Je n'arrive pas à me debarasser d'une cochonnerie - [Resolu]

Le_poilu_1_1 · Octobre 20, 2005, 12:15

et voilà… un instant d’absence, un peu de fatigue… la tête dans l’slip… et je me retrouve avec une saloperie qui traine sur mon PC :riva:

Sauf que là j’ai beau appliquer toute les techniques connues je n’arrive pas à m’en debarasser.

Pour resumer j’ai fait du :

Antivirus NOD32 sur tout le system
Ad-Aware
SpyBot
Hitman Pro (ensemble d’anti-spy)

et highjackthis pour finir dont voici le log:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:36, on 20/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\NOD32\nod32krn.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\NOD32\nod32kui.exe
C:\Program Files\Samurize\Client.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
C:\Program Files\Samurize\Client.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchIndexer.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\PROGRA~1\POCOMA~1\Poco.exe
C:\Program Files\Trillian 3 Alpha\trillian.exe
C:\Program Files\Winamp\winamp.exe
D:\Sauvegarde\Bureau\HijackThis.exe

O4 - HKLM\…\Run: [POINTER] point32.exe
O4 - HKLM\…\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [nod32kui] "C:\Program Files\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\…\Run: [Stardock ObjectDock] C:\Program Files\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 - HKLM\…\RunServices: [NvCplScan] nvsc32.exe
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Startup: Client Météo.lnk = C:\Program Files\Samurize\Client.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O4 - Global Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Client Météo.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe
O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\Maxthon\config/blacklist.htm
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure…teleir_cert.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{20EF6369-6D74-4C9D-860C-36B021752291}: NameServer = 192.168.78.250
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i8nmli5118.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\NOD32\nod32krn.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Le truc est franchement genant parcequ’il lance des pages web de pub à interval regulier… sans parler de fenetre flash de pub qui s’ouvrent en plein sur mon bureau windows :pfff:

Dans le log Highjackthis on trouve cette betebete:

Pour moi c’ets clairement ça qui me fout la zone… mais le probleme c’est que highjack n’arrive pas à la supprimer.
Le nom de la dll semble generé au hasard car il n’est jamais 2 fois le meme, et en plus il n’existe pas si je vais le chercher “à la main”

si quelqu’un a une idée, je suis preneur :sweet:

PS: mais pourquoi j’ai clické sur ce put# de *.exe moi :pfff:

Le_poilu_1_1 · Octobre 20, 2005, 12:22

ah j’oubliais:

si j’arrete le processus “explorer.Exe” et que je le relance NOD32 me detecte une salete dans explorer.exe :paf:

en plus de ça j’ai les processus “locator.exe” et wdfmgr.exe" qui sont lancé et que je n’arrive pas à stopper :pfff:. Plus un “winlogon.exe” identifié comme processus system qui me bouffe des ressources (environ 15% de temps CPU

_Ric_1_1 · Octobre 20, 2005, 1:06

Passe un coup de blacklight pour voir s’il te trouve des processus cachés …

http://www.f-secure.com/blacklight/

Le_poilu_1_1 · Octobre 20, 2005, 1:16

nada :neutre:

bon sang… je viens d’essayer en mode sans echec: que dalle :pfff:

j’le crois pas… j’fais tjr super gaffe, et je n’ai rien choppé depuis … pfiou au moins 7 ans :ane:… et là je choppe cette saloperie que rien n’arrive à virer… c’est bien ma veine

Le_poilu_1_1 · Octobre 20, 2005, 1:18

au passage: j’ai l’impresison que le system de protection des fichier ets desactive: comment on le relance ce truc ??

fightermad · Octobre 20, 2005, 7:23

et tu as essayé les différents antivirus en ligne ?
fais les tous, on sait jamais
http://assiste.free.fr/p/antivirus_gratuit…us_en_ligne.php

AdminOfPlaygroup · Octobre 20, 2005, 10:07

Locator.exe est un service !

C’est “Localisateur d’appels de procédure distante (RPC)”, et je l’ai “manuel” chez moi.

Pareil pour wdfmgr.exe, c’est 'Windows User Mode Driver Framework", mais lui est important ! Voila sa description “Active les pilotes en mode utilisateur Windows.”

AdminOfPlaygroup · Octobre 20, 2005, 10:08

winlogon.exe, c’est pour chaque session ouverte.

Si tu es en réseau, démarre le en mode sans echec avec prise en charge du réseau, et ne te logge pas. Fait le scanner par une autre machine en passant par les partages administratifs.

Dans c’est état, rien n’est lancé, que les processus minimaux.

paulposition · Octobre 20, 2005, 11:02

:hello: Efface ca: :oui:

O4 - HKLM\…\RunServices: [NvCplScan] nvsc32.exe
C’est W32/Forbot-ET
ici les details: http://www.virustraq.com/info_virus/10150/details/

c’est une grosse saloperie apparement

Le_poilu_1_1 · Octobre 20, 2005, 6:12

le fait est qu’apparement le bestio modifie winlogon justement :neutre:

et la seule autre machine que j’ai sur le reseau c’est mon serveur nunuxe :neutre:

Celui-là a ete viré par spybot S&D… mais ça n’a pas tout enelver il me reste le “winlogon modify”… c’est lui le pire j’ai l’impression :pfff:

Le_poilu_1_1 · Octobre 20, 2005, 6:26

spy fighter semble me detecter moultes saletées qui semblent etre ce qui m’enerve depuis hier soir… mais forcement l’est pas gratuit le truc :pfff:

_Ric_1_1 · Octobre 20, 2005, 10:04

essaye spy sweeper, il est gratuit pendant un mois et pleinement fonctionnel et il est assez performant je trouve …

westernunion · Octobre 20, 2005, 10:21

:hello: bonsoir tout le monde

Le_poilu, c’est la pire entrée à redouter listée dans un log hijack
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\i8nmli5118.dll

Il n’y a que
LM2Fix

regarde ici pour exemple comment il est utilisé
http://www.bleepingcomputer.com/forums/My_…elp-t13128.html

Comment ça se passe :

Après avoir téléchargé le LM2Fix>>exécuter : normalement un dossier sera crée sur le Bureau sinon l’y envoyer
Fermer TOUS les programmes (via le systray, essentiellement ceux de Sécurité)
Ouvrir ce dossier et double-clic sur : l2mfix.bat qui ouvre 1 fichier en ligne de commande, lire les instructions (run find log, run fix, etc…)
appuie sur n’importe quelle touche et la fenêtre va devenir verte
derrière le petit curseur clignotant rouge taper : 1 > et touche “Entrée” >> après qq secondes, le bloc-notes va s’ouvrir avec un rapport/texte (parfois très long)
ne rien faire de plus et copier/coller ce rapport ici (ou sur un forum habilité de ton choix)

Une fois le rapport txt analysé, il faudra à nouveau se déconnecter, fermer absolument tout les programmes de sécurité types A-V, A-Spys, si protection résidente, type tea-timer de Spybot, Anti-ActivX, type SpywareBlaster>disable, etc…

Re-lancer le l2mfix.bat avec cette fois l’option : 2
Il va te demander de presser une touche pour redémarrer
Ne plus toucher à rien, jusqu’au retour automatique sur le Bureau et l’ouverture à nouveau du bloc-notes avec un nouveau log txt.2

Relancer Hijack copier/coller le nouveau rapport ainsi que le log.2 de l2mfix.bat

NB :
Il est possible que tu doives redémarrer une fois de plus pour pouvoir faire les 2 rapports, donc ne pas oublier par prudence sur le l2mfix.bat.2 >>>Ctrl et A & CTRL et V (bloc-notes) et copier/coller une 2ème fois le rapport l2mfix.bat.2 + le nommer, etc…

Le_poilu_1_1 · Octobre 20, 2005, 10:23

rhaaaaaa j’ai cru un instant m’en etre debarasse… je nai plus le winlogon notify dans le log de highjackthis… mais les pages de pub s’ouvrent tjr :pfff:

je vais essayer spy sweeper :neutre:

westernunion · Octobre 20, 2005, 10:38

si SpySweeper et inopérant, redémarre et relance Hijack, tu seras fixé sur la ligne 020 ou les puisque parfois la liste s’allonge au fur et à mesure de la propagation de l’infection [mode pessimiste]

Le_poilu_1_1 · Octobre 20, 2005, 10:41

bon la ligne 020 n’apparait toujours pas apres 2-3 reboot

spy spweeper a trouve pas mal de choses et semble les avoir eradiqués

je touche du bois on dirait bien qu’il fu le plus efficace :super:

westernunion · Octobre 20, 2005, 10:52

c’est une infction typique Look2Me, comme me*de, on trouve rarement au dessus - tant mieux si SS l’a viré http://yelims5.free.fr/TopOuNul/Super05.gif

Le_poilu_1_1 · Octobre 20, 2005, 10:54

ouaip 5 min sans qu’il ne se manifeste pas… SpySweeper is the best… celui-là je le garde bien au chaud :oui:

Vrai que c truc c’etait une sacre m##de…j’en ai rarement vu des coriaces à ce point là :heink:

westernunion · Octobre 20, 2005, 11:03

tu as eu de la chance, tu devais avoir une version assez soft de ce spyware, par expérience hijackienne … :paf: selon la virulence du Look2Me, ni S.SWeeper, ni Ewido, ni LSPfix etc n’y font rien, seul le LM2Fix est efficace, par contre seul hic, ce n’est pas un outil anodin à exécuter

:hello: ric

Le_poilu_1_1 · Octobre 20, 2005, 11:53

ah ben le lm2fix comme tu dis je l’ai essayé … et honnetement j’ai cru que mon PC ne s’en remettrais pas :paf:

d’une part ça n’avait pas resolu le soucis, mais surtout mon compte utilisateur avait bcp de mal à se lancer apres ça :neutre: