Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 09 Avr 2007 à 16:56 Sujet du message: log hijackthis et vérification avant le passage au sp2 |
|
|
Bonjour
Suite à deux semaines d'apocalypse sur mon pc, j'ai fait une réinstall de quelques programmes.
Avant de tout réinstaller j'ai besoin d'un pc stable, je ne veux donc pas faire de bêtises.
J'ai lu dans un autre post qu'il ne valait mieux pas installé le pack sp2 sur un sp1 infesté de bêbêtes et autres trucs tordus.
Au départ j'ai fait n'importe quoi et suis allé sur le net sans protection, notamment suer le site de windows afin de télécharger les maj, le sp2 avec son firewall, etc.
Mais je sens que mon pc n'est pas stable qu'il y a qq chose de bizarre. J'ai essayé d'insataller les différents outils d'analyse, et au départ je n'arrivais pas à les télécharger
(quand j'vous dis qu'il se passe des trucs bizarres). Le problème est résolu. voilà le résultat des dernières analyses (j'ai dû m'y reprendre à 3 fois car chaque fois j'ai eu besoin du net et m'y suis reconnecter)
Je dispose d'un windows famille sp1. Avec 1,5go de mémoire vive, un pentium 4 de 2.8 gh, et un disque dur de 120 go. J'en ai un autre de 150 go déconnecté car douteux.
Résultat de la dernière session d'analyse
(les premières étaient assez spectaculaires au niveau des résultats et de toutes les cochonneries détéctées).
L'analyse a été effectuée hier soir, depuis je ne suis que venu sur ce site...
- Ad-aware : 8 objects.
MRU list (6 negligible objects) + Win 32. backdoor.Rbot (1 object) + other (1 object)
le tout à été "remové";
- Spybot OK. Aucun mouchard n'a été trouvé
- NOD 32, mon antivirus,OK.
- KAPERSKY ON-LINE : 1 virus/2 objets infectés
C:\System Volume Information\_restore{9B52E570-D7DA-45E3-B8D8-07B13E61348F}\RP
infecté par backdoor.Win 32. ainsi que
C:\Windows\System32\msnsrv.exe
infecté lui aussi par backdoor.Win32
- PANDA ON-LINE : bloque à chaque analyse. A la première après 3701 fichiers anlysée, il bloque sur C:\ntldr.
A la seconde analyse, il bloque après 3712 fichiers analysés sur C:\ntldr.
Enfin, à la dernière analyse, il bloque après 2140 fichiers analysés sur C:\ntldr.
A chaque fois le pc se bloque et je galère pour fermer les fenêtres, couper le net et éteindre le pc.
De plus, quand je rentre dans mon disque local C: , je m'aperçois que deux fichiers ont été créés : 1C5.tmp qui pèse quand même 1,98 go. Un autre : B37D.tmp qui pèse 950 Mo
Je n'ai absolument aucune idée de ce que sont ces fichiers. Ils correspondent, il me semble, à l'heure de mes scans.
Enfin, pour finir voici mon log hijackthis, si quelqu'un pouvait m'aider sur ce coup là. Je ne sais pas encore bien les déchiffrer. On trouve la trace d'un truc dont je ne sais pas ce que c'est,
mais que nod 32 avait repéré lorque j'étais sur le net et avait été victime d'une attaque virale, créée par cette apllication selon nod 32 : eim.exe.
Cependant il ya d'autres choses que je trouve bizarres dans ces lignes et que je n'ai jamais vu auparavant...
Vous serait-il possible de me le confirmer et de me filer un petit coup de main sur ce coup là. Histoire que je puisse mettre à jour mon pc correctement.
Merci beaucoup.
Log supprimé
Bonne lecture et merci beaucoup... |
|
Revenir en haut de page |
|
|
Lenouvdu44 Administrateur
Inscrit le: 01 Aoû 2005 Messages: 4919 Localisation: Grenoble
|
Posté le: 09 Avr 2007 à 18:38 Sujet du message: |
|
|
Oki, quelques trucs que j'ai vu à désinfecter, je crois, dont le fameux eim.exe, je crois, je préciser bien.
Tout d'abord, et par mesure de prudence, tu va renommer hijackthis.exe en dtpc.exe, et nous refaire un scan. _________________ L'nouv qui devient L'vieux |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 09 Avr 2007 à 19:00 Sujet du message: |
|
|
Merci.
Voilà le log...
Juste pour qu'on soit bien d'accord: j'utilise hijackthis_v2, la version v2.0.0 beta que j'ai téléchargé hier dont l'icône est un formulaire avec un petit bonhomme au premeier plan qui tient une loupe et pas la précédente, celle avec le détonateur. J'ai donc changé "hijackthis_v2" en "dtpc" et pas en "dtpc.exe"... Si j'ai bien compris c'est ça qu'il fallait que je fasse.
D'ailleurs c'est marrant, une fois que j'ai fait le scan, l'application se bloque et le sablier apparît ) la place de la flêche de ma souris.
Windows me dit que hijackthis ne répond pas et m'envoie le rapport d'erreur.
ça me faisait pas ça avant...
ça me le fait que je le lance sous hijackthis ou sous dtpc. c'est la version beta qui déconne ou ça vient de mon pc?
le log:
Log supprimé |
|
Revenir en haut de page |
|
|
Lenouvdu44 Administrateur
Inscrit le: 01 Aoû 2005 Messages: 4919 Localisation: Grenoble
|
Posté le: 09 Avr 2007 à 19:18 Sujet du message: |
|
|
Cela vient peut être qu'on utilise cela pour la v 1.99 et non pour la v2, de toute façon je laisse les deux logs.
Je déplace ton topic dans la partie sécurité. _________________ L'nouv qui devient L'vieux |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 09 Avr 2007 à 19:30 Sujet du message: |
|
|
Bonjour doc justice, lenouvdu44
Effectivement ce processus eim.exe est à virer.
Voici donc ce que je te propose :
=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec
=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware
Note :
AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html
=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.
- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.
Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.
=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
---- Clique sur Fix cheked
-- Quitte Hijackthis
=> Autorise l'affichage des fichiers et dossiers cachés
* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre
=> Recherche et supprime ce(s) fichiers(s)
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
=> Redémarre en mode normal
=> Résultat
- Post les différents rapports obtenus
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée. |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 10 Avr 2007 à 18:08 Sujet du message: |
|
|
BOnjour, merci de votre intérêt à tous les deux
!aur3n7 et lenouvdu44.
ok, je vais faire tout ça...
Adieu! ou a dans une heure... |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 10 Avr 2007 à 21:05 Sujet du message: |
|
|
Ok. Voilà les résultats (très,très bonnes explications et un pas à pas terriblement efficace et sans erreur!).
Log AVG :
---------------------------------------------------------
Log supprimé
Ensuite, le Log Hijackthis :
Log supprimé
Voilou.
Maintenant, à noter :
Mon mode sans échec se bloque dès que j'appuie sur entrée. ça m'est arrivé deux fois :
La première dès la fenêtre d'entrée dans le mode sans échec:"Windows fonctionne en mode sans échec, etc...
Ce mode de diagnostic spécial, etc... Pour continuer à travailler en mode sans échec cliquez sur oui, etc..."
Et là, j'ai fait entrée et le pc s'est entièrement bloqué, j'ai redémarré à la sauvage.
La seconde fois c'est quand j'ai recherché eim.exe. J'ai utilisé la fonction "rechercher" j'ai tapé "eim" et appuyer sur entrée au lieu de cliquer sur "rechercher" et rebelote... Redémarrage à la sauvage.
Je suis ensuite revenu dans le mode sans échec en vérifiant que les changements effectués dans les options des dossiers étaient toujours présents.
J'ai recherché eim.exe dans windows et je l'ai pas trouvé.
Alors j'suis allé dans windows\system 32 et j'l'ai pas trouvé non plus.
J'ai donc à nouveau utilisé la fonction rechercher.
J'ai tapé eim, et j'ai cliqué sur rechercher, au lieu de taper entrée, cette fois ci.
J'ai touvé 3 oeimimport.dll, mais j'pense pas que ça ait un rapport, alors j'ai rien fait.
Pas de traces d'eim.exe mais un eim.exe-06855b79.pf situé dans windows prefetch. Je l'ai supprimé.
J'ai utilisé atf qui a libéré 18,536 mb. Les onglets firefox et opéra n'étaient pas dispos.
Pour finir, je trouve tjs un IC5.tmp et un B37D.tmp qui pèsent respectivement 1.98 go et 950 mo.
De plus je ne peux pas rentrer dans C:\System Volume Information qui est apparu depuis la manip d'options des dossiers, tout comme le fameux ntldr sur lequel bloque panda on-line.
Voilà, voilà, Merci... |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 10 Avr 2007 à 21:30 Sujet du message: |
|
|
Bonjour,
On va tenter de s'assurer que rien ne soit lancé au démarrage de manière peu conventionelle
=> Télécharge Comboscan (sUBs)
+---+> Enregistre le sur le bureau
+---+> Fais un double clique sur comboscan.exe (rond vert avec une croix blanche à l'intérieur)
- La première fenêtre te demande de fermer toutes les applications en cours. Une fois cela fait clique sur "OK"
- Si une fenètre s'affichera demandant si tu souhaites télécharger et installer Hijackthis clique sur "annuler"
- A la fin du scan un message s'affichera. Clique sur "OK"
- 2 rapports s'ouvriront (comboscan.txt et Supplementary.txt)
note : Ces 2 rapports sont sauvegardés automatiquement dans le dossier c:\comboscan
- Fais un copier coller du rapport comboscan.txt dans ta prochaine réponse
- Pour le rapport supplementary.txt (si présent) qui peut être beaucoup plus long utilise un hébergeur de fichier tel que Cjoint et précise le lien obtenu dans ta réponse
Note : Si ton par feu ou antivirus émet une alerte lors de l'utilisation de Comboscan autorise son exécution.
a bientôt |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 11 Avr 2007 à 13:02 Sujet du message: |
|
|
Bonjour,
Ok, alors voilà ce qui se passe. Hier soir vers 23h30 j'ai lancé les manips seulement comme je l'ai déjà expliqué dans l'autre forum sur lequel je suis présent, impossible de télécharger comboscan.
J'ai la fenêtre téléchargement de fichiers qui s'ouvre mais ça bug.
(voir les explications à peu près au milieu du premier post de la page):
http://www.depannetonpc.net/phpbb2/ftopic6459-0-asc-15.html
La fenêtre reste vide, rien ne s'inscrit. Quand je clique sur la croix rouge pour fermer, j'ai une nouvelle fenêtre qui s'ouvre la classique "fin du programme. Ce programme ne répond pas, etc..."
Quand je clique sur "terminer maintenant" pour fermer cette fenêtre, ça fonctionne et j'ai le rapport d'erreur qui apparaît "vous avez choisi de mettre fin au programme iexplore.exe, etc..."
La 3ème fois que j'ai essayé, à peu près la même chose sauf que la fenêtre téléchargement de fichiers est restée bloquée mais apparaissait quand même
"enregistrement de : comboscan.exe de www.techsupportforum.com
temps restant estimé :
téléchargé vers :
taux de transfert:
La barre de progression n'avançait pas. Enfin les mêmes fenêtres sont apparues quand je cliquais pour fermer : "ce programme ne répond pas", puis "rapport d'erreur".
La seule différence avec l'explication que j'ai fourni dans le lien que j'ai donné, c'est que quand j'ai éteint le pc, y'a pas une fenêtre qui est apparue avec une barre de téléchargment bloquée à 99.9% et m'expliquant que le téléchargement allait s'arrêter.
(ce qui me fait dire que dans lorsque cette fenêtre apparaît c'est quand j'ai cliqué "ouvrir" au lieu de "enregistrer" dans la fenêtre de téléchargement.
Résultat: je viens de retenter le coup, là vers 12h30 et comme la première fois, dans l'autre forum, je n'ai rien fait d'autre qu'éteindre le pc et laisser le temps passer, et ce coup là ça a marché...
Je m'éxécute donc et lance les manip'...
Merci. |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 11 Avr 2007 à 13:20 Sujet du message: |
|
|
Re-bonjour
étant donné que le fichier comboscan est beaucoup plus long que le fichier supplementary je me suis permis de faire également un lien cjoint avec celui ci.
J'espère que ça ne pose pas de pb.
Voici l'adresse: http://cjoint.com/?elnobfJEzw
Et l'adresse pour le supplementary.txt : http://cjoint.com/?elnsIzas0i
Bonne lecture, et Merci. |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 11 Avr 2007 à 14:44 Sujet du message: |
|
|
Ok, ok des nouvelles de ce qui vient de m'arriver.
Juste après la manip et l'envoi de mon dernier post, j'ai un rapport d'erreur qui est tombé. Generic Host Process for Win32 Services a généré un rapport d'erreur suite au post.
Ensuite, tout l'habillage l'habillage windows a changé plus de croix rouge pour fermer, plus de barre des tâches bleues, plus rien tout est devenu gris ou beige genre windows 98.
Clic droit pour se déconnecter du net en bas dans la barre des tâches,pas moyen pendant plusieurs minutes et après plusieurs tentatives et quand je me connectais pour vous raconter tout d'abord j'étais hors connexion, puis quand j'ai décoché "travailler hors connexion" impossible de trouver google ou dépannetonpc. A chaque fois la page où
on te dit que le site est introuvable et qu'on te dit que t'as la possibilité d'actualiser.
Puis tout d'un coup l'habillage est redevenu normal.
Mais toujours impossible d'aller sur le net. J'ai éteint le pc et redémarrer et tout a fonctionné de nouveau normalement : google et le site dépannetonpc. Néanmoins je n'écris pas ce post de chez moi, je suis chez un ami et j'utilise son pc. Je vais dl sp2 comme tu me l'a conseillé lenouvdu44, par mesure de sécurité pour l'avenir...
Voilà les dernières nouvelles...
Merci... |
|
Revenir en haut de page |
|
|
Lenouvdu44 Administrateur
Inscrit le: 01 Aoû 2005 Messages: 4919 Localisation: Grenoble
|
Posté le: 11 Avr 2007 à 19:35 Sujet du message: |
|
|
Voui, mais attends avant de l'installer.
Laurent, trop bien le comboscan !!! _________________ L'nouv qui devient L'vieux |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 11 Avr 2007 à 22:11 Sujet du message: |
|
|
Bonsoir,
Bon eim.exe ne semble plus présent cependant comboscan nous donne encore des références de ce fichier dans la base de registre.
Afin d'éviter de se perdre dans des scans tous azimuts on va opter pour une solution plus simple
=> Fais un scan en ligne avec Internet explorer
+---+> Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
- L'installation et la mise à jour de la base antivirale se feront automatiquement.
- Clique sur Suivant
+---+> Clique sur le bouton paramètres d'analyse
- à l'option analyser avec la base antivirus suivant :
[X] étendue
- dans les options d'analyse contrôle que les cases suivantes soient cochées
[X] analyser les archives
[X] analyser les bases de messagerie
- Clique sur le bouton OK
+---+> Choisis Poste de travail pour lancer le scan
- Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
- Pour le retrouver facilement met le sur le bureau
- dans nom de fichier entre Kaspersky
- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel |
|
Revenir en haut de page |
|
|
doc justice
Inscrit le: 02 Mai 2006 Messages: 59
|
Posté le: 12 Avr 2007 à 13:00 Sujet du message: |
|
|
Bonjour,
Pas de panique lenouvdu44, c'est bien par précaution pour le futur que j'ai téléchargé le sp2 et pas pour l'installer maintenant.
D'ailleurs à ce sujet j'ai une question, j'ai cliqué sur ton lien, et en fait je suis tombé sur une page du site de windows comme prévu, mais il est indiqué :
"Package d'installation réseau de Windows XP Service Pack 2 pour les informaticiens et les développeurs.
Description rapide : Ce package d'installation est destiné à permettre aux informaticiens de configurer plusieurs ordinateurs sur un réseau. Si vous n'avez qu'un seul ordinateur à mettre à jour, consultez le site Windows Update."
Alors, est-ce que ça change quelque chose pour moi qui n'ai qu'un seul pc à configurer (à ma prochaine réinstall, j'entends bien) ou bien est-ce la même version?
Peut-être ai-je simplement à faire 1 ou 2 réglages en plus? ou rien du tout, c'est la même version?
!aur3n7 voici le log du scan kapersky on-line.
-------------------------------------------------------------------------------
Log supprimé
Merci de votre patience à tous les 2... |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 12 Avr 2007 à 16:32 Sujet du message: |
|
|
Bonjour,
Bon d'apres ce que j'en retire après ces différents scan pas d'infection en vue.
Comboscan nous ayant permis de palier au probleme potentiel avec la version beta d'Hijackthis (au cas ou car une beta par definition peut très bien faire ressentir ce genre de bug).
A priori l'installation du SP2 semble envisageable cependant je te conseillerais de faire un checkup matériel avant (test barette mémoire et un scandique complet)
Je crois que lenouvdu44 devrait maitriser beaucoup plus le sujet que moi.
on va donc attendre on avis et son oeil averti.
A+ |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|