> Tous les forums > Forum Sécurité
 Rapport hijackthis PC trop lent
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
TONIO87
  Posté le 03/11/2004 @ 18:49 
Aller en bas de la page 
Petit astucien
Bonsoir à tous, J'ai un gros problème de lenteur sur mon serveur nt4 du boulot Je suspecte un virus Ci joint le rapport hijackthis Aidez moi je pète un cable Logfile of HijackThis v1.97.7 Scan saved at 18:47:29, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 Merci
Publicité
did71
 Posté le 03/11/2004 à 18:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour TONIO87, 1-utilise cette version de hijackthis : [url]http://209.133.47.12/~merijn/files/HijackThis.exe[/url] 2-poster le rapport complet avec les processus. a+
TONIO87
 Posté le 03/11/2004 à 19:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir did71 Suite à ta demande ci joint le nouveau rapport Merci de ton aide car la je suis dans le gros merdier Logfile of HijackThis v1.98.2 Scan saved at 19:14:03, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 J'ai fait une copie d'écran du processus [IMG]http://img97.exs.cx/img97/3230/processusserveurnt.jpg[/IMG] Merci pour ton aide
did71
 Posté le 03/11/2004 à 20:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

re, je voudrais bien t'aider mais je ne comprends pas que tu n aies pas accès aux running process avec hijackthis (Unable to list running processes (error#53) On va procéder comme suivant : supprime tes fichiers temporaire (propriété d'internet explorer>supprimer les fichiers) Supprimer les cookies inutiles. Vide ta corbeille. Passe un coup de spybot mis à jour :[url]http://www.spybot.info/fr/download/index.html[/url] et ad aware mis à jour : [url]http://www.lavasoft.de/[/url] Un scan anti trojan avec a2free : [url]http://www.emsisoft.net/fr/software/free/[/url] Un scan antivirus en ligne ici (désactive ta restauration système lors du scan et réactive la par la suite) : [url]http://www.ravantivirus.com/scan/[/url] puis poste le rapport du scan antivirus. a+
TONIO87
 Posté le 03/11/2004 à 20:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
ok je test ta procédure et te tiens informé mais vu la vitesse du PC ça risque d'être long très long A+++
TONIO87
 Posté le 04/11/2004 à 13:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
salut did et aux autres J'ai suivi ta procédure Suppression des fichiers temporaire > ok Vider la corbeille > ok Suppression des cookies > ok Par contre, vu la saturation du PC je n'ai pas reussi a faire les éléments suivants: Installation de spyboot > refus total d'installation avec message d'erreur ad aware > refus total d'installation avec message d'erreur A2free > refus total d'installation avec message d'erreur Impossible d'exécuter un scan avec ravantivirus directement sur le poste 3 processus bloquent 100% de L'UC: Il s'agit de wins.exe , msdtc.exe et RpcSs.exe Par contre,j'ai scanné via mon réseau les 2 disques du PCSERVEUR via mon propre PC: Avec Norton 2004: Rien aucuns virus Avec mcafee en ligne: Rien aucuns virus Avec ravantivirus: Détection de un virus voir rapport ci joint Scan started at 04/11/2004 07:18:09 Scanning memory... Scanning boot sectors... Scanning files... X:\Applications\Pflex\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected X:\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected Scanned ============================ Objects: 159253 Directories: 8478 Archives: 2817 Size(Kb): -1725694 Infected files: 2 Found ============================ Viruses found: 1 Suspicious files: 0 Disinfected files: 0 Mail files: 404 Merci de ton aide sur cette merde A+++
Publicité
did71
 Posté le 04/11/2004 à 14:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour, en passant vite fait ici, tu suis le chemin indiqué par ton scan et tu supprime manuellement ces executable. X:\Applications\Pflex\GP\RECYCLED\"SirC32.exe" X:\GP\RECYCLED\"SirC32.exe" a+
TONIO87
 Posté le 04/11/2004 à 22:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut did J'ai viré les 2 répertoires mais je suis toujours saturé par mes 3 processus je relance un scan des lecteur via réseau avec ravantivirus Je te tiens au jus A+++
queruak
 Posté le 05/11/2004 à 05:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Bonjour TONIO87,bonjour did,bonjour à tous, J'ai regardé de trés prés les processus qui tournent chez toi,et celui que j'ai trouvé bizarre est celui-la:RpcSc.exe Les autres sont légitimes. Regardez bien la syntaxe: RpcSc.exe Le legitime s'inscrit de la sorte rpcss.exe
rpcss.exe Le processus rpcss.exe (rpcss signifiant Remote Procedure Call Subsystem) est un processus générique de Windows NT/2000/XP permettant à des applications d'utiliser les procédures RPC déclarées sur le système. Le processus rpcss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système critique ne pouvant pas être arrêté. http://www.commentcamarche.net/processus/rpcss-exe.php3
Fais donc une recherche sur ce RpcSc.exe,localisation,date de creation,taille,etc... Il se peut qu'il soit un fichier caché,change les options de ton explorateur pour le voir(afficher les fichiers cachés) Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Puis "Appliquer". Fais bien attention,à la syntaxe pour ne pas le confondre avec le legitime. Normalement ,il doit se trouver ici: C--->Winnt--->System32--->le nom du fichier en question. -Une chose aussi sur ton rapport: Ton navigateur(Internet Explorer)n'est pas à jour: Internet Explorer v5.51
-O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
Cette ligne egalement me perturbe,parceque je crois savoir que Norman Antivirus,ajoute cette dll(nmtracer.dll)dans la pile LSP . Ma question:est ce que tu as Norman antivirus sur ton PC,ou tu l'as déja eu et tu l'as désinstallé;sinon il faut reparer.Quand tu repondras,on te dira comment. Voic ce que je propose: Télécharge ces outils: -A²free:http://www.emsisoft.net/fr/software/free/ qui est un excellent antitrojan.Il est gratuit,tu dois t'enregistrer au prealable(tu auras ainsi un code). Tu le charge,ensuite tu le mets à jour. -eScan: http://www.mwti.net/antivirus/free_utilities.asp http://www.mwti.net/download/tools/mwav.exe Configure Escan de la sorte:
. cocher la case "Drive" . sélectionner le bouton-radio "Scan All Files" . cliquer sur le bouton "Scan Clean" (sous Action) Le scan dure un certain temps..,eScan distingue plusieurs catégories dans les éléments douteux : . "No action taken" pour des éléments qu'il reconnait comme n'étant pas des virus .. "File renamed" pour des éléments douteux .. "File deleted" pour les néfastes!
-Antivir:http://www.avup.de/personal/en/avwinsfx.exe Ne pas oublier de le mettre à jour lui aussi. Configure le de la sorte:
configurer correctement : =>aller sur le menu options => configuration menu "Search" dans la fenetre de droite Boot records activer = boot record of selected drives Files activer = All files Mémory activer = begin scan with memory Sous menu Search "Archives" correspond aux fichiers compréssés (rar,zip, gz, ace, cab, etc..) dans la fenetre de droite activer = search Archives activer = all archives menu Unwanted program correspond a des backdoor, dialers, games, jokes et malicious software activer = activate all types menu Heuristic correspond à la recherche heuristique Macro virus heuristic activer = enable macro virus heuristic Win32 files heuristic activer = Win32 file heuristic enable activer = detection level high menu Drag & Drop activer = scan subdirectories menu internet updater activer = allow automatic internet update downloads menu miscellaneous temporary patch metter le dossier dans lequel vous souhaitez que soit décompresser les patches stop scan permet de savoir si on doit supprimer un fichier ou le mettre en quarantaine (pendant le scan) activer = interruption allowed activer = overwrite deleted files Antivir tools activer = load the guard system start Virus definition file activer = check for files old virus definition files en dessous, indiquer = 1 days old
-Tu redémarre ensuite en mode sans echec,et tu passe successivement(pas en meme temps) A²free,Antivir,puis Escan -Quand tu auras terminé ces opérations ,fais tes mises à jour sur WindowsUpdate: http://windowsupdate.microsoft.com/ -Puis quand tu auras fini,poste un log Hijacthis. Bon courage. Did,si jamais je ne suis pas la,tu prends le relais,s'il te plait.

Modifié par queruak le 05/11/2004 05:31
did71
 Posté le 05/11/2004 à 19:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour à tous, pour faire remonter le topic en attendant les nouvelles a+
ipl_001
 Posté le 05/11/2004 à 19:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir TONIO87, did71, queruak, bonsoir à tous, Est-ce que tu peux facilement redémarrer ton serveur ou est-il en exploitation ? Je te conseille de parcourir cette page Web -> http://gerard.melone.free.fr/IT/IT-AV0.html ; c'est la méthode que j'utilise lorsque j'ai à examiner mes serveurs (en exploitation... mais sous W2K). Bonne chance !
Publicité
TONIO87
 Posté le 05/11/2004 à 20:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut did, queruak, ipl et à tout le forum Je viens de d'arriver du taff Merci pour vos messages Concernant mon problème, j'ai relancer un scan et le résultat ne donne aucuns virus. Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe Je prend le temps de lire vos messages et test vos conseils A tout à l'heure pour le résultat....
queruak
 Posté le 05/11/2004 à 20:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Bonsoir à tous,
TONIO87 a écrit :
Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe
-Les processus:wins.exe et msdtc.exe sont legitimes(sauf s'ils ne sont pas à leur emplacement habituel(qui C:\Winnt\System32) ------------------------------------------------------------ wins exe Le processus wins.exe (wins signifiant Windows Internet Name Service) est un processus générique de Windows NT/2000/XP servant à gérer les noms WINS. Le processus wins n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- msdtc.exe Le processus msdtc.exe (msdtc signifiant Microsoft Distributed Coordinator) est un processus générique de Windows NT/2000/XP servant à gérer la coordination des bases de données, des file d'attente de messages et des sytèmes de fichiers. Le processus msdtc n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- Par contre parmi les processus que tu cite (on le voit d'ailleurs sur ta capture d'image)c'est le processus RpcSs.exequi est douteux(voir plus haut,mon post à ce sujet) -Il serait interessant TONIO,que tu complete la liste des processus(celle que tu as posté s'arrete a dns.exe). Poste nous le reste,s'il te plait. a+++
TONIO87
 Posté le 05/11/2004 à 21:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut à tous Voila le premier bilan sur le de queruak La syntaxe dans le processus est la bonne. Effectivement j'ai trouvé le rpcsc Le fichier se trouve dans C:WINNT/system32 Par contre, pas de trace du fichier sous la syntaxe RpcSc.exe A la demande de queruak, je vous joint les copies de tout le processus 1er partie [IMG]http://img107.exs.cx/img107/8858/690.jpg[/IMG] 2eme partie [IMG]http://img107.exs.cx/img107/3895/691.jpg[/IMG] Je continue sur le reste avec l'installation de A² Par contre, je n'ai pas norman sur le pc serveur. Par contre, j'ignore si il a été installé et désinstallé pendant mon absence par un mec du boulot. Je continue sur le reste avec l'installation de A² Je m'excuse pour ma vitesse de réponse mais vu la lenteur du pc, je fais au vite. Merci pour votre collaboration La suite arrive... A+++
ipl_001
 Posté le 05/11/2004 à 22:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir TONIO87, rebonsoir à tous, Je te conseille de te fier (conformément à la page Web précédemment citée) aux programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) : - lance l'Explorateur avec bien sûr un affichage détail avec tous les ficheirs - classe l'affichage par date de mise à jour décroissante et intéresse toi aux fichiers .DLL et .EXE arrivés sur ton disque dans les 15 derniers jours ! De même, regarde les clés RUNxxx de ta base de registres !

Modifié par ipl_001 le 05/11/2004 22:32
queruak
 Posté le 05/11/2004 à 22:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Bonsoir à tous, Salut ipl,content de te voir dans les parages. a+++
Publicité
TONIO87
 Posté le 05/11/2004 à 22:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut à tous J'ai installé A² Je lance un scan sur le poste... ça va être long En attendant je suis les conseils de ipl je recherche les programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) A toute à l'heure pour la suite... Merci à tous
frasier666
 Posté le 05/11/2004 à 22:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
pour suivre
TONIO87
 Posté le 05/11/2004 à 22:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Resalut à tous ipl j'ai terminé les recherches sous winnt et winnt\system32 J'ai rien trouvé de suspect ci joint les copies d'écran pour avis Ecran du repertoire Winnt [IMG]http://img106.exs.cx/img106/9396/Winnt.jpg[/IMG] Ecran du repertoire Winnt\system32 [IMG]http://img106.exs.cx/img106/6665/Winntsystem32.jpg[/IMG] Par contre, ipl peux tu m'aider sur la recherche dans les clés RUNxxx de la base de registres car la je suis un poil pommé... D'avance merci
queruak
 Posté le 05/11/2004 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Rebonsoir, TONIO,reposte un rapport Hijackthis,je crois qu'il y'a quelque chose à faire meme s'il n'est pas complet. a+++
papalover
 Posté le 05/11/2004 à 23:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Publicité
queruak
 Posté le 06/11/2004 à 00:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
ipl_001
 Posté le 06/11/2004 à 00:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir à tous, Excuse moi de ne pas avoir répondu à ton message plus tôt ! Je ne vois rien d'alarmant dans les dossiers WinNT et System 32 ! Supprime tes fichiers .TMP de temsp en temps ! Affiches les extensions de fichiers ! Pour les clés de la base de registres, on aura les mêmes informations dans le rapport HijackThis que demande queruak

Modifié par ipl_001 le 06/11/2004 00:04
papalover
 Posté le 06/11/2004 à 00:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
queruak a écrit :
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
Je ne savait pas que le theme changer d'un logiciel a l'autre, je vais m'endormir moin bête alor! Merci et desolé d'etre un peu nul lol ++
queruak
 Posté le 06/11/2004 à 00:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Rebonsoir à tous, ipl,moi ce qui me chiffone dans tout ceci est -Le processus RpcSc.exe(douteux,il n'est pas le rpcss.exelegitime),qui lui est bien visible dans sa capture d'ecran(la premiere) -Cette ligne sur son rapport:
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
C'est pour cette raison que je lui ai demandé s'il y'a Norman sur son PC(en fait Opistat l'installe aussi) et voici ce que je trouve:
File Name Nmtracer.dll State D Description (See previous entry) Added as part of a research program called Opistat, which offers users a free download of Norman Antivirus for joining. Opistat also makes Netmeter/Netratings, which is either the same or a similar program and is considered spyware/adware. It appears Opistat must stay installed to be able to update Norman. "D" - Debatable LSPs http://computercops.biz/lsp-107.html
auparavant c'etait ça
File Name Nmtracer.dll (1)* State M Description Netmeter/Netratings (See second entry below. Also included as part of a similar program called Opistat. Opistat offers its users a free download of Norman Antivirus for joining. It appears Opistat must stay installed to be able to update Norman) M" - Malware LSPs http://computercops.biz/lsp-98.html
J'ai encore d'autres references,il faudrait que je les retrouve d'abord. a+++

Modifié par queruak le 06/11/2004 00:16
TONIO87
 Posté le 06/11/2004 à 09:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour à tous et merci pour vos recherches Excuse moi pour mes réponses tardives... J'ai lancé 2 scan avec A²: 1 sur mon poste XP pour scanner mes lecteurs du serveur NT 1 directement sur le serveur (Il est 8H30 et il vient de se terminer à l'instant il a été lancé à 22H30) Aucuns Résulats: pas de fichiers malware [boom] Pour explication à papalover: papalover a écrit : il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la! En réalité mon poste qui merde est un serveur sous NT mais qui est trop lent pour en terme de réaction alors j'ai fait mes recherche en installant une connexion réseau et en effectuant mes recherches via mon poste perso sous XP A la demande de queruak, je poste un rapport hijackthis suite au scan avec A²: Logfile of HijackThis v1.98.2 Scan saved at 09:07:14, on 06/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4403/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.1 De mon côté, j'ai fait des recherches sur ce RpcSc.exe, J'ai rien trouvé sur le pc nt. Je continue avec la procédure de queruak: faire le escane et antivir D'avance merci pour vos commentaires et votre aide A+++
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

 > Tous les forums > Forum Sécurité