[Fabi]

Bon, j'ai lu pas mal de chose et il parait que des gens sur ce forum savent comment eviter un tel problème.

Je m'explique :
A chaque fois que je demarre mon PC j'ai une erreur Winlogon. Comme quoi il ne s'execute pas correctement tout ca.

J'ai tenté par différent moyen de réaliser une restauration system mais en vain : A chaque tentative : il me sort : "Restauration incomplete" etc..

D'autre part, quand je fais démarrer, arreter l'ordinateur, arreter, il me reboot le PC

Bref Je demande votre aide svp.

J'ai lu qu'il fallait installer un programme hijackthis, et voici mon log :

Log supprimé
( Je l'ai executer un mode normal, pas en mode sans echec )

Franchement, si qqun pouvait m'aider ca serait super cool. 

[Lenouvdu44]

Pour ma part, tu va me faire cela :
Bouton droit sur poste de travail, puis propriétés, puis onglet avancé.
Dans ce dernier, dans la rubrique "démarrage et récupération" tu cliques sur paramètres.
Dans la partie défaillance du système, tu décoches "redémarrer automatiquement".

Tu refait arrêter ton pc, et indique le message STOP avec ce qui il y a à côté et ce qu'il y a à l'intérieur des parenthèses, si un écran bleu survient.
_________________
L'nouv qui devient L'vieux 

[Fabi]

Je termine l'analyse de l'outil de supression de logiciels malveillants Microsoft Windows ( trouvé sur un autre post similaire ) puis je regarde ca tout de suite. 

[Fabi]

Bon l'analyse n'as rien donnée. ( Pas de fichier virulant à priori )

J'ai fais ce que tu m'as dis et j'ai eu mon ecran Bleu :

[!aur3n7]

Bonjour,

Ce log démontre la présence d'une infection
I:\WINDOWS\system32\IEFilter.dll >>>Troj/SrchSpy-A (a confirmer)

cependant avant de faire quoi que ce soit et afin de déterminer avec plus de précision la suite à donner je vais te demander de faire scanner certains fichiers avant

- Rend toi sur ce site http://www.virustotal.com/en/virustotalx.html
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

I:\WINDOWS\system32\ev.dll

* Clique sur sur send en haut à droite
-- Le scan va se lancer, ça va prendre un petit instant
* Le résultat s'affichera , Fais en un copier / coller dans ta prochaine réponse

- Recommence l'opération avec ces fichiers

I:\WINDOWS\SYSTEM32\instcat.dll
I:\WINDOWS\system32\IEFilter.dll


Si virustotal est inaccessible ou en cas de probleme essaies comme cela
- Rend toi sur ce site http://virusscan.jotti.org/
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

(reprendre la liste ci haut)

* Clique sur sur submit en haut à droite
-- Le scan va se lancer, ça va prendre un petit instant
* Le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse


A+ 

[Lenouvdu44]

Je vais avoir besoin d'une colaboration de Laurent ^^
Il me faudrait si tu peux, trouver la connerie qui fait bugguer le winlogon :/

Fait déjà tout ce qu'à dit laurent, et indique moi s'il reste cette BSOD.

Pour laurent, y'a surement un tit log qui se lane même en sans echec et qui fait couillonné. Cela peut être résolu via une dernière bonne configuration connue, ou en utilisant une réparation système, mais je préfère que tu nettois le tout avant (le tout, d'après micro$oft)

Pour info, la dernière fois que j'ai eu cet BSOD, la personne a due formater :/
_________________
L'nouv qui devient L'vieux 

[!aur3n7]

Salut lenouvdu44,

C'est pour cette raison qu'il me faut plus d'info sur ces fichiers mais à mon avis c'est l'infection elle même la cause du probleme
Certaine bestiole ont la capacité d'etre lancées y compris en mode sans echec afin de contrer les scans et autres.

Voila pour la petite remarque du jour

a+ 

[Fabi]

Alors je crois bien que je suis dans la ***** :snif:

D'après http://virusscan.jotti.org/ voilà ce que j'ai pour les fichiers que tu m'a demandé :

Pour ev.dll :

Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Generic2.FBV
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Adware.Hotbot
F-Prot Antivirus Found nothing
Fortinet Found W32/Pakes!tr
Kaspersky Anti-Virus Found Trojan.Win32.Pakes
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Pour instcat.dll :

Scanner results
AntiVir Found Heuristic/Malware (probable variant)
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

et enfin pour IEFilter.dll :

Scanner results
AntiVir Found Trojan/Spy.Small.EZ.8
ArcaVir Found Trojan.Spy.Small.Ez
Avast Found nothing
AVG Antivirus Found PSW.Generic2.KNJ
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Small.ez
NOD32 Found nothing
Norman Virus Control Found W32/Smalltroj.MFE
VirusBuster Found TrojanSpy.Small.EVR
VBA32 Found nothing

[!aur3n7]

Re,

Pas d'inquietude pour le moment rien d'alarmant

Dans un premier temps on va tenter la méthode classique

- ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur le bureau


- Redémarre ton PC en mode sans échec Impératif !!!

[Fabi]

Alors, j'ai suivi tes indications.

Malheureusment plusieurs erreur sont survenus :

Dans la procedure d'execution :

regsvr32 /u I:\Windows\system32\ev.dll
-> Fichier introuvable (tant mieux ? )
regsvr32 /u I:\Window\system32\instcat.dll
->

[Fabi]

Voilà le resultat de l'analyse :


Incident Statut Analyse

Virus:Trj/SrchSpy.A Désinfecté Système d’exploitation
Virus:Trj/Agent.CVI Désinfecté Système d’exploitation
Virus:trj/abwiz.a Désinfecté Système d’exploitation
Hacktool:rootkit/taskdirhide No Désinfecté i:\windows\system32\taskdir.exe
Adware:adware/cws No Désinfecté i:\documents and settings\all users\favoris\Download Free Spyware Remover.url
Outil indésirable:application/errorsafe No Désinfecté i:\program files\fichiers communs\ErrorSafe
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Bluestreak No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Doubleclick No Désinfecté I:\Documents and Settings\Amandine & Lionel\Application Data\Mozilla\Firefox\Profiles\tuaug25s.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Doubleclick No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Tradedoubler No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Mediaplex No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Bluestreak No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Falkag No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.112.2o7.net/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Atlas DMT No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\b7lr6408.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Profiles\default\gg07mk1b.slt\cookies.txt[.weborama.fr/]
Spyware:Cookie/Atlas DMT No Désinfecté I:\Documents and Settings\Aurélie\Application Data\Mozilla\Profiles\default\gg07mk1b.slt\cookies.txt[.atdmt.com/]
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-654.dll
Spyware:Spyware/Virtumonde No Désinfecté I:\Documents and Settings\Fabien\Bureau\Anti\scann\backups\backup-20061022-161430-819.dll
Virus:Trj/Downloader.KWB Désinfecté I:\Documents and Settings\Fabien\Local Settings\Temp\tmp1.tmp
Virus:Trj/Downloader.KWB Désinfecté I:\Documents and Settings\Fabien\Local Settings\Temp\tmp9.tmp
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\qbu9q96l.default\cookies.txt[.xiti.com/]
Spyware:Cookie/SexList No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\qbu9q96l.default\cookies.txt[.sexlist.com/]
Spyware:Cookie/Adtech No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/cs.sexcounter No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.cs.sexcounter.com/]
Spyware:Cookie/Weborama No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.weborama.fr/]
Spyware:Cookie/2o7 No Désinfecté I:\Documents and Settings\Papa\Application Data\Mozilla\Profiles\default\uor3q6u0.slt\cookies.txt[.2o7.net/]
Spyware:Cookie/Xiti No Désinfecté I:\Documents and Settings\Papa\Cookies\papa@xiti[1].txt
Outil indésirable:Application/Winfixer2005 No Désinfecté I:\Program Files\Fichiers communs\ErrorSafe\PCheck.dll
Virus:Trj/Downloader.BZZ Désinfecté I:\WINDOWS\pss\MS_update_0609_7723.exeCommon Startup
Virus:Trj/SpyBot.AFG Désinfecté I:\WINDOWS\system32\5.tmp
Hacktool:Rootkit/Alanchum.GC No Désinfecté I:\WINDOWS\system32\adir.dll
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\aeycaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\airgbaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\aiuhsaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\avmapyis.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\axerofij.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ayjrgfag.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ayymouyn.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\diaaaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\digjxfsm.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\dirpxpqx.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\drdkqkje.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\drucdlol.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\duqnaaaa.exe
Virus:Trj/Agent.CVI Désinfecté I:\WINDOWS\system32\ert.dll
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\ggicaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gktsublf.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtqcmaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtrgaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gtuvndxx.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\gwuchehs.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jdwpaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jfjtkaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jllubvfp.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jnepqufj.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jojatoam.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\joqovaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\josrvfbt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jrqynhoq.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\jwxihqwd.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcjvdaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcmtgnbo.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcnhkkvb.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mcxlfnmb.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mjetaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mojcaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\msudlxpt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mwaqmmfa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\mxjjefac.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pifeoqql.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pigjbaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pkolypnp.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\pyhvgywa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shfstlvj.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shisqsmq.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\shprmyce.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\skftgrqt.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sklqxxok.exe
Spyware:Spyware/Virtumonde No Désinfecté I:\WINDOWS\system32\svapaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sxqdaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\sxtmcwld.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcikhohr.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcugmaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vcvdaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vljemdtv.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vprdqaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vpurlaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vudjwcub.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vuupaaaa.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vyiteopc.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vynfxnbs.exe
Virus:Trj/SrchSpy.G Désinfecté I:\WINDOWS\system32\vyodgaaa.exe 

[!aur3n7]

Re,

La pluspart des fichiers ont été nettoyés cependant vu la nature des infection trouvées on va procéder à quelques vérifications


- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4
Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"


- Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur le burau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case "show all" soit bien décochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus emet une alerte concernant Gmer, Ignore la et continu tout de même.



- Post ces 2 rapports s'il te plait. 

[Fabi]

J'ai effacer les quelques cookies qui geneaient.

Bref, Vundo m'a trouver aucun problème.

Rapport :

VundoFix V6.2.6

Checking Java version...

Java version is 1.5.0.6

Java version is 1.5.0.7

Scan started at 17:50:29 22/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

____________________________________________________

Quand à GmeR, il "bloque" sur registry ( il me semble ), mais voilà ce que j'obtient sans cocher la case "registry" :
GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-22 18:26:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT F77DEB3E ZwCreateFile
SSDT F77DF5AC ZwEnumerateKey
SSDT F77DF662 ZwEnumerateValueKey
SSDT F77DEA8A ZwOpenFile
SSDT F77DE97E ZwQueryDirectoryFile
SSDT F77DFEEE ZwTerminateProcess

---- Devices - GMER 1.0.11 ----

Device \Driver\ntio256 \Device\poofpoof IRP_MJ_CREATE F77DE61E
Device \Driver\ntio256 \Device\poofpoof IRP_MJ_CLOSE F77DE61E
Device \Driver\ntio256 \Device\poofpoof IRP_MJ_DEVICE_CONTROL F77DE528

---- Modules - GMER 1.0.11 ----

Module \??\I:\WINDOWS\system32\ntio256.sys (*** hidden *** ) F77DE000

---- Processes - GMER 1.0.11 ----

Process I:\WINDOWS\system32\protector.exe (*** hidden *** ) 1820
Library I:\WINDOWS\system32\protector.exe (*** hidden *** ) @ I:\WINDOWS\system32\protector.exe [1820] 0x00400000

---- Services - GMER 1.0.11 ----

Service I:\WINDOWS\system32\ntio256.sys (*** hidden *** ) [AUTO] ntio256 <-- ROOTKIT !!!

---- Files - GMER 1.0.11 ----

ADS ...
File I:\WINDOWS\system32\protector.exe

---- EOF - GMER 1.0.11 ----

Mais je croi qu'il s'arrete à cause d'un ROOTKIT ou qqch comme ca.

Bref, je vois tjr pas de winlogon ou de qqch similaire :/ 

[Fabi]

Bon, j'ai reussi a supprimer le fichier instcat.dll

Mais à mon grand malheur, l'erreur winlogon s'affiche tjr au demarrage de mon PC. 

[!aur3n7]

Re,

On va passer à la suppression de tout ce qui a été trouvé jusqu'à maintenant

Suis scrupuleusement ce qui suit


1. Télécharge The Avenger (Swandog46) sur ton Bureau
-- Décompresse avenger.exe sur ton bureau

2. Copies tout le texte dans la citation ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):