supinfo
Ouverture de  SUPINFO USA à San Francisco en 2008. Des études en informatique en Californie à un tarif abordable ! Inscrivez-vous dès maintenant !
supinfo
Connexion :

Recherche

  
   Tout| Actus| Télécharger| Comparateur de prix| Dossiers| Forums| Jeux| Google

FAQ
Forum Microsoft Windows Windows XP
25 messages
1
2
>
ok

Je n'arrive pas à me debarasser d'une cochonnerie - [Resolu]

le 20 Oct. 05 à 00h15
 
et voilà.. un instant d'absence, un peu de fatigue.. la tête dans l'slip... et je me retrouve avec une saloperie qui traine sur mon PC :riva:


Sauf que là j'ai beau appliquer toute les techniques connues je n'arrive pas à m'en debarasser.

Pour resumer j'ai fait du :

Antivirus NOD32 sur tout le system
Ad-Aware
SpyBot
Hitman Pro (ensemble d'anti-spy)

et highjackthis pour finir dont voici le log:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:36, on 20/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\NOD32\nod32krn.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\NOD32\nod32kui.exe
C:\Program Files\Samurize\Client.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
C:\Program Files\Samurize\Client.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchIndexer.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\PROGRA~1\POCOMA~1\Poco.exe
C:\Program Files\Trillian 3 Alpha\trillian.exe
C:\Program Files\Winamp\winamp.exe
D:\Sauvegarde\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Stardock ObjectDock] C:\Program Files\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Startup: Client Météo.lnk = C:\Program Files\Samurize\Client.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O4 - Global Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Client Météo.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\Maxthon\config/blacklist.htm
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20EF6369-6D74-4C9D-860C-36B021752291}: NameServer = 192.168.78.250
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i8nmli5118.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\NOD32\nod32krn.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe



Le truc est franchement genant parcequ'il lance des pages web de pub à interval regulier... sans parler de fenetre flash de pub qui s'ouvrent en plein sur mon bureau windows :pfff:


Dans le log Highjackthis on trouve cette betebete:

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i8nmli5118.dll

Pour moi c'ets clairement ça qui me fout la zone.. mais le probleme c'est que highjack n'arrive pas à la supprimer.
Le nom de la dll semble generé au hasard car il n'est jamais 2 fois le meme, et en plus il n'existe pas si je vais le chercher "à la main"


si quelqu'un a une idée, je suis preneur :sweet:







PS: mais pourquoi j'ai clické sur ce put# de *.exe moi :pfff:
 
 
le 20 Oct. 05 à 00h22
 
ah j'oubliais:

si j'arrete le processus "explorer.Exe" et que je le relance NOD32 me detecte une salete dans explorer.exe :paf:

en plus de ça j'ai les processus "locator.exe" et wdfmgr.exe" qui sont lancé et que je n'arrive pas à stopper :pfff:. Plus un "winlogon.exe" identifié comme processus system qui me bouffe des ressources (environ 15% de temps CPU
 
 
le 20 Oct. 05 à 01h06
 
Passe un coup de blacklight pour voir s'il te trouve des processus cachés ...


http://www.f-secure.com/blacklight/
 
 
le 20 Oct. 05 à 01h16
 
nada :neutre:


bon sang.. je viens d'essayer en mode sans echec: que dalle :pfff:

j'le crois pas.. j'fais tjr super gaffe, et je n'ai rien choppé depuis ... pfiou au moins 7 ans :ane:.. et là je choppe cette saloperie que rien n'arrive à virer.. c'est bien ma veine
 
 
le 20 Oct. 05 à 01h18
 
au passage: j'ai l'impresison que le system de protection des fichier ets desactive: comment on le relance ce truc ??
 
 
le 20 Oct. 05 à 07h23
 
et tu as essayé les différents antivirus en ligne ?
fais les tous, on sait jamais
http://assiste.free.fr/p/antivirus_gratuit...us_en_ligne.php
 
 
le 20 Oct. 05 à 10h07
 
Locator.exe est un service ! ;)

C'est "Localisateur d'appels de procédure distante (RPC)", et je l'ai "manuel" chez moi.

Pareil pour wdfmgr.exe, c'est 'Windows User Mode Driver Framework", mais lui est important ! Voila sa description "Active les pilotes en mode utilisateur Windows." :D
 
 
le 20 Oct. 05 à 10h08
 
winlogon.exe, c'est pour chaque session ouverte.

Si tu es en réseau, démarre le en mode sans echec avec prise en charge du réseau, et ne te logge pas. Fait le scanner par une autre machine en passant par les partages administratifs.

Dans c'est état, rien n'est lancé, que les processus minimaux.
 
 
le 20 Oct. 05 à 11h02
 
:hello: Efface ca: :oui:

O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
C'est W32/Forbot-ET
ici les details: http://www.virustraq.com/info_virus/10150/details/

c'est une grosse saloperie apparement :/
 
 
le 20 Oct. 05 à 18h12
 
AdminOfPlaygroup a écrit:
winlogon.exe, c'est pour chaque session ouverte.

Si tu es en réseau, démarre le en mode sans echec avec prise en charge du réseau, et ne te logge pas. Fait le scanner par une autre machine en passant par les partages administratifs.

Dans c'est état, rien n'est lancé, que les processus minimaux.


le fait est qu'apparement le bestio modifie winlogon justement :neutre:

et la seule autre machine que j'ai sur le reseau c'est mon serveur nunuxe :neutre:


paulposition a écrit:
:hello: Efface ca:  :oui:

O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe   
C'est W32/Forbot-ET
ici les details:  http://www.virustraq.com/info_virus/10150/details/

c'est une grosse saloperie apparement :/


Celui-là a ete viré par spybot S&D.. mais ça n'a pas tout enelver il me reste le "winlogon modify".. c'est lui le pire j'ai l'impression :pfff:
 
 
le 20 Oct. 05 à 18h26
 
spy fighter semble me detecter moultes saletées qui semblent etre ce qui m'enerve depuis hier soir.. mais forcement l'est pas gratuit le truc :pfff:
 
 
le 20 Oct. 05 à 22h04
 
essaye spy sweeper, il est gratuit pendant un mois et pleinement fonctionnel et il est assez performant je trouve ...;)
 
 
le 20 Oct. 05 à 22h21
 
:hello: bonsoir tout le monde

Le_poilu, c'est la pire entrée à redouter listée dans un log hijack :(
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i8nmli5118.dll

Il n'y a que
LM2Fix

regarde ici pour exemple comment il est utilisé
http://www.bleepingcomputer.com/forums/My_...elp-t13128.html

Comment ça se passe :

- Après avoir téléchargé le LM2Fix>>exécuter : normalement un dossier sera crée sur le Bureau sinon l'y envoyer
- Fermer TOUS les programmes (via le systray, essentiellement ceux de Sécurité)
- Ouvrir ce dossier et double-clic sur : l2mfix.bat qui ouvre 1 fichier en ligne de commande, lire les instructions (run find log, run fix, etc...)
- appuie sur n'importe quelle touche et la fenêtre va devenir verte
- derrière le petit curseur clignotant rouge taper : 1 > et touche "Entrée" >> après qq secondes, le bloc-notes va s'ouvrir avec un rapport/texte (parfois très long)
- ne rien faire de plus et copier/coller ce rapport ici (ou sur un forum habilité de ton choix)

Une fois le rapport txt analysé, il faudra à nouveau se déconnecter, fermer absolument tout les programmes de sécurité types A-V, A-Spys, si protection résidente, type tea-timer de Spybot, Anti-ActivX, type SpywareBlaster>disable, etc...

- Re-lancer le l2mfix.bat avec cette fois l'option : 2
- Il va te demander de presser une touche pour redémarrer
- Ne plus toucher à rien, jusqu'au retour automatique sur le Bureau et l'ouverture à nouveau du bloc-notes avec un nouveau log txt.2

* Relancer Hijack copier/coller le nouveau rapport ainsi que le log.2 de l2mfix.bat

NB :
Il est possible que tu doives redémarrer une fois de plus pour pouvoir faire les 2 rapports, donc ne pas oublier par prudence sur le l2mfix.bat.2 >>>Ctrl et A & CTRL et V (bloc-notes) et copier/coller une 2ème fois le rapport l2mfix.bat.2 + le nommer, etc...
 
 
le 20 Oct. 05 à 22h23
 
rhaaaaaa j'ai cru un instant m'en etre debarasse.. je nai plus le winlogon notify dans le log de highjackthis.. mais les pages de pub s'ouvrent tjr :pfff:


je vais essayer spy sweeper :neutre:
 
 
le 20 Oct. 05 à 22h38
 
;) si SpySweeper et inopérant, redémarre et relance Hijack, tu seras fixé sur la ligne 020 ou les puisque parfois la liste s'allonge au fur et à mesure de la propagation de l'infection [mode pessimiste] :D
 
 
le 20 Oct. 05 à 22h41
 
bon la ligne 020 n'apparait toujours pas apres 2-3 reboot


spy spweeper a trouve pas mal de choses et semble les avoir eradiqués :clap:

je touche du bois on dirait bien qu'il fu le plus efficace :super:
 
 
le 20 Oct. 05 à 22h52
 
c'est une infction typique Look2Me, comme me*de, on trouve rarement au dessus ;) - tant mieux si SS l'a viré
 
 
le 20 Oct. 05 à 22h54
 
ouaip 5 min sans qu'il ne se manifeste pas.. SpySweeper is the best.. celui-là je le garde bien au chaud :oui:



Vrai que c truc c'etait une sacre m##de...j'en ai rarement vu des coriaces à ce point là :heink:
 
 
le 20 Oct. 05 à 23h03
 
:) tu as eu de la chance, tu devais avoir une version assez soft de ce spyware, par expérience hijackienne .... :paf: selon la virulence du Look2Me, ni S.SWeeper, ni Ewido, ni LSPfix etc n'y font rien, seul le LM2Fix est efficace, par contre seul hic, ce n'est pas un outil anodin à exécuter

:hello: ric
 
 
le 20 Oct. 05 à 23h53
 
ah ben le lm2fix comme tu dis je l'ai essayé .. et honnetement j'ai cru que mon PC ne s'en remettrais pas :paf:

d'une part ça n'avait pas resolu le soucis, mais surtout mon compte utilisateur avait bcp de mal à se lancer apres ça :neutre:
 
 
 
25 messages
1
2
>
ok
 
Vous devez être connecté pour écrire un message !
 

 Sujets Similaires:

+ de renseigneements pour un O/C supérieur - Au délà d'une F, le DD n'est + visible /!\ ntldr manquant n'arrive à booter sur le CD... - [Résolu] rien au boot...merci... Ai je besoin d'une PCMCIA pour graver en - USB 2 car mon PC n'a qu'une USB 1!!! Big problème sur Word ! - Je n'arrive pas à insérer une frise !! Clé d'enregistrement - n'arrive pas a obtenir une clé Comment brancher un portable sur une télévision - Je n'arrive pas a activer l'écran second Internet avec une Neuf Box impossible - Je n'arrive pas a mettre ma neuf Je m'occupe d'une super assos' étudiante - description de l'assos': 4L et 2 Pattes Je n'arrive pas à afficher une URL dans ... Je n'arrive pas à démonter mon radiateur ... - Bloqué pas une languette de métal ... Je n'arrive pas à monter des partitions [Résolu] Montage d'une table de cuisson.... - Google n'est définitivement plus mon ami N'arrive plus à lire une clé USB Oblivion : acheter une 2me maision - je n'arrive pas à acheter une deuxieme m Pb avec une x1800gto [RESOLU] - n'arrive pas a faire de mise a jour Récit d'une tentative d'arnaque - ca n'arrive pas qu'aux autres [résolu] je n'arrive plus a ouvrir IE - comment faire ? [résolu] n'arrive pas enregistrer chaine décodeur - besoin d'aide [RESOLU] Problème de somme en javascript - Je n'arrive pas à faire une somme en js [RESOLU]Je n'arrive pas à envoyer d'email

 
Clubic.com
 
Achetez-facile.com
 
Jeuxvideo.fr
 
neteco.com
 
mobinaute.com