probleme arret systeme services.exe

bonjour,

panda

et poste le rapport ya rien de tre méchant au premier coups d oeil, sur ton log.

ok merci de ton aide la j'ai lancé panda vers 21h donc dés que j'ai le resultat j'envois ca

Bon l'analyse est finie voilà ce que ça donne:


Incident Statut Analyse

Virus:Trj/Agent.ABO Désinfecté C:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté C:\login.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\logi9.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\login.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi0.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi1.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi2.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi3.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi4.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi5.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi6.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi7.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi8.scr
Virus:Trj/Agent.ABO Désinfecté C:\WINNT\system32\logi9.scr
Virus:Trj/Multidropper.APD Désinfecté C:\WINNT\system32\missyou.exe
Virus:W32/Oscarbot.BY.worm Désinfecté C:\WINNT\system32\MS-DOS.PIF
Virus:W32/Gaobot.gen.worm Désinfecté C:\WINNT\system32\payload.dat
Virus:Bck/IRCBot.KN Désinfecté C:\WINNT\system32\ssl.exe
Virus:W32/Gaobot.IYO.worm Désinfecté C:\WINNT\system32\tetris.exe
Virus:Trj/Agent.ABO Désinfecté D:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté D:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté D:\login.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi0.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi1.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi2.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi3.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi4.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi5.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi6.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi7.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi8.scr
Virus:Trj/Agent.ABO Désinfecté E:\logi9.scr
Virus:Trj/Agent.ABO Désinfecté E:\login.scr

ton rapport est clean

je sais pas de quoi cela peu venir dsl

  j esperre que quelqu'un poura faire plus

désactive la restauration systéme , démarre en mode sans échec et vides le dossier temp

utilises aussi le kit de désinfection fixblast dispo le kit de désinfection Lovsan/Blaster

postes le rapport

EDIT: utilises aussi le kit sasser dispo ici

EDIT2: Apparement Gaobot était ton ami , utilises enfin le kit gaobot dispo la

Bon ben pas grave merci quand même de t'être pencher sur mon cas .
Si quelqu'un trouve quelque chose d'anormal ben ca serait sympa de me le signaler sinon merci quand même de votre aide.

ok je fais ca tout de suite

jai éditer , utilise aussi le kit sasser ( adresse post du haut)

EDIT : jai aussi mis le kit gaobot adresse post du dessus

bonjour lorena peu tu m'expliquer ce que tu lui dmeande de faire?? tu a trouver quelque chose ou se sont des programme qui scan?

bonjour  

ce quil nous décrit correspond au conséquences d'une infection virales type blaster/sasser/Gaobot utilisant des failles RPC entres autres ..

bref sur le scan de panda les traces du virus gaobot ont été détecté , généralement celui ci , comme ses confréres ,infecte le dossier temps , c:/ , et windows

le kit gaobot révélera peut etre la présence du virus ou peut etre pas ( en raison des nouvelles versions du virus) auquel cas on essaieras de chercher une autre méthode.

ok merci de bien vouloir repondre lorana ^^

Bon ca y' est j'ai fait le scan avec les 3 fix voilà ce que ça donne:

W32.Blaster.Worm has not been found on your computer.

Symantec W32.Gaobot FixTool 1.30.0

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Gaobot has not been found on your computer.

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Sasser.Worm has not been found on your computer.

Bon bon ..aprés de longues recherches il me reste 3 choses a te proposer  

1) le probléme ressemble a ca ? as tu une erreur 128 a laffichage si oui alors ca devrait etre la solution ..

si non ->

2) démarre ton pc en mode sans échec

vas dans le regedit et supprime les clés suivantes
# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RtKit
# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF

et supprimes les fichiers suivants sils y sont

# \winnt\system32\RtKit\Rtkit.exe
# \winnt\system32\RtKit\globalc.dll
# \winnt\system32\RtKit\npf.sys
# \winnt\system32\RtKit\ntcs.dll
# \winnt\system32\RtKit\packet.dll

redémmares  

(désactives toujours la restauration systéme)

3) scanner ton pc via le scan online de kapersky qui est réputé pour etre le plus efficace clic su free online scanner


si rien de rien là va falloir vraiment se creuser les méninges...

Rebonjour,
Alors pour l'erreur 128 je sais pas si c'est exactement ça, en tout cas j'ai effectivement une fenêtre qui s'ouvre m'indiquant que le système va s'arréter et mettant un cause le fichier service.exe . Par contre pour le code d'état 128 je n'ai pas vu si c'etait marqué ou pas. Donc dois-je faire ce que m'indique le site ou ce que tu m'indiques toi?
Merci de ton aide

fait la méthode 2

Ok merci je fais ca tout de suite

Voilà le résultat du scan de kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 18, 2005 12:12:59
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140817
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 45163
Number of viruses found: 4
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 1795 sec

Infected Object Name - Virus Name
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\13DUQJAK\socks2c[1].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[1].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[2].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[3].jpg Infected: Trojan-Proxy.Win32.Ranky.cd
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[1].jpg Infected: Trojan-Proxy.Win32.Ranky.gen
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[2].jpg Infected: Trojan-Proxy.Win32.Ranky.gen
C:\WINNT\system32\.exe Infected: Backdoor.Win32.IRCBot.ex
C:\WINNT\system32\webchecks.dll Infected: Backdoor.Win32.Botex.b

Scan process completed.

bon je regarde ca , tu as fait la méthode 2 ? ca na rien changé?

Pour la méthode 2 il n'y avait ni rtkit, ni npf, juste un npfs.

2 questions , tu as supprimer les clés su registre que je tai donné au dessus ?

et kapersky as til effacé les virus?

pour les clés du registre il n'y avait pas celle que tu m'as dites. Pour kapersky j'ai fait le scan mais il n'a rien supprimé.

bon alors on va faire ca a la mano ...faut éspérer que ca marche sinon ca pus le format  

1) assures toi d'avoir un firewall qui marche ( actif) nautorises jamais un programme inconnu

2) assures toi d'avoir a jour ton pc ( internet et windows)

3) lors de tes navigations préféres firefox a IE 6 dispo ici

bien plus sur et sujet a moins de contaminations

4) vérifier absolument la désactivation de la restauration ET dans poste de travail options des dossiers , la désactivation de loption "masquer les systémé d'exploitation" "masquer les extensions connues" " et cocher afficher "les fichiers cachés"

4bis) télécharges cleanup

4)bis2) télécharges ewido ici

5) mets a jour ton antivirus

6) redemarres en mode sans échec vas dans C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\ et supprimes tout les fichiers contenus a lintérieur MAIS PAS le "temporary Internet files" en lui même

7) lances Cleanup! et fais un nettoyage complet , appuis sur oui a la fin fait le 2-3 fois d'affilés

8) supprimes les fichiers suivants sils sy sont encore

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\13DUQJAK\socks2c[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[2].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks2c[3].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[1].jpg

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT2TRWZE\socks3a[2].jpg

C:\WINNT\system32\.exe

C:\WINNT\system32\webchecks.dll



une fois cela fait , refais un nettoyage cleanup!

8)bis ) scan ton pc avec Ewido poste le rapport

9)redémarres ,retournes sur le site de kapersky fais un scan postes le rapport

10) retournes sur le site panda fais un scan repostes un rapport

11) fais un scan Hijack this et colles le rapport

cest long , on est sur de rien , si vraiment tu nas rien d'important il peut etre toujours interessant de viser le formatage , mais sinon on continus...a toi de voir

Ok bon ben jvais my mettre sinon pour firefox ca fait un long moment que je lutilise et mon firewall est constamment activé. Pour la restauration elle etait déjà désactivé et pour les options dossiers idem c'etait déjà réglé comme ça.
Encore merci pour ton aide , c'est parti.

Fouhhh ca y'est j'ai fini voilà les rapports :

rapport de ewido :
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 13:36:21, 18/09/2005
+ Somme de contrôle: 4B57E91C

+ Résultats du scan:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder


::Fin du rapport


Rapport de kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 18, 2005 13:51:52
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 18/09/2005
Kaspersky Anti-Virus database records: 140840
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINNT
C:\DOCUME~1\Gissama1\LOCALS~1\Temp\

Scan Statistics:
Total number of scanned objects: 7276
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 380 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.



Scan Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 14:23:19, on 18/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\LVComsX.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\2.tmp
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unico...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe



et pour panda il a rien trouvé voili voilouu

désolé du retard  

bon déja ton systéme est propre ...

edit : enfin attends  

dans le scan hijack tu peux supprimer ces lignes

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Services] C:\WINNT\system32\2.tmp

vas dans poste de travail fais rechercher C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL si pas présent coche la ligne

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)



on peut voir la bonne désinfection qui a eu lieu sur deux worms  

reste un truc a vérifier ^^

recherche les fichiers suivants

C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe

et scan les un par un via

cette adresse parcourir et recherche le fichier puis scan le ..la meme chose pour les deux , et voit si un des 14 antivirus détécte un malware ...

pS: ta toujours ce probléme de autorite Nt system ?

Alors,
dejà pas grave pour le retard c'est déjà sympa de m'aider.
Ensuite pour le hijackthis j'ai fixer ce que tu m'as dit et aussi supprimer le fichier REFIEBAR.DLL.
Pour les scans du service.exe et lsass.exe le site n'a rien trouvé. Ils sont ok.
Et enfin pour le problème d'arrêt système j'en ai plus eu du tout donc ça a l'air bon.

Donc opération terminée? ^^

:bierre: :bierre: :gg:

ben ça a l'air terminé en effet. Je te remercie d'avoir pris de ton temps pour m'aider et te souhaite une bonne soirée

ps: j'ai vu qu'on devait mettre résolu dans le titre si c'est fini c'est bien ça?

oui tu peux ca seras un indicatif pour d'autres personnes  

Désolé Pour le retard j'ai du m'absenter. Donc voilà problèmes résolus encore merci lorena et lomaster pour votre aide.

Euh on fait comment pour editer le titre?

il faut éditer ton premier post ;-)