Votre question

probleme arret systeme services.exe

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Septembre 2005 19:41:28

Salut tout le monde,
Voilà mon problème : je vois apparaitre de temps en temps sur mon pc une fenêtre avec marquée arrêt du système et dans X secondes , le problème venant du fichier services.exe dans le system32. J'avais déjà eu un problème du type sasser qui m'affichait le même genre de fenêtre. De plus ma connection est fortement ralentie depuis que cette fenêtre apparait ( le taux de dl habituel a 300 ko/s est passé à 80 environ tombant certaines fois à 30 ko/s). J'ai constaté aussi des fichiers temporaires que je n'avais jamais vu auparavant dans le system 32 du type 1.tmp 2.tmp 19.tmp et qui parfois apparaissaient dans le gestionnaire des taches.
Voilà mon Scan Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:34:33, on 17/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\WINNT\system32\LVComsX.exe
E:\Download\emule\emule.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\2.tmp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe


Merci de votre aide

Autres pages sur : probleme arret systeme services exe

17 Septembre 2005 20:03:10

bonjour,

panda

et poste le rapport ya rien de tre méchant au premier coups d oeil, sur ton log.
17 Septembre 2005 21:45:03

ok merci de ton aide la j'ai lancé panda vers 21h donc dés que j'ai le resultat j'envois ca
Contenus similaires
17 Septembre 2005 22:26:57



Bon l'analyse est finie voilà ce que ça donne:


Incident Statut Analyse

Virus:Trj/Agent.ABO Désinfecté C:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté C:\login.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi9.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\login.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi9.scr
Virus:Trj/Multidropper.APD Désinfecté C:\WINNT\system32\missyou.exe
Virus:W32/Oscarbot.BY.worm Désinfecté C:\WINNT\system32\MS-DOS.PIF
Virus:W32/Gaobot.gen.worm Désinfecté C:\WINNT\system32\payload.dat
Virus:Bck/IRCBot.KN Désinfecté C:\WINNT\system32\ssl.exe
Virus:W32/Gaobot.IYO.worm Désinfecté C:\WINNT\system32\tetris.exe
Virus:Trj/Agent.ABO Désinfecté D:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté D:\login.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté E:\login.scr
17 Septembre 2005 22:35:41

ton rapport est clean
17 Septembre 2005 22:36:55

je sais pas de quoi cela peu venir dsl

:(  j esperre que quelqu'un poura faire plus
17 Septembre 2005 22:41:40

désactive la restauration systéme , démarre en mode sans échec et vides le dossier temp

utilises aussi le kit de désinfection fixblast dispo le kit de désinfection Lovsan/Blaster

postes le rapport

EDIT: utilises aussi le kit sasser dispo ici

EDIT2: Apparement Gaobot était ton ami , utilises enfin le kit gaobot dispo la
17 Septembre 2005 22:41:56

Bon ben pas grave merci quand même de t'être pencher sur mon cas .
Si quelqu'un trouve quelque chose d'anormal ben ca serait sympa de me le signaler sinon merci quand même de votre aide.
17 Septembre 2005 22:43:26

ok je fais ca tout de suite
17 Septembre 2005 22:45:22

jai éditer , utilise aussi le kit sasser ( adresse post du haut)

EDIT : jai aussi mis le kit gaobot adresse post du dessus
17 Septembre 2005 22:50:14

bonjour lorena peu tu m'expliquer ce que tu lui dmeande de faire?? tu a trouver quelque chose ou se sont des programme qui scan?
17 Septembre 2005 22:54:09

bonjour :) 

ce quil nous décrit correspond au conséquences d'une infection virales type blaster/sasser/Gaobot utilisant des failles RPC entres autres ..

bref sur le scan de panda les traces du virus gaobot ont été détecté , généralement celui ci , comme ses confréres ,infecte le dossier temps , c:/ , et windows

le kit gaobot révélera peut etre la présence du virus ou peut etre pas ( en raison des nouvelles versions du virus) auquel cas on essaieras de chercher une autre méthode.

17 Septembre 2005 23:16:20

ok merci de bien vouloir repondre lorana ^^
17 Septembre 2005 23:48:58

Bon ca y' est j'ai fait le scan avec les 3 fix voilà ce que ça donne:

W32.Blaster.Worm has not been found on your computer.

Symantec W32.Gaobot FixTool 1.30.0

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Gaobot has not been found on your computer.

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Sasser.Worm has not been found on your computer.
18 Septembre 2005 00:47:50

Bon bon ..aprés de longues recherches il me reste 3 choses a te proposer :) 

1) le probléme ressemble a ca ? as tu une erreur 128 a laffichage si oui alors ca devrait etre la solution ..

si non ->

2) démarre ton pc en mode sans échec

vas dans le regedit et supprime les clés suivantes
# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RtKit
# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

et supprimes les fichiers suivants sils y sont

# \winnt\system32\RtKit\Rtkit.exe
# \winnt\system32\RtKit\globalc.dll
# \winnt\system32\RtKit\npf.sys
# \winnt\system32\RtKit\ntcs.dll
# \winnt\system32\RtKit\packet.dll

redémmares :) 

(désactives toujours la restauration systéme)

3) scanner ton pc via le scan online de kapersky qui est réputé pour etre le plus efficace clic su free online scanner


si rien de rien là va falloir vraiment se creuser les méninges...
18 Septembre 2005 10:46:04

Rebonjour,
Alors pour l'erreur 128 je sais pas si c'est exactement ça, en tout cas j'ai effectivement une fenêtre qui s'ouvre m'indiquant que le système va s'arréter et mettant un cause le fichier service.exe . Par contre pour le code d'état 128 je n'ai pas vu si c'etait marqué ou pas. Donc dois-je faire ce que m'indique le site ou ce que tu m'indiques toi?
Merci de ton aide
18 Septembre 2005 11:17:57

fait la méthode 2
18 Septembre 2005 11:25:18

Ok merci je fais ca tout de suite
18 Septembre 2005 12:11:59

Voilà le résultat du scan de kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 18, 2005 12:12:59
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140817
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 45163
Number of viruses found: 4
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 1795 sec

Infected Object Name - Virus Name
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\13DUQJAK\socks2c[1].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[1].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[2].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[3].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[1].jpg Infected: Trojan-Proxy.Win32.Ranky.gen
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[2].jpg Infected: Trojan-Proxy.Win32.Ranky.gen
C:\WINNT\system32\.exe Infected: Backdoor.Win32.IRCBot.ex
C:\WINNT\system32\webchecks.dll Infected: Backdoor.Win32.Botex.b

Scan process completed.
18 Septembre 2005 12:14:23

bon je regarde ca , tu as fait la méthode 2 ? ca na rien changé?
18 Septembre 2005 12:16:16

Pour la méthode 2 il n'y avait ni rtkit, ni npf, juste un npfs.
18 Septembre 2005 12:26:01

2 questions , tu as supprimer les clés su registre que je tai donné au dessus ?

et kapersky as til effacé les virus?
18 Septembre 2005 12:35:41

pour les clés du registre il n'y avait pas celle que tu m'as dites. Pour kapersky j'ai fait le scan mais il n'a rien supprimé.
18 Septembre 2005 12:51:07

bon alors on va faire ca a la mano ...faut éspérer que ca marche sinon ca pus le format :) 

1) assures toi d'avoir un firewall qui marche ( actif) nautorises jamais un programme inconnu

2) assures toi d'avoir a jour ton pc ( internet et windows)

3) lors de tes navigations préféres firefox a IE 6 dispo ici

bien plus sur et sujet a moins de contaminations

4) vérifier absolument la désactivation de la restauration ET dans poste de travail options des dossiers , la désactivation de loption "masquer les systémé d'exploitation" "masquer les extensions connues" " et cocher afficher "les fichiers cachés"

4bis) télécharges cleanup

4)bis2) télécharges ewido ici

5) mets a jour ton antivirus

6) redemarres en mode sans échec vas dans C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\ et supprimes tout les fichiers contenus a lintérieur MAIS PAS le "temporary Internet files" en lui même

7) lances Cleanup! et fais un nettoyage complet , appuis sur oui a la fin fait le 2-3 fois d'affilés

8) supprimes les fichiers suivants sils sy sont encore

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\13DUQJAK\socks2c[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[2].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[3].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[2].jpg

C:\WINNT\system32\.exe

C:\WINNT\system32\webchecks.dll



une fois cela fait , refais un nettoyage cleanup!

