DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 4:26 FAQ | Rechercher | Membres | Groupes

winlogon.exe UC a 100%


Aller à la page Précédente  1, 2, 3 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 28 Nov 2006 à 19:49    Sujet du message: Répondre en citant

En mode normal le rapport si possible.

Je pense avoir ciblé l'infection ou en partie car vu le rapport Combofix il n'y en a pas qu'une seule malheureusement.

Je prendrais donc un peu de temps pour te donner des opérations à effectuer le temps pour moi de faire quelques essais sur VM.
Au passage un rapport Gmer (toujours par mail si il est trop long) serait aussi appréciable.

A+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 02 Déc 2006 à 8:32    Sujet du message: Répondre en citant

Bonjour,
voici un log hijackthis


Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 02 Déc 2006 à 17:13    Sujet du message: Répondre en citant

Bonjour thene,

Voici donc la suite.
Avertissement :

Le script BFU a été fait par regroupement prenant en compte le résultat des différents logs et le résultat de recherche.
Il n'inclus pas toutes les actions pouvant être menées mais devrait cibler les plus importantes.

J'ai testé ce script à plusieurs reprises sur ma VM sans problème cependant la prudence reste de mise car un ordinateur ne réagira pas forcement de la même façon qu'un autre
Donc mon conseil avant de procéder à ce qui suit est de sauvegarder ses fichiers persos !


Pendant une période j'ai eu du mal à croire que cette question était bien réelle du fait du cumul d'infections comme par exemple cet iebar qui me parait légèrement dépassée
cela dit quand je vois ce genre de programme
C:\Documents and Settings\Famille\Bureau\W3XMapHack120E2.exe
ou encore Emule ca m'étonne deja beaucoup moins.


Sinon pour la suite des évennements

Lance wordpad (Demarrer > tous les programmes > accessoires > Wordpad

Fais un copier coller de ce texte en citaion

Citation:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"




Enregistre ce fichier en le nommant Fix_exe.reg

Fais un clique droit dessus et choisis "fusionner"
Un message t'avertira du succes de l'opération


=> Télécharge Brute Force Uninstaller (BFU) (de Merijn). http://www.merijn.org/files/bfu.zip
* Décompresse-le dans un dossier à la racine du disque systeme (c:\BFU)


=> Télécharge thene.bfu http://cfasi.net/telechargement/thene.bfu
* Fais un click droit sur ce lien puis choisis enregistrer sous ou enregistrer la cible sous
* enregistre le dans le même dossier que BFU (c:\BFU)

attention il est important que l'entension soit .bfu et non .txt (thene.bfu) renomme le fichier si besoin


=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe 1
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - Global Startup: IE-Bar.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] coche Masquer les fichiers protégés du système d'exploitation
-- [ ] coche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre

=> Lance Brute Force Uninstaller en double-cliquant BFU.exe

Sous scriptline to execute fais un copier coller de c:\bfu\thene.bfu
Clique sur execute
/!\ Si tu as enregistrer les fichiers dans un autre dossier il faudra mettre le bon chemin d'acces /!\

- Attendre que complete script execution apparaîsse et clique sur OK
Quitte BFU
*** Attention. Il est possible que BFU te demande de redémarrer pour permettre de supprimer certains fichiers.
Il faudra donc le faire avant de poursuivre


=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected


* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner


=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16


=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse


=> Redémarre en mode normal


=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.


=> Résultat
- Post les différents rapports obtenus
-- Kaspersky online
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

Bon courage. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 03 Déc 2006 à 3:53    Sujet du message: Répondre en citant

Bonsoir,
Avant de faire toutes les manips, je veux juste te préciser que C:\Documents and Settings\Famille\Bureau\W3XMapHack120E2.exe n'a rien d'aussi grave que tu peux le croire. Ce n'est pas un logiciel pour hacker vraiment mais un add-ons pour mon frere dans un de ses jeux il me semble 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 03 Déc 2006 à 12:09    Sujet du message: Répondre en citant

Bonjour,
J'ai ouvert le wordpad enregistré ton texte en citation mais quand j'ai cliqué sur fusionner voici le message qui apparait :
éditeur tu registre
Impossible d'importer C:\Documents and Setting\Famille\Bureau\Fix_exe.reg : Le ficher spécifié n'est pas un script du Registre. Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 03 Déc 2006 à 12:23    Sujet du message: Répondre en citant

Salut,

As tu bien intégré cette ligne en haut de ton fichier :

Citation:
Windows Registry Editor Version 5.00

_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 08 Déc 2006 à 14:28    Sujet du message: Répondre en citant

Bonjour,

As tu terminé ces opérations ? Wink 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 12 Déc 2006 à 9:20    Sujet du message: Répondre en citant

Bonjour,
désolé, j'ai eu quelque petit probleme de connection encore une fois, mais c'est sans importance.
J'ai fait toutes les opérations que tu m'as demandé a part toujours le Fix_exe.reg que je n'arrive pas a fusionner et qui laisse le meme message d'erreur.
Et j'ai bien vérifié d'introduire au début
Citation:
Windows Registry Editor Version 5.00

Malgré cela j'ai fait toutes les autres opérations et je t'envoie le rapport de AVG antispyware :

---------------------------------------------------------
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 12 Déc 2006 à 9:22    Sujet du message: Répondre en citant

Et Voici le rapport Kaspersky :
-------------------------------------------------------------------------------
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Déc 2006 à 20:39    Sujet du message: Répondre en citant

Bonjour,

Il y a du mieux mais c'est pas encore ca Sad

=> Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip
- Clique sur KillBox Download Link pour le télécharger
-- Décompresse le sur le bureau
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

Citation:
C:\WINDOWS\system32\ztdll.dll
C:\WINDOWS\system32\run.exe
C:\avenger\backup.zip
M:\incomi à trier\Xilisoft[1] Ipod Video Converter v2.1.55.1104B Winall Incl Keygen-Virility.zip
C:\WINDOWS\system32\drivers\fsprot.sys
M:\pagefile.pif
C:\WINDOWS\system32\cns.exe -> Adware.Cdn
C:\WINDOWS\system32\1116\ntjdo\plugins\bt.emm
C:\WINDOWS\system32\1116\ntjdo\plugins\cn.emm
C:\WINDOWS\system32\1116\ntjdo\plugins\mvq.emm -
C:\Documents and Settings\Famille\Modèles\8dd38df\3.dll -
C:\Documents and Settings\Famille\Modèles\8dd38df\4.dll
C:\WINDOWS\8dd38df\3.dll
C:\WINDOWS\8dd38df\4.dll
C:\WINDOWS\system32\6f906971\06l97.dll
C:\WINDOWS\system32\6f906971\06r97.dll
C:\WINDOWS\system32\adsimg01.dll

* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier
* Ouvre Killbox
-- Coche la case [X] "Delete on next reboot"
-- Clique sur le menu File puis sur Paste from Clipboard

* Clique sur la croix blanche sur fond rouge
-- au message "All listed files will be deleted on next reboot" clique sur OUI
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement

* Aprés son redémarrage supprime le dossier C:\!Killbox


=> Redémarre ton PC en mode sans échec


=> Lance AVG AntiSpyware
Important -- menu analyse onglet paramètres
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine

-- Menu analyse
---- Onglet Analyser
-- clique sur analyse complète du système pour lancer le scan
---- Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Redémarre en mode normal, Potst ce rapport AVG Antispyware ainsi qu'un nouveau log Hijackthis s'il te plait.

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 13 Déc 2006 à 13:27    Sujet du message: Répondre en citant

Bonjour,
J'ai fait ce que tu m'as dit et voici le rapport de Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 13 Déc 2006 à 19:40    Sujet du message: Répondre en citant

Bonsoir,

Si j'en crois ces derniers rapports tout a été supprimé.

As tu encore des soucis ? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 15 Déc 2006 à 0:11    Sujet du message: Répondre en citant

Bonsoir,
Cela m'étonne car le problème principal que j'ai évoqué au debut du sujet persiste toujours, bien que je remarque une amélioration sur mon ordinateur mais a d'autres niveaux.
Par contre il est arrivé qu'a de rares démarrages winlogon ne monte pas et reste stable, bref que tout marche bien. Mais ceci n'est arrivé que peu de fois et je ne pourrais pas te dire pourquoi, sauf peut-etre que il me semble que la plupart du temps c'etait apres un démarrage effectué par Killbox.
Voila désolé de t'anoncer cela, je te remercie cependant de m'avoir aidé jusqu'ici. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 15 Déc 2006 à 18:05    Sujet du message: Répondre en citant

Bonjour,

Peux tu utiliser Dr.Web CureIt
en suivant les indications données sur ce tutoriel
http://www.malekal.com/tutorial_DrWebCureIt.php 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2, 3 
Page 3 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum