Problème Reboot PC trojan winlogon.exe

Problème Reboot PC trojan winlogon.exe - Sécurité - Windows & Software

Marsh Posté le 25-08-2006 à 14:40:34    

Bonjour,  
 
Je suis au bord de la crise de nerfs.
Mon PC reboot toutes les 5minutes, impossible d'effectuer un scan ou un programme pour supprimer des spywares.
Je ne peux plus rebooter ou eteindre Windows manuellement, à part les rest/stop en façade.
J'ai eu beau essayé toute sle sentrées possibles en ligne de commande, rien n'y fait.
Il semble que ce soit causé par un WINLOGON.EXE intrus, présent dans les processus en plus du winlogon habituel.
Il fait également partie des processus au démarrage.
 
J'ai tenté de le virer sous DOS mais..mon HDD n'est pas accessible !!
Je ne connais pas les termes à utiliser, mais en faisant un FDISk, je retrouve le disque et la partition, mais quand je cherche à rentrer sur le Disque, Monsieur DOS me dit "Invalid Drive Specification".
Donc j'ai utilisé le HDD infecté en esclave sur un autre PC, là, j'extermine le virus, remet mon HDD en maitre...
Mais ça recommence, et WINLOGON de retour, reboot en 5minutes de la machine.
Il semble clairement que ma base de registre est modifiée, donc en mettant le HDD en esclave, ça ne change rien.
Et si je nettoie la base de registre, comme le PC reboot, ça ne prend pas en compte mes modifications.
Pour couronner le tout, à part le bouton secteur, ou le reset en façade, depuis Windows, je ne peux ni rebooter, ni redemarrer Windows, tout est desactivé.
J'ai tenté, via le "tasmgr" de déconnecté mon Compte Utilisateur (ça fonctionne), de changer d'Utilisateur..Mais c'est encore infecté.
Sur la page de veille utilisateur, par contre, le ARRETER/REDEMARRER fonctionne.
Sinon, j'ai tout essayé...CCLEANER / KILLBOX / antivirus, recherche sur le net etc...echec total !
Clairement, j'aimerai une solution, car pas envie de tout réinstaller..
Mais si personne n'a d'idée ou solution miracle, je me résoudrai au Formattage...
 
Ci dessous mon log Hijack :
 
 
Logfile of HijackThis v1.99.1
Scan saved at 02:11:45, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\DVD Region Killer\RegKillTray.exe
C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe 1
F3 - REG:win.ini: load=C:\WINDOWS\dcei01f.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\internst.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - G:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - H:\Program Files\Net Transport\NTIEHelper.dll (file missing)
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\system32\dceo01f0.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - G:\Program Files\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll
O4 - HKLM\..\Run: [Adsl AutoConnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Program Files\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [RegKillTray] "C:\Program Files\DVD Region Killer\RegKillTray.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O8 - Extra context menu item: &Télécharger avec NetXfer - G:\Program Files\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Download all by Net Transport - H:\PROGRA~1\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - H:\PROGRA~1\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetXfer - G:\Program Files\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 5854890328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF2A8AFF-ABB8-4B8B-AAD0-8CF23A185560}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system32\dced01f1.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
 
 
 
Merci d'avance !!!


Message édité par Krapaud le 25-08-2006 à 15:22:59
Reply

Marsh Posté le 25-08-2006 à 14:40:34   

Reply

Marsh Posté le 25-08-2006 à 16:32:25    

Bonjour,
 
est ce que tu peux faire analyser un fichier s'il te plait?:
 
 
1/affiche tout les fichiers:
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


 
 
 
2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser intranet.exe qui se trouve
ici:
 
C:\WINDOWS\system32\intranet.exe  
 
et post le resultat.
 
 
fais la meme chose avec WINLOGON.EXE qui se toruve ici:
 
C:\WINDOWS\WINLOGON.EXE
 
Post aussi le resultat.
 
@+


Message édité par the bruce lee le 25-08-2006 à 16:32:43
Reply

Marsh Posté le 25-08-2006 à 16:43:07    

Bonjour,  
 
Merci déjà pour la procédure.
je suis au boulot là, donc je vais tenter la manoeuvre ce soir.
par contre, j'ai déjà tout affiché pour retrouver ce WINLOGON, je l'ai analysé avec mon Antivirus, qui ne lui trouve rien de particulier.Mais peut-être a-t'il été biaisé...
Je teste dès ce soir ce que tu préconises.
 
A plus tard.

Reply

Marsh Posté le 26-08-2006 à 00:45:03    

Bonsoir,  
 
Intranet.exe n'est plus sur mon PC mais voici le rapport pour WINLOGON.EXE...sans equivoque...
 
 Service load:    
0%        100%
File:  WINLOGON.EXE
Status:  
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5  e70b00c55f0bb3eb35d918f815f51217
Packers detected:  
Analyzing...
Scanner results
AntiVir  
Found nothing
ArcaVir  
Found Trojan.Psw.Lineage.Agz
Avast  
Found Win32:Lmir-BI
AVG Antivirus  
Found nothing
BitDefender  
Found nothing
ClamAV  
Found nothing
 Dr.Web    
Found BackDoor.Generic.1400
 F-Prot Antivirus    
Found nothing
 Fortinet    
Found W32/Lineage.AGZ!tr.pws
Kaspersky Anti-Virus  
Found Trojan-PSW.Win32.Lineage.agz
 NOD32    
Found a variant of Win32/PSW.Legendmir
 Norman Virus Control    
Found nothing
UNA  
Found nothing
  VirusBuster
Found nothing
VBA32  
Found BackDoor.Generic.1400
 
Merci de votre aide...
Et désolé de ne pas mettre en forme le message, je n'ai que quelques seconde spour analyser/poster/valider !!!

Reply

Marsh Posté le 26-08-2006 à 12:31:33    

bonjour
 
Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de  
continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.
 
 
hijackthis n'est pas bien placé; met le dans un dossier qui lui sera dédié.
 
 
1/Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.
 
Démarre Ewido avec l'icône qui se trouve sur ton Bureau.  
Clique sur [color=#3333FF]Update Now[/color],  
attend la fin de cette mise à jour,  
puis ferme le programme.
 
 
 
2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html
 
3/
demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:
 
DeskAdTop  
 
si ce programme est present desinstalle le.
 
 
4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:
 
F2 - REG:system.ini: Shell=Explorer.exe 1  
F3 - REG:win.ini: load=C:\WINDOWS\dcei01f.exe  
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\internst.exe  
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)  
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\system32\dceo01f0.dll  
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe  
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE  
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system32\dced01f1.dll  
 
Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked
 
 
5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


 
6/supprime ce qui est en gras ATTENTION! A LA SYNTAXE:
 
C:\WINDOWS\ dcei01f.exe<== le fichier
C:\WINDOWS\system32\ internst.exe <== le fichier
C:\WINDOWS\system32\ dceo01f0.dll <== le fichier
C:\WINDOWS\ WINLOGON.EXE <== le fichier
C:\WINDOWS\system32\ dced01f1.dll <== le fichier
C:\program files\ DeskAdTop<== le dossier
 
 
 
7/ Relance Ewido et clique sur [color=#3333FF]Scanner [/color]
Puis sur l'onglets [color=#3333FF]Settings[/color], pour [color=#3333FF]How to Act [/color]sélèctionne [color=#3333FF]Quarantine[/color].
 
Reviens a l'onglet [color=#3333FF]Scan[/color] cliques [color=#3333FF]Complete system Scan[/color].  
Le scan démarre.
 
A la fin cliquer sur [color=#3333FF]Apply all actions[/color]
Puis sur [color=#3333FF]Save report [/color]et pour finir [color=#3333FF]Save report as[/color]  enregistrer sur le Bureau.  
 
 
 
8/redemarre en mode normal
 
9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.
 
bon courage, et si tu as la moindre question n'hesite surtout pas ;)
 
@+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed