> Tous les forumsSécurité

 Rapport hijackthis PC trop lent
Statut du sujet : NON RESOLU Imprimer
 TONIO87
  Posté le 03/11/2004 @ 18:49  
 Petit astucien

89 Messages
Bonsoir à tous, J'ai un gros problème de lenteur sur mon serveur nt4 du boulot Je suspecte un virus Ci joint le rapport hijackthis Aidez moi je pète un cable Logfile of HijackThis v1.97.7 Scan saved at 18:47:29, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 Merci
 
 Aller en bas de la page  
 
Publicité
 did71  Posté le 03/11/2004 à 18:52  
  Astucien


7699 Messages
bonjour TONIO87, 1-utilise cette version de hijackthis : [url]http://209.133.47.12/~merijn/files/HijackThis.exe[/url] 2-poster le rapport complet avec les processus. a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 03/11/2004 à 19:22  
Petit astucien

89 Messages
Bonsoir did71 Suite à ta demande ci joint le nouveau rapport Merci de ton aide car la je suis dans le gros merdier Logfile of HijackThis v1.98.2 Scan saved at 19:14:03, on 03/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 10.1.1.2 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.1.2 J'ai fait une copie d'écran du processus [IMG]http://img97.exs.cx/img97/3230/processusserveurnt.jpg[/IMG] Merci pour ton aide
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 did71  Posté le 03/11/2004 à 20:22  
  Astucien


7699 Messages
re, je voudrais bien t'aider mais je ne comprends pas que tu n aies pas accès aux running process avec hijackthis (Unable to list running processes (error#53) On va procéder comme suivant : supprime tes fichiers temporaire (propriété d'internet explorer>supprimer les fichiers) Supprimer les cookies inutiles. Vide ta corbeille. Passe un coup de spybot mis à jour :[url]http://www.spybot.info/fr/download/index.html[/url] et ad aware mis à jour : [url]http://www.lavasoft.de/[/url] Un scan anti trojan avec a2free : [url]http://www.emsisoft.net/fr/software/free/[/url] Un scan antivirus en ligne ici (désactive ta restauration système lors du scan et réactive la par la suite) : [url]http://www.ravantivirus.com/scan/[/url] puis poste le rapport du scan antivirus. a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 03/11/2004 à 20:55  
Petit astucien

89 Messages
ok je test ta procédure et te tiens informé mais vu la vitesse du PC ça risque d'être long très long A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 04/11/2004 à 13:41  
Petit astucien

89 Messages
salut did et aux autres J'ai suivi ta procédure Suppression des fichiers temporaire > ok Vider la corbeille > ok Suppression des cookies > ok Par contre, vu la saturation du PC je n'ai pas reussi a faire les éléments suivants: Installation de spyboot > refus total d'installation avec message d'erreur ad aware > refus total d'installation avec message d'erreur A2free > refus total d'installation avec message d'erreur Impossible d'exécuter un scan avec ravantivirus directement sur le poste 3 processus bloquent 100% de L'UC: Il s'agit de wins.exe , msdtc.exe et RpcSs.exe Par contre,j'ai scanné via mon réseau les 2 disques du PCSERVEUR via mon propre PC: Avec Norton 2004: Rien aucuns virus Avec mcafee en ligne: Rien aucuns virus Avec ravantivirus: Détection de un virus voir rapport ci joint Scan started at 04/11/2004 07:18:09 Scanning memory... Scanning boot sectors... Scanning files... X:\Applications\Pflex\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected X:\GP\RECYCLED\SirC32.exe - Win32/Sircam.D@mm.dam#2 -> Infected Scanned ============================ Objects: 159253 Directories: 8478 Archives: 2817 Size(Kb): -1725694 Infected files: 2 Found ============================ Viruses found: 1 Suspicious files: 0 Disinfected files: 0 Mail files: 404 Merci de ton aide sur cette merde A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 did71  Posté le 04/11/2004 à 14:50  
  Astucien


7699 Messages
bonjour, en passant vite fait ici, tu suis le chemin indiqué par ton scan et tu supprime manuellement ces executable. X:\Applications\Pflex\GP\RECYCLED\"SirC32.exe" X:\GP\RECYCLED\"SirC32.exe" a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 04/11/2004 à 22:49  
Petit astucien

89 Messages
Salut did J'ai viré les 2 répertoires mais je suis toujours saturé par mes 3 processus je relance un scan des lecteur via réseau avec ravantivirus Je te tiens au jus A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 05:01  
Astucien

4419 Messages
Bonjour TONIO87,bonjour did,bonjour à tous, J'ai regardé de trés prés les processus qui tournent chez toi,et celui que j'ai trouvé bizarre est celui-la:RpcSc.exe Les autres sont légitimes. Regardez bien la syntaxe: RpcSc.exe Le legitime s'inscrit de la sorte rpcss.exe
rpcss.exe Le processus rpcss.exe (rpcss signifiant Remote Procedure Call Subsystem) est un processus générique de Windows NT/2000/XP permettant à des applications d'utiliser les procédures RPC déclarées sur le système. Le processus rpcss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système critique ne pouvant pas être arrêté. http://www.commentcamarche.net/processus/rpcss-exe.php3
Fais donc une recherche sur ce RpcSc.exe,localisation,date de creation,taille,etc... Il se peut qu'il soit un fichier caché,change les options de ton explorateur pour le voir(afficher les fichiers cachés) Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Puis "Appliquer". Fais bien attention,à la syntaxe pour ne pas le confondre avec le legitime. Normalement ,il doit se trouver ici: C--->Winnt--->System32--->le nom du fichier en question. -Une chose aussi sur ton rapport: Ton navigateur(Internet Explorer)n'est pas à jour: Internet Explorer v5.51
-O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
Cette ligne egalement me perturbe,parceque je crois savoir que Norman Antivirus,ajoute cette dll(nmtracer.dll)dans la pile LSP . Ma question:est ce que tu as Norman antivirus sur ton PC,ou tu l'as déja eu et tu l'as désinstallé;sinon il faut reparer.Quand tu repondras,on te dira comment. Voic ce que je propose: Télécharge ces outils: -A²free:http://www.emsisoft.net/fr/software/free/ qui est un excellent antitrojan.Il est gratuit,tu dois t'enregistrer au prealable(tu auras ainsi un code). Tu le charge,ensuite tu le mets à jour. -eScan: http://www.mwti.net/antivirus/free_utilities.asp http://www.mwti.net/download/tools/mwav.exe Configure Escan de la sorte:
. cocher la case "Drive" . sélectionner le bouton-radio "Scan All Files" . cliquer sur le bouton "Scan Clean" (sous Action) Le scan dure un certain temps..,eScan distingue plusieurs catégories dans les éléments douteux : . "No action taken" pour des éléments qu'il reconnait comme n'étant pas des virus .. "File renamed" pour des éléments douteux .. "File deleted" pour les néfastes!
-Antivir:http://www.avup.de/personal/en/avwinsfx.exe Ne pas oublier de le mettre à jour lui aussi. Configure le de la sorte:
configurer correctement : =>aller sur le menu options => configuration menu "Search" dans la fenetre de droite Boot records activer = boot record of selected drives Files activer = All files Mémory activer = begin scan with memory Sous menu Search "Archives" correspond aux fichiers compréssés (rar,zip, gz, ace, cab, etc..) dans la fenetre de droite activer = search Archives activer = all archives menu Unwanted program correspond a des backdoor, dialers, games, jokes et malicious software activer = activate all types menu Heuristic correspond à la recherche heuristique Macro virus heuristic activer = enable macro virus heuristic Win32 files heuristic activer = Win32 file heuristic enable activer = detection level high menu Drag & Drop activer = scan subdirectories menu internet updater activer = allow automatic internet update downloads menu miscellaneous temporary patch metter le dossier dans lequel vous souhaitez que soit décompresser les patches stop scan permet de savoir si on doit supprimer un fichier ou le mettre en quarantaine (pendant le scan) activer = interruption allowed activer = overwrite deleted files Antivir tools activer = load the guard system start Virus definition file activer = check for files old virus definition files en dessous, indiquer = 1 days old
-Tu redémarre ensuite en mode sans echec,et tu passe successivement(pas en meme temps) A²free,Antivir,puis Escan -Quand tu auras terminé ces opérations ,fais tes mises à jour sur WindowsUpdate: http://windowsupdate.microsoft.com/ -Puis quand tu auras fini,poste un log Hijacthis. Bon courage. Did,si jamais je ne suis pas la,tu prends le relais,s'il te plait.

Modifié par queruak le 05/11/2004 05:31
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 did71  Posté le 05/11/2004 à 19:04  
  Astucien


7699 Messages
bonjour à tous, pour faire remonter le topic en attendant les nouvelles a+
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 05/11/2004 à 19:50  
  Astucien


5490 Messages
Bonsoir TONIO87, did71, queruak, bonsoir à tous, Est-ce que tu peux facilement redémarrer ton serveur ou est-il en exploitation ? Je te conseille de parcourir cette page Web -> http://gerard.melone.free.fr/IT/IT-AV0.html ; c'est la méthode que j'utilise lorsque j'ai à examiner mes serveurs (en exploitation... mais sous W2K). Bonne chance !
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 TONIO87  Posté le 05/11/2004 à 20:03  
Petit astucien

89 Messages
Salut did, queruak, ipl et à tout le forum Je viens de d'arriver du taff Merci pour vos messages Concernant mon problème, j'ai relancer un scan et le résultat ne donne aucuns virus. Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe Je prend le temps de lire vos messages et test vos conseils A tout à l'heure pour le résultat....
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 20:35  
Astucien

4419 Messages
Bonsoir à tous,
TONIO87 a écrit :
Le pc est toujours saturé par les 3 processus:wins.exe , msdtc.exe et RpcSs.exe
-Les processus:wins.exe et msdtc.exe sont legitimes(sauf s'ils ne sont pas à leur emplacement habituel(qui C:\Winnt\System32) ------------------------------------------------------------ wins exe Le processus wins.exe (wins signifiant Windows Internet Name Service) est un processus générique de Windows NT/2000/XP servant à gérer les noms WINS. Le processus wins n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- msdtc.exe Le processus msdtc.exe (msdtc signifiant Microsoft Distributed Coordinator) est un processus générique de Windows NT/2000/XP servant à gérer la coordination des bases de données, des file d'attente de messages et des sytèmes de fichiers. Le processus msdtc n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système pouvant être arrêté. ---------------------------------------------------------------- Par contre parmi les processus que tu cite (on le voit d'ailleurs sur ta capture d'image)c'est le processus RpcSs.exequi est douteux(voir plus haut,mon post à ce sujet) -Il serait interessant TONIO,que tu complete la liste des processus(celle que tu as posté s'arrete a dns.exe). Poste nous le reste,s'il te plait. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 05/11/2004 à 21:47  
Petit astucien

89 Messages
Salut à tous Voila le premier bilan sur le de queruak La syntaxe dans le processus est la bonne. Effectivement j'ai trouvé le rpcsc Le fichier se trouve dans C:WINNT/system32 Par contre, pas de trace du fichier sous la syntaxe RpcSc.exe A la demande de queruak, je vous joint les copies de tout le processus 1er partie [IMG]http://img107.exs.cx/img107/8858/690.jpg[/IMG] 2eme partie [IMG]http://img107.exs.cx/img107/3895/691.jpg[/IMG] Je continue sur le reste avec l'installation de A² Par contre, je n'ai pas norman sur le pc serveur. Par contre, j'ignore si il a été installé et désinstallé pendant mon absence par un mec du boulot. Je continue sur le reste avec l'installation de A² Je m'excuse pour ma vitesse de réponse mais vu la lenteur du pc, je fais au vite. Merci pour votre collaboration La suite arrive... A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 05/11/2004 à 22:04  
  Astucien


5490 Messages
Rebonsoir TONIO87, rebonsoir à tous, Je te conseille de te fier (conformément à la page Web précédemment citée) aux programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) : - lance l'Explorateur avec bien sûr un affichage détail avec tous les ficheirs - classe l'affichage par date de mise à jour décroissante et intéresse toi aux fichiers .DLL et .EXE arrivés sur ton disque dans les 15 derniers jours ! De même, regarde les clés RUNxxx de ta base de registres !

Modifié par ipl_001 le 05/11/2004 22:32
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 22:19  
Astucien

4419 Messages
Bonsoir à tous, Salut ipl,content de te voir dans les parages. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 TONIO87  Posté le 05/11/2004 à 22:28  
Petit astucien

89 Messages
Salut à tous J'ai installé A² Je lance un scan sur le poste... ça va être long En attendant je suis les conseils de ipl je recherche les programmes .DLL et EXE nouvellement installés dans les répertoires système (WinNT, WinNT\System WinNT\System32) A toute à l'heure pour la suite... Merci à tous
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 frasier666  Posté le 05/11/2004 à 22:34  
Petit astucien

50 Messages
pour suivre
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 05/11/2004 à 22:50  
Petit astucien

89 Messages
Resalut à tous ipl j'ai terminé les recherches sous winnt et winnt\system32 J'ai rien trouvé de suspect ci joint les copies d'écran pour avis Ecran du repertoire Winnt [IMG]http://img106.exs.cx/img106/9396/Winnt.jpg[/IMG] Ecran du repertoire Winnt\system32 [IMG]http://img106.exs.cx/img106/6665/Winntsystem32.jpg[/IMG] Par contre, ipl peux tu m'aider sur la recherche dans les clés RUNxxx de la base de registres car la je suis un poil pommé... D'avance merci
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 05/11/2004 à 23:11  
Astucien

4419 Messages
Rebonsoir, TONIO,reposte un rapport Hijackthis,je crois qu'il y'a quelque chose à faire meme s'il n'est pas complet. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 papalover  Posté le 05/11/2004 à 23:56  
Petit astucien

625 Messages
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
  Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 queruak  Posté le 06/11/2004 à 00:01  
Astucien

4419 Messages
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 ipl_001  Posté le 06/11/2004 à 00:03  
  Astucien


5490 Messages
Rebonsoir à tous, Excuse moi de ne pas avoir répondu à ton message plus tôt ! Je ne vois rien d'alarmant dans les dossiers WinNT et System 32 ! Supprime tes fichiers .TMP de temsp en temps ! Affiches les extensions de fichiers ! Pour les clés de la base de registres, on aura les mêmes informations dans le rapport HijackThis que demande queruak

Modifié par ipl_001 le 06/11/2004 00:04
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 papalover  Posté le 06/11/2004 à 00:04  
Petit astucien

625 Messages
queruak a écrit :
papalover a écrit :
il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la!
Il est sous Windows NT
Je ne savait pas que le theme changer d'un logiciel a l'autre, je vais m'endormir moin bête alor! Merci et desolé d'etre un peu nul lol ++
  Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 06/11/2004 à 00:13  
Astucien

4419 Messages
Rebonsoir à tous, ipl,moi ce qui me chiffone dans tout ceci est -Le processus RpcSc.exe(douteux,il n'est pas le rpcss.exelegitime),qui lui est bien visible dans sa capture d'ecran(la premiere) -Cette ligne sur son rapport:
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
C'est pour cette raison que je lui ai demandé s'il y'a Norman sur son PC(en fait Opistat l'installe aussi) et voici ce que je trouve:
File Name Nmtracer.dll State D Description (See previous entry) Added as part of a research program called Opistat, which offers users a free download of Norman Antivirus for joining. Opistat also makes Netmeter/Netratings, which is either the same or a similar program and is considered spyware/adware. It appears Opistat must stay installed to be able to update Norman. "D" - Debatable LSPs http://computercops.biz/lsp-107.html
auparavant c'etait ça
File Name Nmtracer.dll (1)* State M Description Netmeter/Netratings (See second entry below. Also included as part of a similar program called Opistat. Opistat offers its users a free download of Norman Antivirus for joining. It appears Opistat must stay installed to be able to update Norman) M" - Malware LSPs http://computercops.biz/lsp-98.html
J'ai encore d'autres references,il faudrait que je les retrouve d'abord. a+++

