AntiGuide: BilanFF30



PagePrincipale :: DerniersChangements :: ParametresUtilisateur :: Vous êtes 216.73.216.66 :: Signaler un abus :: le: 20250605 13:46:41
20080905

lire l'avis de trend: TrendReparer20080905

4 machines Xp pro, session admin, pas de mot de passe, en plus outlook et Internet Explorer,
protégées par Pc-Cillin infectées,
depuis 3 ne démarrent plus (+ même symptôme chez FF. )
- clé run du registre vide peut-etre ???
- nouvelle tache ne trouve pas explorer
à suivre

pages récentes sur google, à la question: troj generic adv, 500000 réponses, dont:
lu: http://forums.techguy.org/malware-removal-hijackthis-logs/747072-troj-generic-adv.html
les 4 machines (a priori identiques, même matos, même Windows) s'appellent ici: secretariat/isabelle, atelier1, atelier2, et FF.
machine auto réparée isabelle secretariat, ip: 192.168.0.101 à vérifier saine par clamav
pas fait OK sur le message pc-cillin disant qu'il avait besoin de redémarrer pour terminer, éteint.
dimanche:
boot knoppix, internet pas là
monter dsa1 lecture
su -
freshclam
clamscan - r /mesia/sda1

machine FF: pas touchée encore.
20080907-1700
replace explorer.exe par IE depuis antiguide, se lance pa, reboot.
ok fond , erreurs totom tom, lien doc inter doc, ....
server rpc pas dispo
pas non plus de ntbackup

20080907-17xx : recopie de c:\windows\explorer.exe depuis site antiguide
20080907-18xx : boot knoppix 5.3, pas de réseau
monté en écriture le deuxième iomega, lancé copie image du disque par:
aurait du ffdd.gz à n e pas oublier!
su -
dd if=/dev/sda1 | gzip > /media/sdb1/a1dd.gz
on aurait mieux par:
su -
dd if=/dev/sda1 | gzip | dd of=/media/sdb1/a1dd.gz (donnerait la taille écrite sur le disque cible)
19:59 a1dd.gz en est à 19 Go donc 10 à 20 Go/heure

reinstall window depuis cd origine, ne demande pas la clé, puis demande sp2, mis le .exe chargé chez bilou, dit manque nt5inf.cat...
situation reboot 00 sur recommencer

reinstall, install, reparer, demande clé, ... revenu au début

windows update, essai winows update
echec wga

propose sp3, accepte
pas mieux wga

rechargement de la sauvegarde iomega

20080908:0039 restauration par:
monter sdb1 (en lecture)
NE PAS MONTER sda1
su -
cat /media/sdb1/a1dd.gz | gunzip | dd of=/dev/sda1

ok fin de dd 80 go.

20080908-0847: reboot une fois, cd dialogue récup..., parti en windows, redémarrer
reboot sur win xp origine

lire: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q311755

20080908-1158: essai procédure trend
boot, f8, dernière bonne config connue, choississez... 1 seul,
pas mieux (ntackup word, etc tout pareil)

reboot, f8, mode de restauration active, verif disque, ok, continue tout seul,

reboot san echec, copy de i386 ((ff)par xcopy
xcopy d:\i386 c:\i386
faudra nettoyer home: c:\doc&set\utilisateur

1217: reboot cd origine xp
dit 39 minutes, ...
demande la clé
ne demande pas sp2
ok mouvement icones
ntbackup support amovible indispo
word impossible sauvegardert pb démarrage compagnon
par poste tra gérer service démaré stockage amovible
ok ntbackup lancé une asr (!pas de disquette) refus démarrer.

lancement word
à peu près impossible établir c:\pf\\startup cnl.dot

services dcom refuse
verif autres,

faut enregistrer rpcss.dll, echec
bilou suggère: http://support.microsoft.com/kb/827659 , essayé de changer session pour administrateur, pas mieux.

vu par depends.exe, le fichier rpcss.rll n'a pas de point d'entrée dllregistererver, donc normal qu'on ne puisse pas l'enregistrer par regsrv32
(par contre regsvr32 ole32.dll passe bien, donc pas pb de droits d'écriture)

16:23 tentative de réinstallation de office, abandonné, incertitude sur version à utioliser et clé
essai de Openoffice déjà sur le poste, OK, consigne: ne pas réécrire de vieux fichiers, TOUJOIURS enregistrer sous un nouveau nom.

20090909-1000
essai reinstall office
erreur wi
essai wicleanup, erreur wi
wi pas dans liste des programmes
install wi depuiis ccm
ok apparait dans liste
pas mieux por word
accepte compagno office reinstaller, mais resiste


machine Atelier1 jean-paul I?
- Ok boot en knoppix
- n'accède pas à internet (ni IE ni autres)
- Ok montage disque usb iomega, apparait comme sdb1
- refus de passage en écriture du disque usb, Ntfs mal fermé par windows, passé par ntfsfix
- monté les deux partitions conformémént à NtfsLinuxAccents
- fait copie de sda1 sur sdb1 par copier/coller sous Konqueror, un peu moins d'octets sur la cible que la source, total, environ 7 go faut chercher d'ou vient la différence: fichiers cachés ou accentués, ...
- lancé clamscan avec les signatures périmées du Cd (pas internet pour clamfresh)
à faire mise à jour par Cd

se termine en erreur /var/.....
sans doute lance sans sudo

reboot window, cestion de rtache, nouveau , regedit ....
installation explorer.exe, reboot
acces reseau a machine isabelle
lancé copy de mesdocuments (42 Go) vers disque iomega monté sur machine isabelle par:
créer sur iomega dossier essai_atelier1 , le partager sur le réseau, avec autorisation d'écriture.
connecter lecteur réseau sur partage essai_atelier1 sous la lettre y:
cd "\Documents and settings\utilisateur"
xcopy "mes documents" y:mesdocu /s (et répondre R)
19:59: copie terminé, bon nombre de fichiers

20080908-1719 image par knoppix
su -
monter sda1 lecture
monter sdb1 en écriture
dd if=/dev/sda1 | gzip | dd of=/media/sdb1/jpdd.gz

machine atelier2 G
- ne démarre pas en knoppix 5.1
- recopié c:\windows\explorer.exe
. chargé sur le site antiguide
. lancement d'Internet Explorer (démarré par nouvelle tâche iexplore.exe)
. enregistré sous dans ce:\windows
. divers évènements mal enregistrés (msconfig, restauration registre, reboot sans échec, reboot)
- Ok comme client réseau microsoft, montage du disque z: vers dossier \Atelier2_essai
- copie des dossiers de C:\ vers un disque externe monté sur une machine qui tourne (j'ai pas dit saine) par la commande:
xcopy c:\xxx z:\xxx /s

redemande sp2
20080908-0825: remis depuis ff
2013-07-16 10:47:05 :: Propriétaire : PoF :: Commenter :: Recherche :
Recherche par Google (en travaux):
XHTML 1.0 valide ? :: CSS valide ? :: -- Fonctionne avec WikiNi 0.4.4 (interwiki)