Pbl Virus/Install insoluble

[epiphora]

Bonjour,

 

je me bas avec le PC d'une amie depuis maintenant 2 jours.

Je l'ai réinstallé avec Win2k. Et j'ai depuis des problèmes pour finir l'installation des imprimantes et scanners, couplé à une probable infection. Le tout dépasse mes capacités.

 

C'est urgent. Elle est artisant. L'ordi lui sert d'outil de travail. Et moi je pars en vacances là.

 

- Voici la config :

PIII

128 Mo de Ram

Win2k SP4.

Toutes les mises à jours ne sont pas faites.

Nod32 mis à jour

Ewido anti-malware 3.5

Nettoyage en Ccleaner

Ad-Aware SE

Pas de firewall pour l'instant.

Connexion en 160kb (16 Ko).

 

- Les problèmes

Je vous les expose chronologiquement. Je n'arrive plus à faire de lien/diagnostic entre un problème de sécurité et un problème de drivers (ou autre).

 

1) Le premier problème fut celui-ci :

"service affichage des messages" qui s'ouvrent. Le message dit: message de système à alert.....stop!windows requires immediate attention. Windows has found critical system errors. Et là, on me demande d'aller sur www.registry32.com pour réparer ou bien sur fixreg32.com ou encore updatepatch.info..."

 

J'ai fini par désactiver le service.

 

 

2a) Installation de l'imprimante :

Imprimante : Epson Stylus Photo 1290.

J'ai récupéré les drivers sur le site d'epson.

Le setup refuse de se lancer.

Je réussis néanmoins l'installation manuellement.

 

Mais au redémarrage de l'ordinateur, ce message s'affiche (directement) :

 

"Epson Printerport

At least, on service or driver failed during system startup. Use Event Viewer to examine the event log for details."

 

L'observateur d'événements - Système dit :

 

Erreur (15:53:02) Service Control Manager :

"Le service Eplpdx01 n'a pas pu démarrer en raison de l'erreur :

Paramètre incorrect."

 

Erreur (15:53:02) Eplpdx01 :

"Le service Eplpdx01 n'a pas pu être lancé."

 

L'imprimante échoue à imprimer une page de test.

Mais je parviens à tirer une impression tout court.

Aller savoir.

Le problème reste le même après désinstallation propre et réinstallation.

 

 

2b) Le scanner

Scanner : Epson perfection 1640SU Photo

 

J'installe les drivers d'origine sans problème.

Quand on le lance, voici le message retourné :

"Impossible d'accéder au scanner car une autre application l'utilise déjà ou le scanner n'est pas prêt. Fermez toutes les applications de numérisation et assurez-vous que le scanner est en service."

Rien à y faire. Même après déinstallation propre et réinstall.

 

Je suis allé chercher d'autres drivers sur le net.

L'installation réussie (encore une fois) mais impossible de fonctionner.

 

3a) Problème de virus

Lorsqu'on se connecte à internet (du moins, c'est ce que je constate aujourd'hui, je n'en suis pas sûr avant), NOD32 me retourne les messages suivants :

 

NOD32 :

------------------------------------------------

C\ww32.exe

 

Menace :

Win32/TrojanDownloader.ConHook.AD cheval de Troie

 

Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINNT\system32\rundll32.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.

------------------------------------------------

Archive auto-extractible

Http://wwww.phtpipe.be:80/ww32.zip

Menaces :

Infiltrations multiples

------------------------------------------------

 

 

3b) Autres messages d'erreurs.

Par ailleurs, dans le même laps de temps (lié aux virus, aux problèmes de matériel, autre chose ?), d'autres messages apparaissent (en mode normal ET sans échec).

 

Du type :

"Schost.exe a généré des erreurs et sera fermé par Windows [...]."

Idem avec Lsaass.exe

Idem avec rundll32.exe

 

4) Rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 16:37:27, on 18/07/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\WINNT\system32\dslagent.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\taskbaricon.exe

C:\WINNT\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Microsoft Office\Office10\OSA.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINNT\system32\NOTEPAD.EXE

C:\WINNT\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\winfixirdrszxx.exe

C:\Program Files\ewido anti-malware\oldewido.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {55C03FDB-DF95-4F0B-A5B0-8FB512BEC410} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [implib] rundll32.exe C:\WINNT\system32\implib.dll,start

O4 - HKLM\..\Run: [WinRaR service] winfixirdrszxx.exe

O4 - HKLM\..\RunServices: [WinRaR service] winfixirdrszxx.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1152914283229

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O17 - HKLM\System\CCS\Services\Tcpip\..\{3ECD86D4-C95E-433C-A972-4773899C386E}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{3ECD86D4-C95E-433C-A972-4773899C386E}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS2\Services\Tcpip\..\{3ECD86D4-C95E-433C-A972-4773899C386E}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\System32\oodag.exe

 

5) Rapport SmitFraudFix

 

SmitFraudFix v2.73

 

Rapport fait à 16:38:25,18, mar. 18/07/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cretin1\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cretin1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

6) A l'analyse de NOD32, AdAware et Ewido en mode sans échec, aucune infection ne m'est renvoyée.

 

 

 

 

CONCLUSION

Je suis un peu dépassé sur le coup là.

Est-ce un problème d'installion de Win2K ?

Est-ce un problème avec les drivers des imprimantes ?

Ai-je un problème de virus ?

Tout est-il lié, ou pas du tout ?

Est-ce que je devrais mettre urgemment un firewall (par rapport à ces problèmes) ?

 

Et surtout, comment finir cette &"àçç_è&ç d'installation proprement pour rendre à mon amie un outil de travail rapidement.

 

Merci d'avance pour vos bons conseils.

[INFOMEDIC]

salut

 

est tu sur de ton win2k?

cela ressemble fort a une copie pirate verolée. je n'ai jamais eu ce genre de problme apres une installation neuve

Modifié le 19 juillet 2006 par INFOMEDIC

[epiphora]

salut

 

est tu sur de ton win2k?

cela ressemble fort a une copie pirate verolée. je n'ai jamais eu ce genre de problme apres une installation neuve

 

Tout à fait.

J'ai déjà réalisé plusieurs install avec cette version.

Ca a toujours fonctionné nickel.

 

Maintenant il se peut que l'installation se soit mal faite.

Mais je tenais d'abord à vérifier que ce n'était aps le cas, étant donné la lenteur de la machine et de sa connexion.

[Zhorg]

Salut epiphora

 

En attendant qu'un conseiller sécu te réponde,

 

1. Effectue la procédure de prénettoyage si tu ne l'as pas encore faite (poste le rapport d'antivir et un nouveau log hijackthis) et profite d'être en mode sans échec pour désinstaller les pilotes de l'imprimante et du scanner, tu les réinstalleras une fois clean...

 

2. Le pc est trop juste en ram pour win2k, tu peux suggérer à ton ami d'investir dans une barrette de mémoire suplémentaire (128 mo de sdram pour un quinzaine d'euros, attention à la compatibilité!), le pc sera bien plus réactif surtout si tu ajoutes l'indispensable pare-feu...

 

A+

[INFOMEDIC]

Tout à fait.

J'ai déjà réalisé plusieurs install avec cette version.

Ca a toujours fonctionné nickel.

 

Maintenant il se peut que l'installation se soit mal faite.

Mais je tenais d'abord à vérifier que ce n'était aps le cas, étant donné la lenteur de la machine et de sa connexion.

 

es tu parti d'un dique vierge ou pardessus un win98?