Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1547 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  processus lssrv.exe (virus ???)

 



 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

processus lssrv.exe (virus ???)

n°1799406
mbibim
Posté le 13-11-2004 à 19:39:36  profilanswer
 

Salut à tous,
 
J'ai un windows XP et un processus nommé lssrv.exe tourne en permanence et bouffe de la bande passante. En effet je visualise ce qui transite en temps réel sur les ports de sortie de mon firewall et visiblement quand ce process tourne le port 150 est saturé. C'est flagrant. Si je le kill, plus rien ne transite via ce port.
Les articles de virus qui se rapprochent de mon pb parle d'un virus de type worm Rbot mais ca doit être une variante parce qu'aucun ne correspond à 100%.
Qu'est ce que processus lssrv.exe qui tourne ??? Qui le créé dès qu'une session utilisateur est lancée ??? J'en appelle à votre aide. Merci d'avance ... :)

mood
Publicité
Posté le 13-11-2004 à 19:39:36  profilanswer
 

n°1799414
acrobaze
Posté le 13-11-2004 à 19:44:52  profilanswer
 


Plutôt l'air d'être un ver..
 
Fais ceci pour voir:
 
Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 
 

n°1799832
mbibim
Posté le 14-11-2004 à 12:37:35  profilanswer
 

ok ... je fais çà demain matin dès que je suis avec le pc concerné ... merci :)

n°1801435
mbibim
Posté le 15-11-2004 à 18:56:09  profilanswer
 

Voici le log d'un ordinateur
 
Logfile of HijackThis v1.97.7
Scan saved at 18:20:49, on 15/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\realplay.exe
C:\WINDOWS\System32\instmsgrs.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winupdte.exe
C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINDOWS\180ax.exe
C:\Program Files\CashBack\bin\cashback.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Documents and Settings\mchateau.METEX\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourcei [...] 8&oe=UTF-8
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [.mscdr] C:\WINDOWS\system\lassa.exe
O4 - HKLM\..\Run: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\Run: [Rwtt] C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 62844c01b2
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/globa [...] OFILER.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1A28E6-ACAD-43F9-B363-0CDB567602DD}: NameServer = 192.168.0.6,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
 
et celui d'un second
 
Logfile of HijackThis v1.97.7
Scan saved at 18:47:45, on 15/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Folding@Home\srvany.exe
C:\Program Files\Folding@Home\FAH3Console.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\nutsrv4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\mspg32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Documents and Settings\administrateur.METEX\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\FICHIE~1\NuTC4\bin\ncoeenv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.ex
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.0.2/officescan/clie [...] tupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.0.2/officescan/clientinstall/setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.0.2/officescan/clie [...] veCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6CBEE5-24D7-4B36-8638-6B97B1678F17}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
 
Ces deux machines ont tendance à emettre un peu trop sur le réseau sans réson apparantes. Merci d'avance pour vos suggestions ... :)

n°1801495
acrobaze
Posté le 15-11-2004 à 19:42:56  profilanswer
 


Le premier est un vrai nid à virus, spywares et autres malwares. (et il y en a aussi sur le second...)
 
Peux-tu séparer ces deux ordis ? Parce qu'ils vont se réinfecter mutuellement, sinon, si on essaie de les nettoyer.

n°1801588
mbibim
Posté le 15-11-2004 à 21:12:15  profilanswer
 

en fait ils sont sur un réseau local ... mais je les ai débranchés bien sur pour ne pas qu'il contamine le réseau. Le problème c'est que ils ont surement avant que le les débranche pourri mon réseau ... comment s'y prendre ???

n°1801616
acrobaze
Posté le 15-11-2004 à 21:39:45  profilanswer
 


Il faudrait les nettoyer un à un.

n°1801626
mbibim
Posté le 15-11-2004 à 21:49:12  profilanswer
 

ok ... le problème c'est que j'ai lancé adaware sur le premier ordi ... il a trouvé 850 spywares ce matin ... et ce soir il y en avait déjà 150 de reinstallés dessus ... aurais tu une liste de procédures à effectuer ou de soft à utiliser ... et pourrais tu me donner les opérations à effectuer sur les 2 ordis histoire d'avoir une base pour agir ... sinon comment faire pour windows 2003 server ?
merci d'avance :)

n°1801628
mbibim
Posté le 15-11-2004 à 21:53:57  profilanswer
 

sinon tu pourrais me donner le diagnostic et le vaccin pour les deux pc  ???

n°1801663
acrobaze
Posté le 15-11-2004 à 22:12:17  profilanswer
 


Oui, c'est normal, le nombre trouvé par Ad-Aware. Il y a réplication de fichiers, de valeur de bdr etc...
 
Il n'y a hélas pas de soft idéal que l'on pourrait passer comme ça. Tu verras ici, par exemple que des fichiers passent au travers de RAV :
http://forum.telecharger.01net.com [...] &subcat=16
 
Je peux te donner une marche à suivre. Mais le pc devra etre isolé jusqu'à ce que tout soit clean.

mood
Publicité
Posté le 15-11-2004 à 22:12:17  profilanswer
 

n°1801672
mbibim
Posté le 15-11-2004 à 22:19:21  profilanswer
 

ok ... je veux bien ta procédure stp ... j'ai téléchargé des softs sur www.spycheker.com ... je vais les tester demain. Dis mois ... avec un réseau d'une vingtaine de postes en réseau dont les deux moisis ci dessus ... ai-je une chance de m'en sortir avec ta procédure ou est ce que c'est peine perdue ???
 
merci :)

n°1801692
mbibim
Posté le 15-11-2004 à 22:31:12  profilanswer
 

une dernière question : j'ai cinq types d'OS installés sur mon réseau : Win95 NT4 2000 XP Server 20003 : étant donné que ces deux machines sont restées connectées au réseau pendant très longtemps avant que je me rende compte de ce pb, penses que tous les postes sont moisis de la même façon ou y a t-il des OS moins sensibles ??

n°1801730
acrobaze
Posté le 15-11-2004 à 22:47:44  profilanswer
 


Il va falloir faire ce que tu as fait sur ces deux-là : un rapport HijackThis. Pour s'en rendre compte vraiment.
 
Pas simple.
 
Sinon, l'Os n'est pas un pb.

n°1801733
minipouss
un mini mini
Posté le 15-11-2004 à 22:49:25  profilanswer
 

:hello: Acrobaze
 
mbibim récupère la toute dernière version de Hijack cette fois :)
 
bon courage pour cette nuit car c'est clair que le premier log était plein à ras bord :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1801749
acrobaze
Posté le 15-11-2004 à 22:56:18  profilanswer
 

Pour le 1er:
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank  
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
 
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll  
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll  
 
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [.mscdr] C:\WINDOWS\system\lassa.exe
O4 - HKLM\..\Run: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe  
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe  
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe  
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [micrasup s3rvicese] instmsgrs.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\Run: [Rwtt] C:\Documents and Settings\mchateau.METEX\Application Data\eula.exe
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime les fichiers surlignés.
 
Vide la corbeille. Redémarre. Poste un nouveau log.  

n°1801753
acrobaze
Posté le 15-11-2004 à 22:57:52  profilanswer
 

minipouss a écrit :

:hello: Acrobaze
 
mbibim récupère la toute dernière version de Hijack cette fois :)
 
bon courage pour cette nuit car c'est clair que le premier log était plein à ras bord :D


 
Hello Minipouss!  :hello:  
 
La suite demain... :sleep:

n°1801756
minipouss
un mini mini
Posté le 15-11-2004 à 22:59:34  profilanswer
 

tu m'étonnes :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1801827
mbibim
Posté le 15-11-2004 à 23:27:24  profilanswer
 

merci je fais ca demain matin et te poste la suite ... c'est quoi la dernière version de hiJackThis ???  
Sinon, ces fichiers virus-spywares... peuvent-ils se propager sur un réseau ??? en fait ma question est : est ce que je dois débrancher tous les ordis du réseaux pour les soigner (y compris le serveur) ou est ce que je peux les soigner individuellement sans risquer de contaminer les autres ???
merci en tout cas pour ton aide Acrobaze.

n°1802016
minipouss
un mini mini
Posté le 16-11-2004 à 09:35:02  profilanswer
 

version 1.98.2


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1802859
acrobaze
Posté le 16-11-2004 à 19:41:04  profilanswer
 


Je ne m'y connais pas trop en réseau, franchement. Mais vu qu'il y a échange de fichiers, il me semble que le risque existe.

n°1802866
acrobaze
Posté le 16-11-2004 à 19:45:35  profilanswer
 


Pour le second. Qui est moins atteint:
 
 
à cocher et fixer:
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
 
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe  
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.ex  
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe  
 
à supprimer:
C:\WINDOWS\System32\mspg32.exe
 
et si présent : lssrv.ex

n°1803798
mbibim
Posté le 17-11-2004 à 14:21:19  profilanswer
 

merci ... je suis en train de le faire ... je te poste le log rapidement ... euh les fichiers soulignés à supprimer se trouvent ou en fait pour le premier ordi ???

n°1803816
acrobaze
Posté le 17-11-2004 à 14:31:17  profilanswer
 

Soit le chemin est clairement indiqué:
C:\WINDOWS\system\lassa.exe  
 
soit tu fais  
Démarrer->rechercher.
 
