05/11/2004 à 20:03  
Petit astucien

89 Messages
Salut did, queruak, ipl et à tout le forum Je viens de d'arriver du taff Merci pour vos messages Concernant mon problème, j'ai relancer un scan et le résultat ne donne aucuns virus. Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe Je prend le temps de lire vos messages et test vos conseils A tout à l'heure pour le résultat....
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 20:35  
Astucien

4419 Messages
Bonsoir à tous,
TONIO87 a écrit :
Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe
-Les processus:wins.exe et msdtc.exe sont legitimes(sauf s'ils ne sont pas à leur emplacement habituel(qui C:\Winnt\System32) ------------------------------------------------------------ wins exe Le processus wins.exe (wins signifiant Windows Internet Name Service) est un processus générique de Windows NT/2000/XP servant à gérer les noms WINS. Le processus wins n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- msdtc.exe Le processus msdtc.exe (msdtc signifiant Microsoft Distributed Coordinator) est un processus générique de Windows NT/2000/XP servant à gérer la coordination des bases de données, des file d'attente de messages et des sytèmes de fichiers. Le processus msdtc n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- Par contre parmi les processus que tu cite (on le voit d'ailleurs sur ta capture d'image)c'est le processus RpcSs.exequi est douteux(voir plus haut,mon post à ce sujet) -Il serait interessant TONIO,que tu complete la liste des processus(celle que tu as posté s'arrete a dns.exe). Poste nous le reste,s'il te plait. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 05/11/2004 à 21:47  
Petit astucien

89 Messages
Salut à tous Voila le premier bilan sur le de queruak La syntaxe dans le processus est la bonne. Effectivement j'ai trouvé le rpcsc Le fichier se trouve dans C:WINNT/system32 Par contre, pas de trace du fichier sous la syntaxe RpcSc.exe A la demande de queruak, je vous joint les copies de tout le processus 1er partie [IMG]http://img107.exs.cx/img107/8858/690.jpg[/IMG] 2eme partie [IMG]http://img107.exs.cx/img107/3895/691.jpg[/IMG] Je continue sur le reste avec l'installation de A² Par contre, je n'ai pas norman sur le pc serveur. Par contre, j'ignore si il a été installé et désinstallé pendant mon absence par un mec du boulot. Je continue sur le reste avec l'installation de A² Je m'excuse pour ma vitesse de réponse mais vu la lenteur du pc, je fais au vite. Merci pour votre collaboration La suite arrive... A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 05/11/2004 à 22:04  
  Astucien


5490 Messages
Rebonsoir TONIO87, rebonsoir à tous, Je te conseille de te fier (conformément à la page Web précédemment citée) aux programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) : - lance l'Explorateur avec bien sûr un affichage détail avec tous les ficheirs - classe l'affichage par date de mise à jour décroissante et intéresse toi aux fichiers .DLL et .EXE arrivés sur ton disque dans les 15 derniers jours ! De même, regarde les clés RUNxxx de ta base de registres !

Modifié par ipl_001 le 05/11/2004 22:32
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 22:19  
Astucien

4419 Messages
Bonsoir à tous, Salut ipl,content de te voir dans les parages. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 TONIO87  Posté le 05/11/2004 à 22:28  
Petit astucien

89 Messages
Salut à tous J'ai installé A² Je lance un scan sur le poste... ça va être long En attendant je suis les conseils de ipl je recherche les programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) A toute à l'heure pour la suite... Merci à tous
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 frasier666  Posté le 05/11/2004 à 22:34  
Petit astucien

50 Messages
pour suivre
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 05/11/2004 à 22:50  
Petit astucien

89 Messages
Resalut à tous ipl j'ai terminé les recherches sous winnt et winnt\system32 J'ai rien trouvé de suspect ci joint les copies d'écran pour avis Ecran du repertoire Winnt [IMG]http://img106.exs.cx/img106/9396/Winnt.jpg[/IMG] Ecran du repertoire Winnt\system32 [IMG]http://img106.exs.cx/img106/6665/Winntsystem32.jpg[/IMG] Par contre, ipl peux tu m'aider sur la recherche dans les clés RUNxxx de la base de registres car la je suis un poil pommé... D'avance merci
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 23:11  
Astucien

4419 Messages
Rebonsoir, TONIO,reposte un rapport Hijackthis,je crois qu'il y'a quelque chose à faire meme s'il n'est pas complet. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 papalover  Posté le 05/11/2004 à 23:56  
Petit astucien

625 Messages
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
  Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 queruak  Posté le 06/11/2004 à 00:01  
Astucien

4419 Messages
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 06/11/2004 à 00:03  
  Astucien


5490 Messages
Rebonsoir à tous, Excuse moi de ne pas avoir répondu à ton message plus tôt ! Je ne vois rien d'alarmant dans les dossiers WinNT et System 32 ! Supprime tes fichiers .TMP de temsp en temps ! Affiches les extensions de fichiers ! Pour les clés de la base de registres, on aura les mêmes informations dans le rapport HijackThis que demande queruak

Modifié par ipl_001 le 06/11/2004 00:04
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 papalover  Posté le 06/11/2004 à 00:04  
Petit astucien

625 Messages
queruak a écrit :
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
Je ne savait pas que le theme changer d'un logiciel a l'autre, je vais m'endormir moin bête alor! Merci et desolé d'etre un peu nul lol ++
  Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 06/11/2004 à 00:13  
Astucien

4419 Messages
Rebonsoir à tous, ipl,moi ce qui me chiffone dans tout ceci est -Le processus RpcSc.exe(douteux,il n'est pas le rpcss.exelegitime),qui lui est bien visible dans sa capture d'ecran(la premiere) -Cette ligne sur son rapport:
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
C'est pour cette raison que je lui ai demandé s'il y'a Norman sur son PC(en fait Opistat l'installe aussi) et voici ce que je trouve:
File Name Nmtracer.dll State D Description (See previous entry) Added as part of a research program called Opistat, which offers users a free download of Norman Antivirus for joining. Opistat also makes Netmeter/Netratings, which is either the same or a similar program and is considered spyware/adware. It appears Opistat must stay installed to be able to update Norman. "D" - Debatable LSPs http://computercops.biz/lsp-107.html
auparavant c'etait ça
File Name Nmtracer.dll (1)* State M Description Netmeter/Netratings (See second entry below. Also included as part of a similar program called Opistat. Opistat offers its users a free download of Norman Antivirus for joining. It appears Opistat must stay installed to be able to update Norman) M" - Malware LSPs http://computercops.biz/lsp-98.html
J'ai encore d'autres references,il faudrait que je les retrouve d'abord. a+++

Modifié par queruak le 06/11/2004 00:16
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 06/11/2004 à 09:04  
Petit astucien

89 Messages
Bonjour à tous et merci pour vos recherches Excuse moi pour mes réponses tardives... J'ai lancé 2 scan avec A²: 1 sur mon poste XP pour scanner mes lecteurs du serveur NT 1 directement sur le serveur (Il est 8H30 et il vient de se terminer à l'instant il a été lancé à 22H30) Aucuns Résulats: pas de fichiers malware [boom] Pour explication à papalover: papalover a écrit : il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la! En réalité mon poste qui merde est un serveur sous NT mais qui est trop lent pour en terme de réaction alors j'ai fait mes recherche en installant une connexion réseau et en effectuant mes recherches via mon poste perso sous XP A la demande de queruak, je poste un rapport hijackthis suite au scan avec A²: Logfile of HijackThis v1.98.2 Scan saved at 09:07:14, on 06/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4403/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.1 De mon côté, j'ai fait des recherches sur ce RpcSc.exe, J'ai rien trouvé sur le pc nt. Je continue avec la procédure de queruak: faire le escane et antivir D'avance merci pour vos commentaires et votre aide A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Haut de la page 
2 pages : [1] 2 ... Fin
Haut de la page Page Précédente Page Suivante 

Inscrivez-vous au Forum PC Astuces !
  • Posez vos questions
  • Résolvez vos problèmes
  • Aidez les autres
  • Participez et créez vos discussions
  • Dialoguez en privé avec d'autres membres
  • Suivez vos sujets préférés
  • Affichez les signatures des membres
  • Suivez les mises à jour des logiciels proposés sur PC Astuces
  • Uploadez et partagez vos images
TOUT EST GRATUIT !

>> Je crée mon compte <<


Sur PC Astuces


 > Tous les forumsSécurité

 
Forum PC Astuces© 1997-2014 WebastucesAller en haut de la page