Modifié par queruak le 06/11/2004 00:16
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 06/11/2004 à 09:04  
Petit astucien

89 Messages
Bonjour à tous et merci pour vos recherches Excuse moi pour mes réponses tardives... J'ai lancé 2 scan avec A²: 1 sur mon poste XP pour scanner mes lecteurs du serveur NT 1 directement sur le serveur (Il est 8H30 et il vient de se terminer à l'instant il a été lancé à 22H30) Aucuns Résulats: pas de fichiers malware [boom] Pour explication à papalover: papalover a écrit : il y a un truc que je ne compren pas, pourquoi tu a 2 windows different? tu a des capture de win 98 et des capture de XP je ne compren plus la! En réalité mon poste qui merde est un serveur sous NT mais qui est trop lent pour en terme de réaction alors j'ai fait mes recherche en installant une connexion réseau et en effectuant mes recherches via mon poste perso sous XP A la demande de queruak, je poste un rapport hijackthis suite au scan avec A²: Logfile of HijackThis v1.98.2 Scan saved at 09:07:14, on 06/11/04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) (Unable to list running processes (error#53)) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [BackgroundScheduler] C:\Program Files\Fichiers communs\WallData\Schedule\RRServer.exe O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE O4 - Global Startup: Moniteur Temps réel InoculateIT.LNK = D:\Applications\ComputerAssociates\InocuLAN\realmon.exe O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\MSSQL7\Binn\sqlmangr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing O13 - WWW. Prefix: http:// O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opistat.com/opistat/activex/opinstall_fr_4.1.14.0.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4403/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tricoire-financiere.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.1 De mon côté, j'ai fait des recherches sur ce RpcSc.exe, J'ai rien trouvé sur le pc nt. Je continue avec la procédure de queruak: faire le escane et antivir D'avance merci pour vos commentaires et votre aide A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 TONIO87  Posté le 06/11/2004 à 21:49  
Petit astucien

89 Messages
Bonsoir à tous, Suite du dossier... J'ai scané le PC serveur NT4 avec escan antivirus (scan de 13H), aucuns résultats La je ne comprend plus rien à la saturation de ce pc. Je suis dans les choux complets [maltete] Help me...je ne sais plus quoi faire Merci
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 06/11/2004 à 21:57  
Astucien

4419 Messages
Bonjour TONIO,bonjour à tous, Télécharge les outils suivants: -Examen par Ad-aware: http://www.lavahelp.com/howto/fullscan/ ou ici http://www.ordi-netfr.com/adawarese.html ou ici http://www.lavasoft.de/support/download/#free -Examen par Spybot: http://www.safer-networking.org/fr/download/index.html Tu les mets à jour d'abord,puis passe les en mode sans echec,supprime tout ce qu'il trouve(les rouges). Ne desepere pas ,je te promets qu'on fera tout pour t'aider et te sortir de ce mauvais pas. J'attends tes reponses apres ces examens.
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 06/11/2004 à 22:06  
Petit astucien

89 Messages
salut queruak Merci pour ta précieuse aide et tes encouragements Je test tes conseils et vous tiens au jus Le problème reste que chaque manip est longue à mettre en oeuvre sur le PC NT vu la lenteur du système Mes réponses risquent de ne pas être rapide... A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 queruak  Posté le 06/11/2004 à 22:17  
Astucien

4419 Messages
Re à tous
TONIO87 a écrit :
salut queruak Merci pour ta précieuse aide et tes encouragements Je test tes conseils et vous tiens au jus Le problème reste que chaque manip est longue à mettre en oeuvre sur le PC NT vu la lenteur du système Mes réponses risquent de ne pas être rapide... A+++
Pas grave,je serais la meme à quatre heure du matin. a+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 07/11/2004 à 20:30  
Petit astucien