Tu les trouveras sûrement dans :
C:\WINDOWS\system
ou
C:\WINDOWS\System32

n°1803839
mbibim
Posté le 17-11-2004 à 14:45:10  profilanswer
 

ok ... génial :)
 
sinon quand h'ai fixé avec HiJackThis, si il reste des trucs dans le registre dois je les supprimer aussi ??
 
instmsgrs.exe
lassa.exe
msgrsv32.exe
realplay.exe
winupdte.exe
 
merci :)

n°1803848
acrobaze
Posté le 17-11-2004 à 14:50:22  profilanswer
 


Non, en principe, ce sera nettoyé par le "Fix".

n°1803862
mbibim
Posté le 17-11-2004 à 15:07:51  profilanswer
 

voici le nouveau log pour la première machine
 
Logfile of HijackThis v1.97.7
Scan saved at 15:03:45, on 17/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\administrateur.METEX\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries [...] efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries [...] efault.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par METabolic EXplorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.8.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/globa [...] OFILER.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\Software\..\Telephony: DomainName = MEtabolic-EXplorer.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1A28E6-ACAD-43F9-B363-0CDB567602DD}: NameServer = 192.168.0.6,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = METabolic-EXplorer.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{05FD48AD-58B0-4B1D-8A9B-C90BCD51E9AE}: NameServer = 192.168.0.6,194.2.0.20,194.2.0.50
 

n°1803863
minipouss
un mini mini
Posté le 17-11-2004 à 15:11:22  profilanswer
 

pour moi il y a ça
 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
 
le suivant sauf si ça te dit quelque chose et que tu l'as mis toi même
 
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB  
 
celui là à coup sûr
 
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe  
 
ensuite je pige pas trop les 012 et au moins les deux premiers 017 :/ ça me semble bizarre


Message édité par minipouss le 17-11-2004 à 15:12:35

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1803868
mbibim
Posté le 17-11-2004 à 15:19:48  profilanswer
 

les 012 et 017 c'est normal ... je supprime les autre et c'est bon tu penses ???

n°1803886
minipouss
un mini mini
Posté le 17-11-2004 à 15:39:11  profilanswer
 

ben le R3 et le 016 oui c'est clair.
 
et le 04 si tu ne le connais pas (mais peut-être peut-il se désinstaller par ajout/suppr de programme
 
après ça devrait être bon (reposte qd même un log)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1803897
mbibim
Posté le 17-11-2004 à 15:51:39  profilanswer
 

pas la peine c ok ... :)
je fais le second dans l'aprem.
Sinon en voilà un troisième
 
Logfile of HijackThis v1.97.7
Scan saved at 10:38:22, on 17/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\flexlm\Bruker\lmgrd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\Hummbird\inetd32.exe
c:\flexlm\Bruker\bruker_ls.exe
C:\Program Files\NfsSrvr.nt\hcportmp.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\NfsSrvr.nt\hcwinsvr.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Hewlett-Packard\TopToolsWMI\WMIProviders\HPAlertWMI.exe
C:\WINNT\System32\nutsrv4.exe
C:\Program Files\Hewlett-Packard\TopToolsWMI\WMIWDog.exe
C:\Bruker\Diskless\WinApp\bfsd.exe
C:\Bruker\Diskless\WinApp\rpc.bootparamd.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Hewlett-Packard\TopToolsWMI\HPTrayIcon.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\WINNT\system32\HpMmKbd.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\system32\internat.exe
C:\Program Files\UltimateZip\uzqkst.exe
C:\Program Files\Exceed.nt\exceed.exe
C:\WINNT\system32\cmd.exe
C:\Bruker\XWIN-NMR\prog\cpr\cpr.exe
C:\WINNT\system32\nutcsrv4.exe
C:\Bruker\XWIN-NMR\prog\cpr\xcpu.exe
C:\Bruker\XWIN-NMR\prog\mod\dirdata.exe
C:\WINNT\System32\svchost.exe
C:\Bruker\XWIN-NMR\prog\mod\siparproc.exe
C:\Bruker\XWIN-NMR\prog\mod\sipar.exe
C:\Bruker\XWIN-NMR\prog\mod\goutil.exe
C:\WINNT\system32\mspg32.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Bruker\XWIN-NMR\prog\mod\lockdisp.exe
C:\Documents and Settings\Administrator\Desktop\putty_putty_0.55_anglais_10874.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\System32\MsiExec.exe
C:\WINNT\System32\MDM.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/guide/manual.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxypac.bruker.fr/proxy.pac
O1 - Hosts: 149.236.99.1 ASP_ST2
O1 - Hosts: 149.236.99.99 spect
O1 - Hosts: 255.255.255.255 www.casinoxo.com
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Tray Icon WMI] C:\Program Files\Hewlett-Packard\TopToolsWMI\HPTrayIcon.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [HpMmKbd] HpMmKbd.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\COMMON~1\NUTC4\bin\ncoeenv.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip\uzqkst.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 0535300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
 

n°1803911
minipouss
un mini mini
Posté le 17-11-2004 à 16:08:21  profilanswer
 

je t'avais parlé de la dernière version de HJ : http://www.hijackthis.de/hijackthis_198.zip
 
autant la prendre


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1803922
minipouss
un mini mini
Posté le 17-11-2004 à 16:13:07  profilanswer
 

et peux tu enlever les pcs du réseau et fermer le max de choses avant de faire un log car là quand je vois le nombre de processus quitroune c'est chiant à lire :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1803938
mbibim
Posté le 17-11-2004 à 16:21:56  profilanswer
 

celui la est déconnecté

n°1803956
minipouss
un mini mini
Posté le 17-11-2004 à 16:35:31  profilanswer
 

wouah, alors essaye de fermer le max de choses quand même :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1804013
mbibim
Posté le 17-11-2004 à 17:19:05  profilanswer
 

allez un petit effort ... c'est pas si long que ca !!!!

n°1804024
minipouss
un mini mini
Posté le 17-11-2004 à 17:35:40  profilanswer
 

mbibim a écrit :


 
O1 - Hosts: 149.236.99.1 ASP_ST2
O1 - Hosts: 149.236.99.99 spect
O1 - Hosts: 255.255.255.255 www.casinoxo.com

bizarre sauf si tu l'as configuré toi même

 
 
O4 - HKLM\..\Run: [MsWindows Syspg] mspg32.exe
O4 - HKLM\..\RunServices: [MsWindows Syspg] mspg32.exe
 
très louche c'est une saloperie (et il tourne en processus)
 
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
 
à virer
 


 
avec ce que t'a dit Acrobaze tu sais qu'il faut après aller virer à la main  mspg32.exe ;)
 
edit : et sans déc ne fait plus de log sans fermer les programmes et processus inutiles que tu connais ;)


Message édité par minipouss le 17-11-2004 à 17:36:25

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1804065
mbibim
Posté le 17-11-2004 à 17:52:26  profilanswer
 

merci beauocup .... tu penses que après c'est ok pour cette machine ??

n°1804072
minipouss
un mini mini
Posté le 17-11-2004 à 17:58:36  profilanswer
 

je pense que oui mais attendons aussi Acrobaze ou d'autres personnes


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1804107
acrobaze
Posté le 17-11-2004 à 18:42:16  profilanswer
 

Ok. Donc pour le premier, il restait ceci:
 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Program Files\IEMenuExtension\tbextn.dll  
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB  
 
Donc cocher->fixer et supprimer le dossier:
C:\Program Files\IEMenuExtension
au besoin en mode ss échec.
 
On va se mettre ok sur un point:
-Tu fixes systématiquement les O16 (ce sont des activeX temporaires)

n°1804113
mbibim
Posté le 17-11-2004 à 18:44:10  profilanswer
 

merci :)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  processus lssrv.exe (virus ???)

 

Sujets relatifs
Virus mais koi?virus lssrv.exe
Virus kelz.hmozilla kerio et propagation de virus
formatage et reinstallation XP pour supprimer virusProcessus exchange
CPU occupé à 99%, concerne processus explorer.exeA votre avis virus Sasser ou bug Windows XP
Processus system consomme de la CPU sous W XPVirus antiMSN ?
Plus de sujets relatifs à : processus lssrv.exe (virus ???)


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR