DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 23 Nov 2024 à 23:48 FAQ | Rechercher | Membres | Groupes

[Résolu] Problème avec Winlogon (encore et toujours )


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 12:58    Sujet du message: [Résolu] Problème avec Winlogon (encore et toujours ) Répondre en citant

Bon, j'ai lu pas mal de chose et il parait que des gens sur ce forum savent comment eviter un tel problème.

Je m'explique :
A chaque fois que je demarre mon PC j'ai une erreur Winlogon. Comme quoi il ne s'execute pas correctement tout ca.

J'ai tenté par différent moyen de réaliser une restauration system mais en vain : A chaque tentative : il me sort : "Restauration incomplete" etc..

D'autre part, quand je fais démarrer, arreter l'ordinateur, arreter, il me reboot le PC Sad

Bref Je demande votre aide svp.

J'ai lu qu'il fallait installer un programme hijackthis, et voici mon log :

Log supprimé
( Je l'ai executer un mode normal, pas en mode sans echec )

Franchement, si qqun pouvait m'aider ca serait super cool. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 22 Oct 2006 à 13:34    Sujet du message: Répondre en citant

Pour ma part, tu va me faire cela :
Bouton droit sur poste de travail, puis propriétés, puis onglet avancé.
Dans ce dernier, dans la rubrique "démarrage et récupération" tu cliques sur paramètres.
Dans la partie défaillance du système, tu décoches "redémarrer automatiquement".

Tu refait arrêter ton pc, et indique le message STOP avec ce qui il y a à côté et ce qu'il y a à l'intérieur des parenthèses, si un écran bleu survient.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 13:37    Sujet du message: Répondre en citant

Je termine l'analyse de l'outil de supression de logiciels malveillants Microsoft Windows ( trouvé sur un autre post similaire ) puis je regarde ca tout de suite. 

Dernière édition par Fabi le 22 Oct 2006 à 14:10; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 13:48    Sujet du message: Répondre en citant

Bon l'analyse n'as rien donnée. ( Pas de fichier virulant à priori )

J'ai fais ce que tu m'as dis et j'ai eu mon ecran Bleu :

Citation:
STOP : c000021a
{erreur systeme irrécuperable }
Le processus system windows Logon Process s'est terminé de façon inattendu avec l'état 0xc0000005 ( 0x00000000 0x00000000).
Le syteme a été arrêté.


Je lance l'analyse de Ad-Aware SE maintenant.

En attendant, si tu trouve une solution, je suis preneur !

Edit : L'analyse d'ad-Aware viens de se finir : rien trouvé.

Je ne sais pas quoi faire ! svp aidez moi. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 14:42    Sujet du message: Répondre en citant

Bonjour,

Ce log démontre la présence d'une infection
I:\WINDOWS\system32\IEFilter.dll >>>Troj/SrchSpy-A (a confirmer)

cependant avant de faire quoi que ce soit et afin de déterminer avec plus de précision la suite à donner je vais te demander de faire scanner certains fichiers avant

- Rend toi sur ce site http://www.virustotal.com/en/virustotalx.html
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

I:\WINDOWS\system32\ev.dll


* Clique sur sur send en haut à droite
-- Le scan va se lancer, ça va prendre un petit instant
* Le résultat s'affichera , Fais en un copier / coller dans ta prochaine réponse

- Recommence l'opération avec ces fichiers

I:\WINDOWS\SYSTEM32\instcat.dll
I:\WINDOWS\system32\IEFilter.dll



Si virustotal est inaccessible ou en cas de probleme essaies comme cela
- Rend toi sur ce site http://virusscan.jotti.org/
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

(reprendre la liste ci haut)

* Clique sur sur submit en haut à droite
-- Le scan va se lancer, ça va prendre un petit instant
* Le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse


A+ 


Dernière édition par !aur3n7 le 22 Oct 2006 à 14:50; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 22 Oct 2006 à 14:49    Sujet du message: Répondre en citant

Je vais avoir besoin d'une colaboration de Laurent ^^
Il me faudrait si tu peux, trouver la connerie qui fait bugguer le winlogon :/

Fait déjà tout ce qu'à dit laurent, et indique moi s'il reste cette BSOD.

Pour laurent, y'a surement un tit log qui se lane même en sans echec et qui fait couillonné. Cela peut être résolu via une dernière bonne configuration connue, ou en utilisant une réparation système, mais je préfère que tu nettois le tout avant Smile (le tout, d'après micro$oft)

Pour info, la dernière fois que j'ai eu cet BSOD, la personne a due formater :/
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 14:53    Sujet du message: Répondre en citant

Salut lenouvdu44,

C'est pour cette raison qu'il me faut plus d'info sur ces fichiers mais à mon avis c'est l'infection elle même la cause du probleme
Certaine bestiole ont la capacité d'etre lancées y compris en mode sans echec afin de contrer les scans et autres.

Voila pour la petite remarque du jour

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 15:18    Sujet du message: Répondre en citant

Alors je crois bien que je suis dans la ***** :snif:

D'après http://virusscan.jotti.org/ voilà ce que j'ai pour les fichiers que tu m'a demandé :

Pour ev.dll :

Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Generic2.FBV
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Adware.Hotbot
F-Prot Antivirus Found nothing
Fortinet Found W32/Pakes!tr
Kaspersky Anti-Virus Found Trojan.Win32.Pakes
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Pour instcat.dll :

Scanner results
AntiVir Found Heuristic/Malware (probable variant)
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

et enfin pour IEFilter.dll :

Scanner results
AntiVir Found Trojan/Spy.Small.EZ.8
ArcaVir Found Trojan.Spy.Small.Ez
Avast Found nothing
AVG Antivirus Found PSW.Generic2.KNJ
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Small.ez
NOD32 Found nothing
Norman Virus Control Found W32/Smalltroj.MFE
VirusBuster Found TrojanSpy.Small.EVR
VBA32 Found nothing

lenouvdu44 a écrit:
Cela peut être résolu via une dernière bonne configuration connue, ou en utilisant une réparation système, mais je préfère que tu nettois le tout avant Smile (le tout, d'après micro$oft)


Le hic c'est que ma restoration systeme de marche pas ( Restauration "incomplete" du à un arret system pendant la restauration system... peut-être là encore, une vilaine conséquence de winlogon 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 15:48    Sujet du message: Répondre en citant

Re,

Pas d'inquietude pour le moment rien d'alarmant

Dans un premier temps on va tenter la méthode classique

- ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur le bureau


- Redémarre ton PC en mode sans échec Impératif !!!
Citation:

Au démarrage de l'ordinateur "tapotte" la touche F8 ou F5 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
A l'aide des touches de ton clavier descend jusque Mode sans echec puis valide par la touche [entrée]



- Relance Hijackthis (Do a system scan only)
-- Coche les cases correspondantes

F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {37B81EC7-96A9-4B4B-A58B-DF5F2B78121f} - I:\WINDOWS\system32\ev.dll
O2 - BHO: (no name) - {FE9C0F0A-78CA-48A4-8E42-0C092D44AA0d} - I:\WINDOWS\system32\ev.dll
O16 - DPF: {2B36F775-8CF5-4489-B454-2D1B80984CF2} (FXPluginCtl Object) - http://www.powerflasher.de/plugin/powerres.cab
O20 - Winlogon Notify: instcat - I:\WINDOWS\SYSTEM32\instcat.dll
O21 - SSODL: IEFilter - {729C4A5A-7668-43A5-BDA4-596442B552A7} - I:\WINDOWS\system32\IEFilter.dll

* Clique sur fix checked


- Autorise l'affichage des fichiers et dossiers cachés

Citation:

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements


- Pour chacune de ces lignes
Démarrer, Exécuter, et tape (ou copier/coller):
-- valide par Ok
regsvr32 /u I:\WINDOWS\system32\ev.dll
regsvr32 /u I:\WINDOWS\SYSTEM32\instcat.dll
regsvr32 /u I:\WINDOWS\system32\IEFilter.dll



- Recherche et supprime ces fichiers

I:\WINDOWS\system32\ev.dll
I:\WINDOWS\SYSTEM32\instcat.dll
I:\WINDOWS\system32\IEFilter.dll


Lance ATF-Cleaner :
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.


- Redémarre en mode normal

-Fais un scan en ligne ici avec Internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
Un tuto http://www.malekal.com/scan_Av_en_ligne.html

* A la fin du scan sauvegarde et fais un copier coller du rapport d'analyse dans ta prochaine réponse

A+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 16:42    Sujet du message: Répondre en citant

Alors, j'ai suivi tes indications.

Malheureusment plusieurs erreur sont survenus :

Dans la procedure d'execution :

regsvr32 /u I:\Windows\system32\ev.dll
-> Fichier introuvable (tant mieux ? Question)
regsvr32 /u I:\Window\system32\instcat.dll
->
Citation:
I:\Window\system32\instcat.dll a été chargé mais le point d'entrée DllUnregisterServer est introuvable. Ce fichier ne peut pas être enregistré.
Surprised

Pour le IEFilter.dll, je n'ai pas eu de problème.

Dans la procedure de suppresion :

Ensuite je cherche ev.dll : disparu ! (tant mieux ?)
Ensuite je cherche instcat.dll pour le supprimer, il me dis que je n'ai pas le droit ... (et comme par hasard c'est le truc winlogon ...)
Ensuite je supprime sans problème IEFilter.dll

Je fais un ATF-Cleaner.

Je reboot ( l'ecran bleu avec le même code d'erreur apparait )

Je re-lance windows en mode normal : toujours l'erreur winlogon au démarrage.

Je fais l'analyse Panda...

Edit : Qui d'ailleur dur super longtemps Confused
Je prend mon mal en patience...
Edit (2) : L'analyse vas vous faire peur Shock 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 17:26    Sujet du message: Répondre en citant

Voilà le resultat de l'analyse :


Incident Statut Analyse

Virus:Trj/SrchSpy.A Désinfecté Système d’exploitation
Virus:Trj/Agent.CVI Désinfecté Système d’exploitation
Virus:trj/abwiz.a Désinfecté Système d’exploitation
Hacktool:rootkit/taskdirhide No Désinfecté i:\windows\system32\taskdir.exe
Adware:adware/cws No Désinfecté i:\documents and settings\all users\favoris\Download Free Spyware Remover.url
Outil indésirable:application/errorsafe No Désinfecté i:\program files\fichiers communs\ErrorSafe
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Bluestreak No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Doubleclick No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Doubleclick No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Tradedoubler No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Mediaplex No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Bluestreak No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Falkag No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.112.2o7.net/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Atlas DMT No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Profiles\default\gg07mk1b.slt\cookies.txt[.weborama.fr/]
Spyware:Cookie/Atlas DMT No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Profiles\default\gg07mk1b.slt\cookies.txt[.atdmt.com/]
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-654.dll
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-819.dll
Virus:Trj/Downloader.KWB Désinfecté I:\Documents and Settings\Fabien\Local Settings\Temp\tmp1.tmp
Virus:Trj/Downloader.KWB Désinfecté I:\Documents and Settings\Fabien\Local Settings\Temp\tmp9.tmp
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\qbu9q96l.default\cookies.txt[.xiti.com/]
Spyware:Cookie/SexList No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\qbu9q96l.default\cookies.txt[.sexlist.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/cs.sexcounter No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.cs.sexcounter.com/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.weborama.fr/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.2o7.net/]
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Papa\Cookies\papa@xiti[1].txt
Outil indésirable:Application/Winfixer2005 No Désinfecté I:\Program Files\Fichiers communs\ErrorSafe\PCheck.dll
Virus:Trj/Downloader.BZZ Désinfecté I:\WINDOWS\pss\MS_update_0609_7723.exeCommon Startup
Virus:Trj/SpyBot.AFG Désinfecté I:\WINDOWS\system32\5.tmp
Hacktool:Rootkit/Alanchum.GC No Désinfecté I:\WINDOWS\system32\adir.dll
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\aeycaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\airgbaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\aiuhsaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\avmapyis.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\axerofij.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ayjrgfag.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ayymouyn.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\diaaaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\digjxfsm.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\dirpxpqx.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\drdkqkje.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\drucdlol.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\duqnaaaa.exe
Virus:Trj/Agent.CVI Désinfecté I:\WINDOWS\system32\ert.dll
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ggicaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gktsublf.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtqcmaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtrgaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtuvndxx.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gwuchehs.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jdwpaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jfjtkaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jllubvfp.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jnepqufj.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jojatoam.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\joqovaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\josrvfbt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jrqynhoq.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jwxihqwd.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcjvdaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcmtgnbo.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcnhkkvb.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcxlfnmb.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mjetaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mojcaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\msudlxpt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mwaqmmfa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mxjjefac.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pifeoqql.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pigjbaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pkolypnp.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pyhvgywa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shfstlvj.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shisqsmq.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shprmyce.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\skftgrqt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sklqxxok.exe
Spyware:Spyware/Virtumonde No Désinfecté I:\WINDOWS\system32\svapaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sxqdaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sxtmcwld.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcikhohr.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcugmaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcvdaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vljemdtv.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vprdqaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vpurlaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vudjwcub.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vuupaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vyiteopc.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vynfxnbs.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vyodgaaa.exe 


Dernière édition par Fabi le 22 Oct 2006 à 17:45; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 17:35    Sujet du message: Répondre en citant

Re,

La pluspart des fichiers ont été nettoyés cependant vu la nature des infection trouvées on va procéder à quelques vérifications


- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4
Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"


- Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur le burau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case "show all" soit bien décochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus emet une alerte concernant Gmer, Ignore la et continu tout de même.



- Post ces 2 rapports s'il te plait. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 18:24    Sujet du message: Répondre en citant

J'ai effacer les quelques cookies qui geneaient.

Bref, Vundo m'a trouver aucun problème.

Rapport :

VundoFix V6.2.6

Checking Java version...

Java version is 1.5.0.6

Java version is 1.5.0.7

Scan started at 17:50:29 22/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

____________________________________________________

Quand à GmeR, il "bloque" sur registry ( il me semble ), mais voilà ce que j'obtient sans cocher la case "registry" :
GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-22 18:26:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT F77DEB3E ZwCreateFile
SSDT F77DF5AC ZwEnumerateKey
SSDT F77DF662 ZwEnumerateValueKey
SSDT F77DEA8A ZwOpenFile
SSDT F77DE97E ZwQueryDirectoryFile
SSDT F77DFEEE ZwTerminateProcess

---- Devices - GMER 1.0.11 ----

Device \Driver\ntio256 \Device\poofpoof IRP_MJ_CREATE F77DE61E
Device \Driver\ntio256 \Device\poofpoof IRP_MJ_CLOSE F77DE61E
Device \Driver\ntio256 \Device\poofpoof IRP_MJ_DEVICE_CONTROL F77DE528

---- Modules - GMER 1.0.11 ----

Module \??\I:\WINDOWS\system32\ntio256.sys (*** hidden *** ) F77DE000

---- Processes - GMER 1.0.11 ----

Process I:\WINDOWS\system32\protector.exe (*** hidden *** ) 1820
Library I:\WINDOWS\system32\protector.exe (*** hidden *** ) @ I:\WINDOWS\system32\protector.exe [1820] 0x00400000

---- Services - GMER 1.0.11 ----

Service I:\WINDOWS\system32\ntio256.sys (*** hidden *** ) [AUTO] ntio256 <-- ROOTKIT !!!

---- Files - GMER 1.0.11 ----

ADS ...
File I:\WINDOWS\system32\protector.exe

---- EOF - GMER 1.0.11 ----

Mais je croi qu'il s'arrete à cause d'un ROOTKIT ou qqch comme ca.

Bref, je vois tjr pas de winlogon ou de qqch similaire :/ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 18:43    Sujet du message: Répondre en citant

Bon, j'ai reussi a supprimer le fichier instcat.dll

Mais à mon grand malheur, l'erreur winlogon s'affiche tjr au demarrage de mon PC. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 18:49    Sujet du message: Répondre en citant

Re,

On va passer à la suppression de tout ce qui a été trouvé jusqu'à maintenant

Suis scrupuleusement ce qui suit


1. Télécharge The Avenger (Swandog46) sur ton Bureau
-- Décompresse avenger.exe sur ton bureau

2. Copies tout le texte dans la citation ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Citation:

Drivers to unload:
ntio256

Files to delete:
I:\WINDOWS\system32\protector.exe
I:\WINDOWS\system32\ntio256.sys
i:\windows\system32\taskdir.exe
I:\WINDOWS\system32\adir.dll
I:\WINDOWS\system32\svapaaaa.exe



Note: Le code ci-dessus a été intentionnellement et spécifiquement rédigé pour Fabi

N'utilisez en aucun cas ces recommendations sur votre ordinateur


3. lance The Avenger en cliquant sur son icône du bureau.
-- Sous "Script file to execute" choisir "Input Script Manually".
-- clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
-- Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
-- Clique sur Done
-- clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
-- Réponds "Yes" deux fois quand demandé.

4. The Avenger va Re-démarrer l'ordinateur.
-- Probablement 2 fois dans ton cas
- Pendant le re-démarrage, il apparaitra une fenêtre de commande de windows noire sur le bureau qui disparaitra très rapidement, ceci est NORMAL.

- Après le re-démarrage, un fichier log s'ouvrira laissant apparaitre les actions faites par The Avenger. Ce fichier log se trouve ici : I:\avenger.txt

-- The Avenger aura également sauvegardé tous les fichiers, etc., les aura compactés (zipped) et tranféré l'archive zip vers I:\avenger\backup.zip.


5. Pour finir du coté des scans un petit dernier pour la route

- Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 et Entrée
/!\ ne touches surtout pas aux autres options pour le moment /!\
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

/!\ process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. /!\


6. Pour finir fais un copier coller des différents rapports/logs
- i:\avenger.txt
- Le rapport de Smitfraudfix
- Un nouveau log Hijackthis

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum