DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 2:02 FAQ | Rechercher | Membres | Groupes

[Résolu] Problème avec Winlogon (encore et toujours )


Aller à la page Précédente  1, 2 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 20:01    Sujet du message: Répondre en citant

Very Happy J'ai plus l'erreur de winlogon ! ( Mon PC arrive a s'arreter ! )

Bref


Rapport Avenger :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\blfbimhx

*******************

Script file located at: \??\I:\micyaxpm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

Driver ntio256 unloaded successfully.
File I:\WINDOWS\system32\protector.exe deleted successfully.
File I:\WINDOWS\system32\ntio256.sys deleted successfully.
File i:\windows\system32\taskdir.exe deleted successfully.
File I:\WINDOWS\system32\adir.dll deleted successfully.
File I:\WINDOWS\system32\svapaaaa.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Rapport Log supprimé


Mon nouveau hijackthis :

Log supprimé
Il reste encore des choses docteur ? 


Dernière édition par Fabi le 22 Oct 2006 à 22:11; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Oct 2006 à 20:35    Sujet du message: Répondre en citant

Re,

C'est bien ce qui me semblait Smile tu as fais du bon boulot.

Il reste quelques points à traiter.
La suppression du Rootkit nous a afficher la ligne 023
ce qui maintenant simplifiera sa suppression

Sur ce post je vais inclure les nettoyages qui s'imposent suite à un traitement d'une infection et à cela afin de s'assurer que le syteme est bel et bien propre s'ajoutera un scan en ligne.


- Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
Un tuto http://www.zebulon.fr/articles/base-de-registre-3.php



- Désactive la restauration système

Citation:

Menu démarrer > panneau de configuration > système.
dans l'onglet restauration système coche la case :
Désactiver la restauration du système sur tous les lecteurs
clique sur ok



- Redémarre ton PC en mode sans échec Impératif !!!
[quote]


- Relance smitfraudfix.cmd
Sélectionner 2
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !



- Recherche et supprime ce fichier (si présent)

I:\WINDOWS\system32\Service.exe

Attention : A ne pas confondre avec services.exe (avec un "s") qui est légitime



- Recherche et supprime les outils spécifiques utilisés
-- Dossier et archives téléchargées
Vundofix
Smitfraudfix
Avenger



- Lance ATF-Cleaner :
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.



- Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique Ok et Ok
* Cliques sur Outil registre en haut sur Outils - Nettoyeur de registre
* Cliques sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner - Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Cliques en bas sur Supprimer puis Fermer
* quitte Jv16



- Réactive la restauration système

Citation:

Menu démarrer > panneau de configuration > système.
dans l'onglet restauration système décoche la case :
Désactiver la restauration du système sur tous les lecteurs
clique sur ok



- Redémarre en mode normal


- Remet l'affichage des fichiers et dossiers cachés comme il était à l'origine

Citation:

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Déoche Afficher les Fichiers et dossiers cachés
- Coche Masquer les fichiers protégés du système d'exploitation
- Coche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements




- Refais un scan en ligne ici avec Internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
Un tuto http://www.malekal.com/scan_Av_en_ligne.html

- Post ce rapport ainsi qu'un nouveau (et j'espère dernier) log Hijackthis



-------------------------------------------------
-------------------------------------------------

Un autre point important.

Ce log ne fais etat d'aucun parfeu ou antivirus actif !!!!

Es tu équipé de ces programmes ou souhaites tu avoir quelques solutions possibles ?

Je ne saurais trop te déconseiller de rester sans ces protections élémentaires.




Bonne nuit. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 22 Oct 2006 à 22:08    Sujet du message: Répondre en citant

Bon il est tard, je te remercie encore pour ton aide, je ferai ces dernieres étapes demain matin.
En effet je n'ai ni firewall, ni anti-virus. Les gens me dirons que je suis fou, c'est vrai. Mais après les merdes que j'ai eu cette semaine, et la conclusion de toute ces analyses, j'ai l'intention de m'acheter un anti-virus.

J'avais pensé à Mc Cofee.

Si tu as mieux, ou d'autre conseil je suis à l'écoute.

Je ne sais pas si on te l'as déjà dis, mais ton dévouement et ta perspicacité pour aider les gens qui ont des problèmes informatique ( et autres )son une qualité rare, alors merci. Il en faut des gens bien comme toi.

Grand merci !

A bientot 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Oct 2006 à 5:59    Sujet du message: Répondre en citant

Bonjour,


Pour t'aider dans ton choix voici 2 pages qui te donneront quelques informations sur le fonctionnement et l'utilité et à chaque fois tu trouveras en bas de page une liste de Par feu ou d'antivirus Gratuit

Attention: 1 seul antivirus et 1 seul par feu installé.
Ces deux logiciels peuvent être complété par un anti spyware/ malware tel que Ewido, AVG antispyware ou A2


- Une page sur les antivirus
- Une page sur les firewalls


A titre perso je te conseillerais de faire un scan en ligne de temps en temps (mensuel) histoire d'avoir 2 avis différents.

- J'attend les derniers rapports et ta bénédiction puis je déplacerai ce topic dans la catégorie sécurité informatique.

Bonne journée 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 23 Oct 2006 à 10:16    Sujet du message: Répondre en citant

Alors, dans l'ordre :

1)I:\Windows\System32\Servive.exe : Introuvable

2)On ne peut réactiver la restauration system en mode sans echec

3)Rapport Log supprimé

4)Rapport Panda Anti-Virus :


Incident Statut Analyse

Adware:adware/cws No Désinfecté i:\documents and settings\all users\favoris\NEW VIAGRA at Half Price!.url
Outil indésirable:application/errorsafe No Désinfecté i:\program files\fichiers communs\ErrorSafe
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-654.dll
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-819.dll
Outil indésirable:Application/Winfixer2005 No Désinfecté I:\Program Files\Fichiers communs\ErrorSafe\PCheck.dll

5) Rapport Hijackthis :


Log supprimé - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Oct 2006 à 20:36    Sujet du message: Répondre en citant

Bonjour,

Il va falloir installer cet antivirus et ce Par feu sinon on y arrivera jamais et l'infection reviendra très rapidement.

Il est inutile de vider l'eau d'une calle d'un bateau en train de couler si on ne fait rien pour boucher le trou !!
Ca ne servirait à rien si ce n'est retarder un peu l'issue du problème.



- En mode sans échec

Recherche et supprime

i:\documents and settings\all users\favoris\NEW VIAGRA at Half Price!.url >> ce fichier

i:\program files\fichiers communs\ErrorSafe >> ce dossier

Les autres fichiers trouvés correspondent aux sauvegarde d'Hijackthis qu'il est prévérable de garder au moins le temps d'être certain que tout fonctionne correctement (on est jamais à l'abris d'une erreur)


- Redémarre en mode normal

* Si tu le veux bien un dernier scan complémentaire qui permettra d'avoir un avis contradictoire

- Rend toi sur ce site (avec Internet explorer) http://www.ewido.net/en/onlinescan/
* Acepte l'installation de l'ActivX,
-- La mise à jour de la base antivirale suivra
* Sélectionne toutes les cases (normalement deja sélectionnées par defaut)
* Clique sur le bouton "start scan"
-- Si des infections sont trouvées clique sur "save report" pour sauvegarder le rapport et sur "Remove infection" pour nettoyer.


Bonne soirée 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 23 Oct 2006 à 21:42    Sujet du message: Répondre en citant

Bonsoir,

J'ai installé AntiVir Guard et ZoneAlarme.
Lors de l'utilisation de AntiVir j'ai trouvé ( encore ) un mauvais parasite dans un .dll, je l'ai mis en quarantaine, mais ne faut-il pas le supprimer pour plus de sécurité ?

Avec Zone Alarme par contre, comment savoir quel programme doit être autorisé à se connecter à internet ?

Il me demande à chaque nouveau programme mais, j'ai des programmes comme win32 etc... qui m'ont demandé si ils pouvaient se connecter, j'ai mis refuser dans un premier temps. Mais internet et le reste ne marchait plus, alors j'ai du mettre "oui" pour win32.

D'autre part, mon outlook express n'arrive plus a se connecter correctement ( même quand ZA est desactivé ) m'empechant de lire mes mails. Tu sais pourquoi ?
( port 100 il me semble )

Sinon, en ce moment j'ai des partiels alors je ferai le scan plus tard...

Je posterai le resultat bientôt.

Edit : Rapport

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: I:\Documents and Settings\Fabien\Cookies\fabien@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: I:\Documents and Settings\Fabien\Cookies\fabien@www.smartadserver[1].txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@adtech[2].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@bluestreak[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@serving-sys[1].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@weborama[2].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@www.smartadserver[1].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.9:I:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\fdltumjo.default\cookies.txt
Risk: Medium

Name: Trojan.Agent.tk
Path: I:\WINDOWS\system32\iesniff.exe
Risk: High 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Oct 2006 à 23:24    Sujet du message: Répondre en citant

Re,

Pour les Cookies rien d'alarmant car ils sont créés lors de l'affichage de publicités. Cela dit tu peux les supprimer aisement (déconnecté)

Tuto pour configurer Zone alarme http://benoit.aun.free.fr/securite-facile-php/zonealarm.php
http://www.zebulon.fr/articles/configurationZA_1.php
http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm
http://www.pcastuce.com/pratique/securite/firewall2/firewall.htm

Et en prime et ce sans supplément Very Happy quelques articles interessants à lire si ton emploi du temps le permet (conseillé) http://speedweb1.free.fr/frames2.php?page=securite




Reste un fichier à supprimer

I:\WINDOWS\system32\iesniff.exe

Il devrait normalement ne poser aucunes difficultés même en mode normal dans le cas contraire supprime le en mode sans echec et post un nouveau log Hijackthis afin de controler qu'il ne reste pas d'entrée (normalement ce fichier se retrouve dan les lignes 04)


Concernant le souci avec outlook express je ne pense pas que nous avons touché un point pouvant le perturber,
Cela dit il doit être possible de le réparer en se referant à cette page qui décrit de manière précise les différentes possibilités.
http://scraper.chez-alice.fr/index.htm?repareoe.htm


Et enfin pour répondre à ta question concernant cette dll détectée par Antivir et mise en quarantaine.
Bien qu'il ne soit jamais conseillé de garder des fichiers infectés sur un ordinateur le cas d'une mise en quarantaine peut toutefois déroger à cette règle.
D'une part pour être certain que la mise en quarantaine du fichier n'occasionne aucun dysfonctionnement
puis cette quarantaine à l'avantage de maintenir les fichiers infectés dans une zone qui ne leur permet pas d'être lancés ou de continuer à se propager dans l'attente qu'une éventuelle mise à jour soit capable de le nettoyer. Il est évident que cette seconde solution n'est valable que dans le cas d'un fichier légitime qui a été modifié par un malware. Conserver un fichier propre au malware n'aurait pas d'interet.

Dans le doute et par précaution je dirais qu'il peut être maintenu en quarantaine (tout comme la quarantaine de Hijackthis entre autre) le temps de s'assurer que tout fonctionne correctement.


J'espère avoir répondu correctement toutefois si besoin..

Cordialement 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Fabi



Inscrit le: 22 Oct 2006
Messages: 13

MessagePosté le: 25 Oct 2006 à 15:03    Sujet du message: Répondre en citant

I:\WINDOWS\system32\iesniff.exe

A été detecté est mis en quarantaine par antivir Very Happy

Sinon, mon outlook re-fonctionne normalement.

Je croi que mon ( mes ) problèmes sont résolus ! merci encore Laurent. Rolling Eyes 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 25 Oct 2006 à 18:35    Sujet du message: Répondre en citant

Bonsoir,

Voila qui est parfait alors

Je déplace la question dans la catégorie "securite informatique" car il a sa place là bas.

Bon surf! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CoSMoS



Inscrit le: 02 Mai 2007
Messages: 1
Localisation: TN

MessagePosté le: 02 Mai 2007 à 16:28    Sujet du message: probleme avec winlogon Répondre en citant

salut,
je suis novice sur ce forum ,

g un grand probleme avec winlogon ...il utilise 50% de mon UC !!voici mon log hijackthis :

Log supprimé



merci pour l'aide

Smile

WBR
CoSMoS 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Numéro ICQ
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 03 Mai 2007 à 21:41    Sujet du message: Répondre en citant

Bonjour cosmos,
Créé un nouveau topic, cela sera mieux, on se repérera mieux pour la suite.
@bientôt.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2 
Page 2 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum