| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Fabi
Inscrit le: 22 Oct 2006
Messages: 13
|
 Posté le: 22 Oct 2006 à 20:01 Sujet du message: |
 |
|
 J'ai plus l'erreur de winlogon ! ( Mon PC arrive a s'arreter ! )
Bref
Rapport Avenger :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\blfbimhx
*******************
Script file located at: \??\I:\micyaxpm.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at I:\Avenger
*******************
Beginning to process script file:
Driver ntio256 unloaded successfully.
File I:\WINDOWS\system32\protector.exe deleted successfully.
File I:\WINDOWS\system32\ntio256.sys deleted successfully.
File i:\windows\system32\taskdir.exe deleted successfully.
File I:\WINDOWS\system32\adir.dll deleted successfully.
File I:\WINDOWS\system32\svapaaaa.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Rapport Log supprimé
Mon nouveau hijackthis :
Log supprimé
Il reste encore des choses docteur ?
Dernière édition par Fabi le 22 Oct 2006 à 22:11; édité 1 fois |
|
| Revenir en haut de page |
|
 |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 22 Oct 2006 à 20:35 Sujet du message: |
|
|
Re,
C'est bien ce qui me semblait  tu as fais du bon boulot.
Il reste quelques points à traiter.
La suppression du Rootkit nous a afficher la ligne 023
ce qui maintenant simplifiera sa suppression
Sur ce post je vais inclure les nettoyages qui s'imposent suite à un traitement d'une infection et à cela afin de s'assurer que le syteme est bel et bien propre s'ajoutera un scan en ligne.
- Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
Un tuto http://www.zebulon.fr/articles/base-de-registre-3.php
- Désactive la restauration système
| Citation: |
Menu démarrer > panneau de configuration > système.
dans l'onglet restauration système coche la case :
Désactiver la restauration du système sur tous les lecteurs
clique sur ok
|
- Redémarre ton PC en mode sans échec Impératif !!!
[quote]
- Relance smitfraudfix.cmd
Sélectionner 2
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !
- Recherche et supprime ce fichier (si présent)
I:\WINDOWS\system32\Service.exe
Attention : A ne pas confondre avec services.exe (avec un "s") qui est légitime
- Recherche et supprime les outils spécifiques utilisés
-- Dossier et archives téléchargées
Vundofix
Smitfraudfix
Avenger
- Lance ATF-Cleaner :
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
- Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique Ok et Ok
* Cliques sur Outil registre en haut sur Outils - Nettoyeur de registre
* Cliques sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner - Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Cliques en bas sur Supprimer puis Fermer
* quitte Jv16
- Réactive la restauration système
| Citation: |
Menu démarrer > panneau de configuration > système.
dans l'onglet restauration système décoche la case :
Désactiver la restauration du système sur tous les lecteurs
clique sur ok
|
- Redémarre en mode normal
- Remet l'affichage des fichiers et dossiers cachés comme il était à l'origine
| Citation: |
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Déoche Afficher les Fichiers et dossiers cachés
- Coche Masquer les fichiers protégés du système d'exploitation
- Coche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
|
- Refais un scan en ligne ici avec Internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
Un tuto http://www.malekal.com/scan_Av_en_ligne.html
- Post ce rapport ainsi qu'un nouveau (et j'espère dernier) log Hijackthis
-------------------------------------------------
-------------------------------------------------
Un autre point important.
Ce log ne fais etat d'aucun parfeu ou antivirus actif !!!!
Es tu équipé de ces programmes ou souhaites tu avoir quelques solutions possibles ?
Je ne saurais trop te déconseiller de rester sans ces protections élémentaires.
Bonne nuit. |
|
| Revenir en haut de page |
|
|
Fabi
Inscrit le: 22 Oct 2006
Messages: 13
|
| Posté le: 22 Oct 2006 à 22:08 Sujet du message: |
|
|
Bon il est tard, je te remercie encore pour ton aide, je ferai ces dernieres étapes demain matin.
En effet je n'ai ni firewall, ni anti-virus. Les gens me dirons que je suis fou, c'est vrai. Mais après les merdes que j'ai eu cette semaine, et la conclusion de toute ces analyses, j'ai l'intention de m'acheter un anti-virus.
J'avais pensé à Mc Cofee.
Si tu as mieux, ou d'autre conseil je suis à l'écoute.
Je ne sais pas si on te l'as déjà dis, mais ton dévouement et ta perspicacité pour aider les gens qui ont des problèmes informatique ( et autres )son une qualité rare, alors merci. Il en faut des gens bien comme toi.
Grand merci !
A bientot |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 23 Oct 2006 à 5:59 Sujet du message: |
|
|
Bonjour,
Pour t'aider dans ton choix voici 2 pages qui te donneront quelques informations sur le fonctionnement et l'utilité et à chaque fois tu trouveras en bas de page une liste de Par feu ou d'antivirus Gratuit
Attention: 1 seul antivirus et 1 seul par feu installé.
Ces deux logiciels peuvent être complété par un anti spyware/ malware tel que Ewido, AVG antispyware ou A2
- Une page sur les antivirus
- Une page sur les firewalls
A titre perso je te conseillerais de faire un scan en ligne de temps en temps (mensuel) histoire d'avoir 2 avis différents.
- J'attend les derniers rapports et ta bénédiction puis je déplacerai ce topic dans la catégorie sécurité informatique.
Bonne journée |
|
| Revenir en haut de page |
|
|
Fabi
Inscrit le: 22 Oct 2006
Messages: 13
|
| Posté le: 23 Oct 2006 à 10:16 Sujet du message: |
|
|
Alors, dans l'ordre :
1)I:\Windows\System32\Servive.exe : Introuvable
2)On ne peut réactiver la restauration system en mode sans echec
3)Rapport Log supprimé
4)Rapport Panda Anti-Virus :
Incident Statut Analyse
Adware:adware/cws No Désinfecté i:\documents and settings\all users\favoris\NEW VIAGRA at Half Price!.url
Outil indésirable:application/errorsafe No Désinfecté i:\program files\fichiers communs\ErrorSafe
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-654.dll
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-819.dll
Outil indésirable:Application/Winfixer2005 No Désinfecté I:\Program Files\Fichiers communs\ErrorSafe\PCheck.dll
5) Rapport Hijackthis :
Log supprimé - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 23 Oct 2006 à 20:36 Sujet du message: |
|
|
Bonjour,
Il va falloir installer cet antivirus et ce Par feu sinon on y arrivera jamais et l'infection reviendra très rapidement.
Il est inutile de vider l'eau d'une calle d'un bateau en train de couler si on ne fait rien pour boucher le trou !!
Ca ne servirait à rien si ce n'est retarder un peu l'issue du problème.
- En mode sans échec
Recherche et supprime
i:\documents and settings\all users\favoris\NEW VIAGRA at Half Price!.url >> ce fichier
i:\program files\fichiers communs\ErrorSafe >> ce dossier
Les autres fichiers trouvés correspondent aux sauvegarde d'Hijackthis qu'il est prévérable de garder au moins le temps d'être certain que tout fonctionne correctement (on est jamais à l'abris d'une erreur)
- Redémarre en mode normal
* Si tu le veux bien un dernier scan complémentaire qui permettra d'avoir un avis contradictoire
- Rend toi sur ce site (avec Internet explorer) http://www.ewido.net/en/onlinescan/
* Acepte l'installation de l'ActivX,
-- La mise à jour de la base antivirale suivra
* Sélectionne toutes les cases (normalement deja sélectionnées par defaut)
* Clique sur le bouton "start scan"
-- Si des infections sont trouvées clique sur "save report" pour sauvegarder le rapport et sur "Remove infection" pour nettoyer.
Bonne soirée |
|
| Revenir en haut de page |
|
|
Fabi
Inscrit le: 22 Oct 2006
Messages: 13
|
| Posté le: 23 Oct 2006 à 21:42 Sujet du message: |
|
|
Bonsoir,
J'ai installé AntiVir Guard et ZoneAlarme.
Lors de l'utilisation de AntiVir j'ai trouvé ( encore ) un mauvais parasite dans un .dll, je l'ai mis en quarantaine, mais ne faut-il pas le supprimer pour plus de sécurité ?
Avec Zone Alarme par contre, comment savoir quel programme doit être autorisé à se connecter à internet ?
Il me demande à chaque nouveau programme mais, j'ai des programmes comme win32 etc... qui m'ont demandé si ils pouvaient se connecter, j'ai mis refuser dans un premier temps. Mais internet et le reste ne marchait plus, alors j'ai du mettre "oui" pour win32.
D'autre part, mon outlook express n'arrive plus a se connecter correctement ( même quand ZA est desactivé ) m'empechant de lire mes mails. Tu sais pourquoi ?
( port 100 il me semble )
Sinon, en ce moment j'ai des partiels alors je ferai le scan plus tard...
Je posterai le resultat bientôt.
Edit : Rapport
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________
Name: TrackingCookie.2o7
Path: I:\Documents and Settings\Fabien\Cookies\fabien@msnportal.112.2o7[1].txt
Risk: Medium
Name: TrackingCookie.Smartadserver
Path: I:\Documents and Settings\Fabien\Cookies\fabien@www.smartadserver[1].txt
Risk: Medium
Name: TrackingCookie.Adtech
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@adtech[2].txt
Risk: Medium
Name: TrackingCookie.Bluestreak
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@bluestreak[2].txt
Risk: Medium
Name: TrackingCookie.Doubleclick
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@doubleclick[1].txt
Risk: Medium
Name: TrackingCookie.Mediaplex
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@mediaplex[1].txt
Risk: Medium
Name: TrackingCookie.Serving-sys
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@serving-sys[1].txt
Risk: Medium
Name: TrackingCookie.Weborama
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@weborama[2].txt
Risk: Medium
Name: TrackingCookie.Smartadserver
Path: I:\Documents and Settings\Amandine & Lionel\Cookies\amandine & lionel@www.smartadserver[1].txt
Risk: Medium
Name: TrackingCookie.Smartadserver
Path: :mozilla.9:I:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\fdltumjo.default\cookies.txt
Risk: Medium
Name: Trojan.Agent.tk
Path: I:\WINDOWS\system32\iesniff.exe
Risk: High |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 23 Oct 2006 à 23:24 Sujet du message: |
|
|
Re,
Pour les Cookies rien d'alarmant car ils sont créés lors de l'affichage de publicités. Cela dit tu peux les supprimer aisement (déconnecté)
Tuto pour configurer Zone alarme http://benoit.aun.free.fr/securite-facile-php/zonealarm.php
http://www.zebulon.fr/articles/configurationZA_1.php
http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm
http://www.pcastuce.com/pratique/securite/firewall2/firewall.htm
Et en prime et ce sans supplément quelques articles interessants à lire si ton emploi du temps le permet (conseillé) http://speedweb1.free.fr/frames2.php?page=securite
Reste un fichier à supprimer
I:\WINDOWS\system32\iesniff.exe
Il devrait normalement ne poser aucunes difficultés même en mode normal dans le cas contraire supprime le en mode sans echec et post un nouveau log Hijackthis afin de controler qu'il ne reste pas d'entrée (normalement ce fichier se retrouve dan les lignes 04)
Concernant le souci avec outlook express je ne pense pas que nous avons touché un point pouvant le perturber,
Cela dit il doit être possible de le réparer en se referant à cette page qui décrit de manière précise les différentes possibilités.
http://scraper.chez-alice.fr/index.htm?repareoe.htm
Et enfin pour répondre à ta question concernant cette dll détectée par Antivir et mise en quarantaine.
Bien qu'il ne soit jamais conseillé de garder des fichiers infectés sur un ordinateur le cas d'une mise en quarantaine peut toutefois déroger à cette règle.
D'une part pour être certain que la mise en quarantaine du fichier n'occasionne aucun dysfonctionnement
puis cette quarantaine à l'avantage de maintenir les fichiers infectés dans une zone qui ne leur permet pas d'être lancés ou de continuer à se propager dans l'attente qu'une éventuelle mise à jour soit capable de le nettoyer. Il est évident que cette seconde solution n'est valable que dans le cas d'un fichier légitime qui a été modifié par un malware. Conserver un fichier propre au malware n'aurait pas d'interet.
Dans le doute et par précaution je dirais qu'il peut être maintenu en quarantaine (tout comme la quarantaine de Hijackthis entre autre) le temps de s'assurer que tout fonctionne correctement.
J'espère avoir répondu correctement toutefois si besoin..
Cordialement |
|
| Revenir en haut de page |
|
|
Fabi
Inscrit le: 22 Oct 2006
Messages: 13
|
| Posté le: 25 Oct 2006 à 15:03 Sujet du message: |
|
|
I:\WINDOWS\system32\iesniff.exe
A été detecté est mis en quarantaine par antivir
Sinon, mon outlook re-fonctionne normalement.
Je croi que mon ( mes ) problèmes sont résolus ! merci encore Laurent.  |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 25 Oct 2006 à 18:35 Sujet du message: |
|
|
Bonsoir,
Voila qui est parfait alors
Je déplace la question dans la catégorie "securite informatique" car il a sa place là bas.
Bon surf! |
|
| Revenir en haut de page |
|
|
CoSMoS
Inscrit le: 02 Mai 2007
Messages: 1
Localisation: TN
|
| Posté le: 02 Mai 2007 à 16:28 Sujet du message: probleme avec winlogon |
|
|
salut,
je suis novice sur ce forum ,
g un grand probleme avec winlogon ...il utilise 50% de mon UC !!voici mon log hijackthis :
Log supprimé
merci pour l'aide
WBR
CoSMoS |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 03 Mai 2007 à 21:41 Sujet du message: |
|
|
Bonjour cosmos,
Créé un nouveau topic, cela sera mieux, on se repérera mieux pour la suite.
@bientôt.
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