89 Messages
Salut queruak, ipl et tout le forum Suite de mon dossier J'ai réussi à installer ad-aware sur le PC contaminé Ci joint le rapport, qu'en pensez vous... Merci de votre analyse Ad-Aware SE Build 1.05 Logfile Created on:dimanche 7 novembre 2004 16:37:25 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R8 13.09.2004 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Alexa(TAC index:5):8 total references Tracking Cookie(TAC index:3):15 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 07-11-04 16:37:33 - Scan started. (Full System Scan) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 25 ThreadCreationTime : 05-11-04 21:17:29 BasePriority : ? #:2 [csrss.exe] FilePath : \??\C:\WINNT\system32\ ProcessID : 33 ThreadCreationTime : 05-11-04 21:17:34 BasePriority : ? #:3 [winlogon.exe] FilePath : \??\C:\WINNT\system32\ ProcessID : 39 ThreadCreationTime : 05-11-04 21:17:36 BasePriority : High #:4 [services.exe] FilePath : C:\WINNT\system32\ ProcessID : 47 ThreadCreationTime : 05-11-04 21:17:36 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Applications Services et Contrôleur InternalName : services.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINNT\system32\ ProcessID : 50 ThreadCreationTime : 05-11-04 21:17:37 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Exécutable LSA et DLL serveur InternalName : lsasrv.dll et lsass.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : lsasrv.dll et lsass.exe #:6 [spoolss.exe] FilePath : C:\WINNT\system32\ ProcessID : 77 ThreadCreationTime : 05-11-04 21:17:40 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Accessoire sous-système spouleur InternalName : spoolss.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : spoolss.exe #:7 [rpcss.exe] FilePath : C:\WINNT\system32\ ProcessID : 109 ThreadCreationTime : 05-11-04 21:18:24 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Services COM distribués InternalName : dcomss.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : dcomss.exe #:8 [nddeagnt.exe] FilePath : C:\WINNT\System32\ ProcessID : 51 ThreadCreationTime : 05-11-04 21:18:24 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Agent réseau DDE InternalName : NDDEAGNT.EXE LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : NDDEAGNT.EXE #:9 [explorer.exe] FilePath : C:\WINNT\ ProcessID : 115 ThreadCreationTime : 05-11-04 21:18:24 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'explorateur Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Explorateur Windows InternalName : explorer LegalCopyright : Copyright (C) Microsoft Corp. 1991-1995 OriginalFilename : EXPLORER.EXE #:10 [promon.exe] FilePath : C:\WINNT\System32\ ProcessID : 125 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 4.06 ProductVersion : 4.00 ProductName : Intel(R) PROMonitor CompanyName : Intel Corporation FileDescription : Intel(R) PROSet Tray Icon InternalName : Intel(R) PROMonitor LegalCopyright : Copyright (C) 1998-2000 Intel Corporation. All Rights Reserved. OriginalFilename : PROMon.exe Comments : Configures and tests Intel(R) PRO family of adapters. #:11 [loadwc.exe] FilePath : C:\WINNT\System32\ ProcessID : 116 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 5.50.4807.2300 ProductVersion : 5.50.4807.2300 ProductName : Système d'exploitation Microsoft(R) Windows (R) 2000 CompanyName : Microsoft Corporation FileDescription : Chargement de WebCheck InternalName : loadwc LegalCopyright : Copyright (C) Microsoft Corp. 1981-2001 OriginalFilename : LOADWC.EXE #:12 [opistat.exe] FilePath : C:\PROGRA~1\OpiStat\OpiStat\ ProcessID : 130 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 4.1.14.0r ProductVersion : 4.1.14.0r ProductName : OpiSoft CompanyName : Netvalue S.A. FileDescription : OpiSoft LegalCopyright : Copyright (c) 1998-2002 Netvalue S.A. OriginalFilename : opistat.exe #:13 [hpjetdsc.exe] FilePath : C:\WINNT\System32\ ProcessID : 132 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 03 .02 .00 ProductVersion : 03 .02 .00 ProductName : Hewlett-Packard JetAdmin Discovery Indicator CompanyName : Hewlett-Packard FileDescription : HP JetAdmin Discovery Indicator InternalName : HPJETDSC.EXE LegalCopyright : Copyright © 1993-1998 Hewlett-Packard Company LegalTrademarks : Tous droits réservés. OriginalFilename : HPJETDSC.EXE #:14 [realmon.exe] FilePath : D:\Applications\ComputerAssociates\InocuLAN\ ProcessID : 134 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 4.0.612.000 ProductVersion : 4.53 ProductName : InoculateIT for NT CompanyName : Computer Associates FileDescription : Realtime monitor InternalName : sheldomn LegalCopyright : © Copyright 1984-1998 Computer Associates International, Inc. and/or its subsidiaries. All Rights Reserved. OriginalFilename : realmon.exe Comments : Build 612.000 01/22/99 #:15 [sqlmangr.exe] FilePath : C:\MSSQL7\Binn\ ProcessID : 136 ThreadCreationTime : 05-11-04 21:18:25 BasePriority : Normal FileVersion : 2000.02.08 ProductVersion : 7.00.839 ProductName : Microsoft SQL Server CompanyName : Microsoft Corporation FileDescription : SQL Server Service Manager InternalName : SQLMANGR LegalCopyright : Copyright © Microsoft Corp. 1988-1998 LegalTrademarks : Microsoft® est une marque déposée de Microsoft Corporation. Windows(TM) est une marque de Microsoft Corporation OriginalFilename : SQLMANGR.exe Comments : NT INTEL X86 #:16 [msdtc.exe] FilePath : C:\WINNT\System32\ ProcessID : 140 ThreadCreationTime : 05-11-04 21:18:26 BasePriority : Normal FileVersion : 1999.6.854.0 ProductVersion : 02.00.00.854 ProductName : Microsoft Distributed Transaction Coordinator CompanyName : Microsoft Corporation FileDescription : MS DTC console program InternalName : MSDTC.EXE LegalCopyright : Copyright (C) Microsoft Corp. 1995-1998 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation. Windows(TM) is a trademark of Microsoft Corporation Comments : INTEL X86 #:17 [awhost32.exe] FilePath : D:\Applications\Symantec\pcAnywhere\ ProcessID : 158 ThreadCreationTime : 05-11-04 21:18:36 BasePriority : Normal FileVersion : 10.0.0.354 ProductVersion : 10.0 ProductName : pcAnywhere CompanyName : Symantec Corporation FileDescription : pcAnywhere Host InternalName : AWHOST32 LegalCopyright : Copyright 2001 by Symantec Corporation OriginalFilename : AWHOST32.exe #:18 [pvlsvr.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 169 ThreadCreationTime : 05-11-04 21:19:03 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec PVL Service InternalName : pvlsvr.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : pvlsvr.exe #:19 [benser.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 99 ThreadCreationTime : 05-11-04 21:19:16 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec Naming Service InternalName : benser.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : benser.exe #:20 [nsvr.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 181 ThreadCreationTime : 05-11-04 21:19:19 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec Notification Server InternalName : nsvr.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : nsvr.exe #:21 [tcpsvcs.exe] FilePath : C:\WINNT\System32\ ProcessID : 195 ThreadCreationTime : 05-11-04 21:19:24 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Application services TCP/IP InternalName : TCPSVCS.EXE LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : TCPSVCS.EXE #:22 [dns.exe] FilePath : C:\WINNT\System32\ ProcessID : 205 ThreadCreationTime : 05-11-04 21:19:26 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Serveur du Système de Noms de Domaine (DNS) InternalName : dns.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : dns.exe #:23 [inojobsv.exe] FilePath : D:\APPLIC~1\COMPUT~1\InocuLAN\ ProcessID : 208 ThreadCreationTime : 05-11-04 21:19:27 BasePriority : Normal FileVersion : 4.0.647.000 ProductVersion : 4.53 ProductName : InoculateIT for NT CompanyName : Computer Associates FileDescription : Service manager InternalName : inojobsv LegalCopyright : © Copyright 1984-2000 Computer Associates International, Inc. and/or its subsidiaries. All Rights Reserved. OriginalFilename : inojobsv.exe Comments : Build 647.000 02/08/00 #:24 [logwatnt.exe] FilePath : C:\WINNT\ ProcessID : 223 ThreadCreationTime : 05-11-04 21:19:33 BasePriority : Normal #:25 [sqlservr.exe] FilePath : C:\MSSQL7\binn\ ProcessID : 229 ThreadCreationTime : 05-11-04 21:19:35 BasePriority : Normal FileVersion : 2000.03.02 ProductVersion : 7.00.842 ProductName : Microsoft SQL Server CompanyName : Microsoft Corporation FileDescription : SQL Server Windows NT InternalName : SQLSERVR LegalCopyright : Copyright © Microsoft Corp. 1988-1998 LegalTrademarks : Microsoft® is a registered trademark of Microsoft Corporation. Windows(TM) is a trademark of Microsoft Corporation OriginalFilename : SQLSERVR.EXE Comments : NT INTEL X86 #:26 [nmssvc.exe] FilePath : C:\WINNT\System32\ ProcessID : 253 ThreadCreationTime : 05-11-04 21:19:52 BasePriority : Normal FileVersion : 1.40.0.1 ProductVersion : 1.0.0.1 ProductName : NMS CompanyName : Intel Corporation FileDescription : NMS Module InternalName : NMS Module LegalCopyright : Copyright © 2000 Intel Corp. All Rights Reserved #:27 [pstores.exe] FilePath : c:\winnt\system32\ ProcessID : 257 ThreadCreationTime : 05-11-04 21:19:55 BasePriority : Normal FileVersion : 5.00.1877.3 ProductVersion : 5.00.1877.3 ProductName : Microsoft(R) Windows NT(R) Operating System CompanyName : Microsoft Corporation FileDescription : Protected storage server InternalName : Protected storage server LegalCopyright : Copyright (C) Microsoft Corp. 1981-1998 OriginalFilename : Protected storage server #:28 [locator.exe] FilePath : C:\WINNT\System32\ ProcessID : 263 ThreadCreationTime : 05-11-04 21:19:56 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Détecteur de RPC InternalName : locator.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : locator.exe #:29 [atsvc.exe] FilePath : C:\WINNT\System32\ ProcessID : 275 ThreadCreationTime : 05-11-04 21:20:13 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Application service de Planning réseau InternalName : AtSvc.Exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : AtSvc.Exe #:30 [ups.exe] FilePath : C:\Program Files\Pwrchute\ ProcessID : 285 ThreadCreationTime : 05-11-04 21:20:15 BasePriority : Normal FileVersion : 5.2.1F ProductVersion : 5.2.1F ProductName : APC UPS Service CompanyName : APC FileDescription : UPS Service InternalName : ups LegalCopyright : Copyright © 1994-2000 OriginalFilename : ups.exe #:31 [wins.exe] FilePath : C:\WINNT\System32\ ProcessID : 289 ThreadCreationTime : 05-11-04 21:20:18 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : SERVEUR WINS InternalName : wins.exe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1996 OriginalFilename : wins.exe #:32 [alertserver.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 292 ThreadCreationTime : 05-11-04 21:20:20 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec Alert Server InternalName : alertserver.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : alertserver.exe #:33 [beserver.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 307 ThreadCreationTime : 05-11-04 21:20:26 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec RPC Server InternalName : beserver.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : beserver.exe #:34 [sqlagent.exe] FilePath : C:\MSSQL7\binn\ ProcessID : 330 ThreadCreationTime : 05-11-04 21:20:43 BasePriority : Normal FileVersion : 2000.02.08 ProductVersion : 7.00.839 ProductName : Microsoft SQL Server CompanyName : Microsoft Corporation FileDescription : Microsoft SQL Server Agent InternalName : SQLAGENT LegalCopyright : Copyright © Microsoft Corp. 1988-1998 LegalTrademarks : Microsoft® est une marque déposée de Microsoft Corporation. Windows(TM) est une marque de Microsoft Corporation OriginalFilename : SQLAGENT70.EXE Comments : NT INTEL X86 #:35 [bengine.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 360 ThreadCreationTime : 05-11-04 21:21:08 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec Job Engine InternalName : bengine.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : bengine.exe #:36 [benetns.exe] FilePath : C:\Program Files\VERITAS\Backup Exec\NT\ ProcessID : 311 ThreadCreationTime : 05-11-04 21:21:34 BasePriority : Normal FileVersion : 8.50.3572 ProductVersion : 8.50.3572 ProductName : VERITAS Backup Exec(TM) for Windows NT CompanyName : VERITAS Software Corporation FileDescription : Backup Exec Agent Browser InternalName : benetns.exe LegalCopyright : © 2000 VERITAS Software Corporation. All rights reserved. LegalTrademarks : Backup Exec is a trademark of VERITAS Software Corporation OriginalFilename : benetns.exe #:37 [a2start.exe] FilePath : C:\Program Files\a2\ ProcessID : 419 ThreadCreationTime : 05-11-04 21:27:12 BasePriority : Normal #:38 [taskmgr.exe] FilePath : C:\WINNT\System32\ ProcessID : 394 ThreadCreationTime : 06-11-04 08:54:35 BasePriority : High FileVersion : 4.00 ProductVersion : 4.00 ProductName : Système d'exploitation Microsoft(R) Windows NT(TM) CompanyName : Microsoft Corporation FileDescription : Gestionnaire des tâches de Windows InternalName : taskmgr LegalCopyright : Copyright (C) Microsoft Corp. 1991-1996 OriginalFilename : taskmgr.exe #:39 [mwavscan.com] FilePath : C:\TEMP\ ProcessID : 412 ThreadCreationTime : 06-11-04 08:55:54 BasePriority : Normal FileVersion : 4, 0, 0, 1 ProductVersion : 4, 0, 0, 1 ProductName : MWAV CompanyName : MicroWorld Technologies Inc. FileDescription : eScan Toolkit Utility InternalName : mwavscan LegalCopyright : Copyright © 2003-2004 MicroWorld Technolgies Inc. OriginalFilename : mwavscan.exe #:40 [kavss.exe] FilePath : C:\TEMP\ ProcessID : 440 ThreadCreationTime : 06-11-04 08:56:07 BasePriority : Normal FileVersion : 4.0.2.10 ProductVersion : 4.0.2.10 ProductName : Kaspersky Anti-Virus Scanner Server CompanyName : Kaspersky Lab. FileDescription : Kaspersky Anti-Virus Single Scanner InternalName : kavss.exe LegalCopyright : Copyright (C) 1999-2002 Kaspersky Lab. LegalTrademarks : Kaspersky is a registered trademark of Kaspersky Lab. OriginalFilename : kavss.exe Comments : Dmitry A. Ryabov [ryabov@kaspersky.com] #:41 [setup.exe] FilePath : D:\Kaspersky_Anti-Virus_for_Server_Windows_4.5.0.94_incl_key\ ProcessID : 449 ThreadCreationTime : 07-11-04 14:31:57 BasePriority : Normal FileVersion : 6, 31, 100, 1190 ProductVersion : 6, 31 ProductName : InstallShield (R) CompanyName : InstallShield Software Corporation FileDescription : InstallShield (R) Setup Launcher InternalName : Setup LegalCopyright : Copyright (C) 1990-2001 InstallShield Software Corporation OriginalFilename : Setup.exe #:42 [ikernel.exe] FilePath : C:\PROGRA~1\FICHIE~1\INSTAL~1\ENGINE\6\INTEL3~1\ ProcessID : 315 ThreadCreationTime : 07-11-04 14:32:22 BasePriority : Normal FileVersion : 6, 31, 100, 1221 ProductVersion : 6, 31 ProductName : InstallShield (R) CompanyName : InstallShield Software Corporation FileDescription : InstallShield (R) Setup Engine InternalName : Kernel LegalCopyright : Copyright (C) 1990-2001 InstallShield Software Corporation OriginalFilename : iKernel.exe #:43 [ad-aware.exe] FilePath : C:\PROGRA~1\LAVASOFT\AD-AWA~1\ ProcessID : 443 ThreadCreationTime : 07-11-04 15:21:36 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Alexa Object Recognized! Type : Regkey Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : MenuText Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : MenuStatusBar Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : Script Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : clsid Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : Icon Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : HotIcon Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Value : ButtonText Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 8 Objects found so far: 8 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 8 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@cgi-bin[2].txt Category : Data Miner Comment : Hits:7 Value : Cookie:administrateur@imrworldwide.com/cgi-bin Expires : 27-07-14 14:15:52 LastSync : Hits:7 UseCount : 0 Hits : 7 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@estat[1].txt Category : Data Miner Comment : Hits:11 Value : Cookie:administrateur@estat.com/ Expires : 05-02-12 15:14:48 LastSync : Hits:11 UseCount : 0 Hits : 11 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@ehg-hpsas.hitbox[2].txt Category : Data Miner Comment : Hits:26 Value : Cookie:administrateur@ehg-hpsas.hitbox.com/ Expires : 28-01-04 11:42:18 LastSync : Hits:26 UseCount : 0 Hits : 26 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@www.smartadserver[3].txt Category : Data Miner Comment : Hits:12 Value : Cookie:administrateur@www.smartadserver.com/ Expires : 16-06-24 14:49:02 LastSync : Hits:12 UseCount : 0 Hits : 12 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@servedby.advertising[1].txt Category : Data Miner Comment : Hits:9 Value : Cookie:administrateur@servedby.advertising.com/ Expires : 10-10-04 11:24:04 LastSync : Hits:9 UseCount : 0 Hits : 9 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@doubleclick[2].txt Category : Data Miner Comment : Hits:9 Value : Cookie:administrateur@doubleclick.net/ Expires : 21-10-05 07:25:00 LastSync : Hits:9 UseCount : 0 Hits : 9 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@hitbox[2].txt Category : Data Miner Comment : Hits:28 Value : Cookie:administrateur@hitbox.com/ Expires : 28-01-04 11:42:18 LastSync : Hits:28 UseCount : 0 Hits : 28 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@advertising[1].txt Category : Data Miner Comment : Hits:5 Value : Cookie:administrateur@advertising.com/ Expires : 09-09-09 11:24:04 LastSync : Hits:5 UseCount : 0 Hits : 5 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@fl01.ct2.comclick[2].txt Category : Data Miner Comment : Hits:27 Value : Cookie:administrateur@fl01.ct2.comclick.com/ Expires : 10-01-29 01:00:00 LastSync : Hits:27 UseCount : 0 Hits : 27 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@2o7[1].txt Category : Data Miner Comment : Hits:3 Value : Cookie:administrateur@2o7.net/ Expires : 15-04-10 21:00:00 LastSync : Hits:3 UseCount : 0 Hits : 3 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@bluestreak[3].txt Category : Data Miner Comment : Hits:7 Value : Cookie:administrateur@bluestreak.com/ Expires : 19-06-14 12:37:16 LastSync : Hits:7 UseCount : 0 Hits : 7 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@tradedoubler[1].txt Category : Data Miner Comment : Hits:1 Value : Cookie:administrateur@tradedoubler.com/ Expires : 29-10-24 20:10:54 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@weborama[1].txt Category : Data Miner Comment : Hits:6 Value : Cookie:administrateur@weborama.fr/ Expires : 20-06-09 16:37:10 LastSync : Hits:6 UseCount : 0 Hits : 6 Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@bluestreak[1].txt Category : Data Miner Comment : Value : C:\WINNT\Profiles\Administrateur\Cookies\administrateur@bluestreak[1].txt Tracking Cookie Object Recognized! Type : IECache Entry Data : administrateur@www.smartadserver[1].txt Category : Data Miner Comment : Value : C:\WINNT\Profiles\Administrateur\Cookies\administrateur@www.smartadserver[1].txt Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 15 Objects found so far: 23 Deep scanning and examining files (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Deep scanning and examining files (D:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Scanning Hosts file...... Hosts file location:"C:\WINNT\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 23 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 20:17:42 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:03:40:09.16 Objects scanned:187753 Objects identified:23 Objects ignored:0 New critical objects:23 A+++
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 queruak  Posté le 07/11/2004 à 20:41  
Astucien

4419 Messages
Bonsoir à tous, Rapidement,je reviens, Ad-aware que tu as utilisé n'est pas à jour Using definitions file:SE1R8 13.09.2004 Tu dois effectuer sa mise à jour As tu passé Spybot? Est ce que tu as constaté un mieux?.
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 07/11/2004 à 21:04  
Petit astucien

89 Messages
Re à tous, salut queruak Impossible de mettre ad aware à jour sur le poste Je suis en train d'installer spyboot et je vous tiens au jus... Sinon, rien de mieux sur l'état du pc, UC est toujours saturé à 100% Je retente une remis à jour de ad aware
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 TONIO87  Posté le 18/11/2004 à 20:49  
Petit astucien

89 Messages
Salut à tous, Me revoila apres des jours d'absence... J ai pas arrété sur mon dossier Après un scan de 89 h antivirus a2, résultat rien pas de virus ou alors les dommages avaient hélas déjà été fait. J ai passé spyboot et ses collègue et aucuns résultats J'ai remis à jour mes version NT4 mais 1 remise à jour ne s'installe pas: gros message d'erreur donc j en suis a retenté une mise à jour ce soir et si sa marche pas un formatage et une réinstallation complète est à envisager Merci encore pour votre aide Je vous tiens informé de la suite
 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 boboleon  Posté le 11/04/2005 à 10:54  
Petit astucien

20 Messages
bon j'ai eu le même problème!! voici une solution PROVISOIRE que j'ai décrite à un ami à moi: j'avais installé un espiogiciel rémunérateur(opistat) comme il foutait la merde je l'ai désinstallé. eux ils s'en rendent compte et m'envoient un email pour me dire que je ne pourrai plus utiliser l'antivirus donné comme cadeau(norman) je leur ai envoyé un mail en leur disant que leur produit est pourri. résultat:ce matin:PAS D'INTERNET: en regardant de + près je vois avec norton utilities nmtracer.dll manquant en fait c'est opistat qui remplace à l'installation le nmtracer original de microsoft par le sien. lorqu'on désinstalle opistat ,on n'a plus cette dll!et plus d'internet!! SOLUTION PROVISOIRE!j'ai installé HOPSTER(anti-firewall)qui établit sa propre connection... ET ça MARCHE!!
  Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Haut de la page 
Inscrivez-vous au Forum PC Astuces !
  • Posez vos questions
  • Résolvez vos problèmes
  • Aidez les autres
  • Participez et créez vos discussions
  • Dialoguez en privé avec d'autres membres
  • Suivez vos sujets préférés
  • Affichez les signatures des membres
TOUT EST GRATUIT !

Je crée mon compte


Sur PC Astuces

 > Tous les forumsSécurité

 
Forum PC Astuces© 1997-2014 WebastucesAller en haut de la page