8)bis ) scan ton pc avec Ewido poste le rapport

9)redémarres ,retournes sur le site de kapersky fais un scan postes le rapport

10) retournes sur le site panda fais un scan repostes un rapport

11) fais un scan Hijack this et colles le rapport

cest long , on est sur de rien , si vraiment tu nas rien d'important il peut etre toujours interessant de viser le formatage , mais sinon on continus...a toi de voir
18 Septembre 2005 13:00:56

Ok bon ben jvais my mettre sinon pour firefox ca fait un long moment que je lutilise et mon firewall est constamment activé. Pour la restauration elle etait déjà désactivé et pour les options dossiers idem c'etait déjà réglé comme ça.
Encore merci pour ton aide , c'est parti.
18 Septembre 2005 14:24:45

Fouhhh ca y'est j'ai fini voilà les rapports :

rapport de ewido :
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 13:36:21, 18/09/2005
+ Somme de contrôle: 4B57E91C

+ Résultats du scan:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder


::Fin du rapport


Rapport de kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 18, 2005 13:51:52
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140840
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINNT
C:\DOCUME~1\Gissama1\LOCALS~1\Temp\

Scan Statistics:
Total number of scanned objects: 7276
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 380 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.



Scan Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 14:23:19, on 18/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\LVComsX.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\2.tmp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unico...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe



et pour panda il a rien trouvé voili voilouu
18 Septembre 2005 17:42:14

désolé du retard :) 

bon déja ton systéme est propre ...

edit : enfin attends :) 

dans le scan hijack tu peux supprimer ces lignes

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Services] C:\WINNT\system32\2.tmp

vas dans poste de travail fais rechercher C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL si pas présent coche la ligne

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)



on peut voir la bonne désinfection qui a eu lieu sur deux worms :) 

reste un truc a vérifier ^^

recherche les fichiers suivants

C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe

et scan les un par un via

cette adresse parcourir et recherche le fichier puis scan le ..la meme chose pour les deux , et voit si un des 14 antivirus détécte un malware ...

pS: ta toujours ce probléme de autorite Nt system ?
18 Septembre 2005 19:03:40

Alors,
dejà pas grave pour le retard c'est déjà sympa de m'aider.
Ensuite pour le hijackthis j'ai fixer ce que tu m'as dit et aussi supprimer le fichier REFIEBAR.DLL.
Pour les scans du service.exe et lsass.exe le site n'a rien trouvé. Ils sont ok.
Et enfin pour le problème d'arrêt système j'en ai plus eu du tout donc ça a l'air bon.
18 Septembre 2005 19:47:44

Donc opération terminée? ^^

:bierre: :bierre: :gg:
18 Septembre 2005 20:27:55

ben ça a l'air terminé en effet. Je te remercie d'avoir pris de ton temps pour m'aider et te souhaite une bonne soirée

ps: j'ai vu qu'on devait mettre résolu dans le titre si c'est fini c'est bien ça?
18 Septembre 2005 20:47:32

oui tu peux ca seras un indicatif pour d'autres personnes :) 
19 Septembre 2005 00:39:35

Désolé Pour le retard j'ai du m'absenter. Donc voilà problèmes résolus encore merci lorena et lomaster pour votre aide.
19 Septembre 2005 00:41:12

Euh on fait comment pour editer le titre?
a b , Internet Explorer
19 Septembre 2005 10:25:09

il faut éditer ton premier post ;-)
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS