DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 26 Nov 2024 à 0:41 FAQ | Rechercher | Membres | Groupes

probleme avec winlogon et arrêt intempestif de l'ordi


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
glop1er



Inscrit le: 08 Mai 2006
Messages: 17
Localisation: Tours

MessagePosté le: 08 Mai 2006 à 16:18    Sujet du message: probleme avec winlogon et arrêt intempestif de l'ordi Répondre en citant

bonjour tous le monde.
a bout d'idée pour résoudre mon problème, je fais apelle a votre savoir faire. au démarrage, j'ai un message d'erreur qui concerne winlogon. au démarrage de mon navigateur (opera), j'ai un message ne signalant que le webbrowser doit être fermé. je résoud le problème en vidant les fichiers temp et Temporary Internet Files dans dossier utilisateurs mais le massege d'erreur réaparait au bout de quelque temps, souvent dans la journée. j'ai également des arrets de l'ordinateur, sans crier gare.

j'ai scanne mon ordi avec adware, qui ne trouve souvent des "infected files" que je met en quarantaine, mais cela ne suffit manifestement pas. mon antivirus, c'est avast.

comme tous le monde, je vous fourni le hijackthis.

Log supprimé
si vous avez besoin de quoi que se soit d'autre comme information, je vous les fournirai dans les plus bref délai.
je vous remerci par avance. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 08 Mai 2006 à 17:59    Sujet du message: Répondre en citant

Tout d'abord, fait un scan en ligne avec panda : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
et envoie nous le rapport.

Met à jour avast! et fait un scan complet.

Démarre en mode sans echec (!important! => F8 au démarrage) puis coche et fixe ensuite les lignes suivante avec hijackthis :

Citation:
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll


Supprime également le fichier C:\WINDOWS\system32\mscfg.dll de ton disque dur, il s'agit d'un trojan.

Citation:
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit



Citation:
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Program Files\WhenUSearch\whse.exe"


Un autre adware. Pour le désinstaller, va dans ajout/suppression de programme et désinstalle.
Supprime ensuite cette ligne dans hijackthis si elle y est toujours. Vérifie que le dossier C:\Program Files\WhenUSearch\ ai été supprimé sinon fait le.

Tappe regedit.exe dans executer, et vérifie que les entrées suivante ont bien été supprimée :

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSearch
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSearch\WHSB
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSearch\Partners
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSearch\Partners\browser

Citation:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w


Un autre virus ! Coche cette ligne !

Ensuite, supprime ces différents fichiers si ils y sont :

* C:\Windows\system\smss.exe
* C:\Windows\system\services.exe
* C:\Windows\system\lsass.exe

* C:\Windows\system32\kbtrace32.ref (keyboard log file)
* C:\Windows\system32\rundll16.ref (uuencoded copies of itself)
* C:\Windows\system32\rundll32.ref (uuencoded copies of itself)
* C:\Windows\system32\rundll64.ref (uuencoded copies of itself)
* C:\Windows\system32\rockefeller.dat text file

* C:\Windows\\system\rfdriver32.dll
* C:\Windows\\system\rfdriver16.dll
* C:\Windows\\system32\rockefeller66.zip
* C:\Windows\\system32\rockefeller65.zip
* C:\Windows\\system32\rockefeller64.zip
* C:\Windows\\system32\mouse_drv64.dat
* C:\Windows\\system32\mouse_drv32.ocx
* C:\Windows\\system32\mouse_drv16.ref

et supprimes les entrées suivantes du registre :

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Service Controller" = C:\WINDOWS\system\services.exe
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MS Security Authority Service" =C:\WINDOWS\system\lsass.exe
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce "Windows Session Manager Subsystem" = C:\WINDOWS\system\smss.exe

Citation:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u


Citation:
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe


Un autre trojan Razz supprime egalement l'executable C:\WINDOWS\system32\wintems.exe et german.exe

Citation:
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll


trojan aussi. Supprime la DLL C:\WINDOWS\SYSTEM32\ldr64.dll.

Citation:
O20 - Winlogon Notify: sloader64 - C:\WINDOWS\SYSTEM32\sloader64.dll


Supprime également la DLL C:\WINDOWS\SYSTEM32\sloader64.dll de ton disque dur

Citation:
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe


Un autre trojan, supprime la ligne et l'executable ...


Télélécharge et installe ensuite Ccleaner, et fait un nettoyage du disque et de la base de registre. Tutorial.
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
glop1er



Inscrit le: 08 Mai 2006
Messages: 17
Localisation: Tours

MessagePosté le: 08 Mai 2006 à 21:24    Sujet du message: Répondre en citant

merci pour la rapidité de tes reponses. je fait tous ca, je te poste le rapport du panda.

encore une fois merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 08 Mai 2006 à 21:51    Sujet du message: Répondre en citant

vin-moi a écrit:
Citation:
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe


Un autre trojan, supprime la ligne et l'executable

C'est aussi un service lancé ;
démarrer, exécuter, services.msc
Chercher le service "windows log", double clique
Dans le menu déroulant tu choisi désactiver et tu arrêtes le services.
Par dessus,
Télécharge:
Ad-aware
Son patch fr
Un tuto
Installation, mise a jour, scan supprime tout ce qu'il trouve

Spyboot search and destroy 1.4
Tutorial
Installation, mise a jour, vaccination,scan et supprime tout ce qu'il trouve.
Naturellement, tu analyses en mode sans échec !!!

Et tu supprimes aussi les fichiers que vin à dit en mode sans échec.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
glop1er



Inscrit le: 08 Mai 2006
Messages: 17
Localisation: Tours

MessagePosté le: 09 Mai 2006 à 12:12    Sujet du message: Répondre en citant

voila, je viens de faire tous se que vous m'avait demander de faire. l'ordi a l'air de bien marcher pour le moment, pas de problème avec winlogon ni d'arret de l'ordi.
je vous envoye les rapports panda et hijackthis.

rapport du panda

Incident Statut Analyse
Virus:W32/Bagle.HT.worm Désinfecté
Virus:W32/Bagle.IE.worm Désinfecté C:\WINDOWS\system32\ldr64.dll

Virus:Trj/LootSeek.AX Désinfecté C:\WINDOWS\system32\mscfg.dll
Virus:Trj/Mitglieder.IW Désinfecté C:\WINDOWS\system32\sloader64.dll
Virus:Trj/Mitglieder.IX Désinfecté C:\WINDOWS\system32\wintems.exe
Virus:Bck/Irccontact.A No Désinfecté
Adware:Adware/IST.ISTBar No Désinfecté
rapport hijackthis

Log supprimé

sinon, j'ai quelques questions a poser.


Citation:
* C:\Windows\system\smss.exe
* C:\Windows\system\services.exe
* C:\Windows\system\lsass.exe


j'ai bien trouvé c'est application, mais dans le dossier system32, alors dans le doute et ne sachant pas trop se que je fait, je ne les ai pas supprimé.

un grand nombre des fichiers que tu n'as demandé de supprimer (dll, zip, ref) ne sont pas présent, est ce dû a l'action des différents logiciels que tu m'as conseillé de faire tourner?

merci beaucoup pour votre aide, votre rapidité et la clareté de vos explications. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 09 Mai 2006 à 18:39    Sujet du message: Répondre en citant

Laisse ceux qui sont dans system32. Si tu ne les as pas trouvé, ce n'est que mieux.

Dans ton log il reste la ligne suivante à fixer :

O20 - Winlogon Notify: sloader64 - sloader64.dll (file missing)

Autrement tout est ok Smile. tient nous au courant à plus long terme pour voir ce que ca donne au niveau de tes performances Smile
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Kane 13



Inscrit le: 04 Déc 2005
Messages: 1490
Localisation: J'habite dans le sud de ma chambre

MessagePosté le: 16 Mai 2006 à 22:26    Sujet du message: Répondre en citant

Je voudrais rajouter un truc les gars: merci pour vos efforts, votre talent et votre patience, tous les jours vous m'impressionnez davantage ! Cool
_________________

 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail MSN Messenger
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum