PC qui reboot (Log hijackthis)
Forum Sécurité - Virus : PC qui reboot (Log hijackthis)
Bonjour, j'ai un domaine windows serveur 2003 et j'ai des pc qui reboutent, n'importe quand sans prévenir.
J'ai une erreur système dans les rapports d'évènements. J'avais d'abord pensé à un problème de pilotes, j'ai donc fait une mise à jour.
J'ai également effectué une analyse antivirus... rien de trouvé.
Est ce que vous pouvez regarder à ce log hijeckthis pour que je puis éliminer la possibilité d'une infection avant de continuer mes recherches ?
Merci d'avance.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:29, on 18/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\aswServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\AvAgent.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Program Files\Alwil Software\Avast4\aswMaiSv.exe
C:\Program Files\Alwil Software\Avast4\aswWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\wuauclt.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etudiant.annecy
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etudiant.annecy
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswMaiSv.exe
O23 - Service: avast! NetAgent - ALWIL Software - C:\Program Files\Alwil Software\Avast4\AvAgent.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswWebSv.exe
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
--
End of file - 4240 bytes
Bonjour,
Je ne pense pas à une infection.
Télécharge Catchme (Przemyslaw Gmerek) sur ton Bureau.
- Double clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.
- Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton bureau.)
Répondre à Angeldark
Bonjour,
Merci de ton aide Angeldark.
J'ai passé le catchme.exe sur un des postes, voilà le log:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1127734088;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=770983134;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1171654683;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=1079802321;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1220414620;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=972948387;ns=0;url=http%3A%2F%2Fapps.facebook.com%2Fguerre-des-gangs%2Fproperty[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1233592946;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=770983134;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1322701228;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=1079802321;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1340010482;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=1079802321;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1434125055;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=2006355830;ns=0;url=http%3A%2F%2Fapps.facebook.com%2Fguerre-des-gangs%2Fdetails[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1446957601;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=1079802321;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
C:\Documents and Settings\coiquaud.j\Local Settings\Temporary Internet Files\Content.IE5\X7R311OE\pixel;r=1495531645;fpan=0;fpa=1220266445-35082156-21759337;fpbn=0;fpb=770983134;ns=1;url=http%3A%2F%2Frya.rockyou.com%2Fams%2Fad[1].gif 40 bytes
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 9
De plus le code erreur que j'ai est:
REGISTRY_ ERROR
J'ai également passé un memtest, apparament le problème ne vient pas de la ram... Je poursuis mes recherches.
Re,
Rien de méchant. Certain que ce n'est pas un problème Hardware ?
Télécharge Ccleaner sur ton Bureau.
- Clique sur "download the latest version"
- Installe-le en laissant seulement les options suivantes cochées :
- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner
- Lance le Nettoyage
- Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.
Aide : Comment utiliser CCleaner.
&
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!
Aide :
Répondre à Angeldark
Non je ne suis pas certain que ce ne soit pas un problème hardware...
Le soucis c'est que ça fait ça sur plusieurs postes informatiques.
Je voulais d'abord éliminer le risque d'infection...
Ca ne vient pas de ça apparemment.
Je bloque un peu là...
Bah fais ce que j'ai dit, on sera fixé après.
Répondre à Angeldark
J'ai fait l'analyse, aucun problème n'a été trouvé.
Puisque le risque d'infection est éliminé, je vais orienter mes recherches vers des problèmes matériels.
Merci de m'avoir accordé un peu de ton temps !
Bonne continuation.
Répondre à Angeldark
Il y a 338 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
