Forum Clubic

Problème Reboot PC trojan WINLOGON.exe

Bonjour, Bonsoir,

Je suis au bord de la crise de nerfs.
Mon PC reboot toutes les 5minutes, impossible d’efefctuer un scan ou un programme pour supprimer spyware.
Je ne peux plus rebooter ou eteindre Windows moi même…
Et une de mes partitions a tout bonnement disparu !!
J’ai testé le sméthodes diverses sur le net, mais toujours le même souci.
A priori, c’est causé par winlogon.exe.
Ci dessous mon log Hijack :

PS : Désolé d’être bref, mais j’ai que 5minutes !!

Logfile of HijackThis v1.99.1
Scan saved at 02:11:45, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\DVD Region Killer\RegKillTray.exe
C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe 1
F3 - REG:win.ini: load=C:\WINDOWS\dcei01f.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\internst.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - G:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - H:\Program Files\Net Transport\NTIEHelper.dll (file missing)
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\system32\dceo01f0.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - G:\Program Files\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll
O4 - HKLM\…\Run: [Adsl AutoConnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\…\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent
O4 - HKLM\…\Run: [type32] “C:\Program Files\Microsoft IntelliType Pro\type32.exe”
O4 - HKLM\…\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\…\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\…\Run: [IntelliPoint] “C:\Program Files\Microsoft IntelliPoint\ipoint.exe”
O4 - HKLM\…\Run: [RegKillElbyCheck] “C:\Program Files\DVD Region Killer\ElbyCheck.exe” /L RegKill
O4 - HKLM\…\Run: [RegKillTray] “C:\Program Files\DVD Region Killer\RegKillTray.exe”
O4 - HKLM\…\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\…\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\…\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\…\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\…\Run: [Copernic Desktop Search] “C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe” /tray
O8 - Extra context menu item: &Télécharger avec NetXfer - G:\Program Files\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Download all by Net Transport - H:\PROGRA~1\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - H:\PROGRA~1\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetXfer - G:\Program Files\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1125854890328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{DF2A8AFF-ABB8-4B8B-AAD0-8CF23A185560}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system32\dced01f1.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Merci d’avance !!!

Moi je mettrai le HDD en esclave, en mettrai un autre en maître (un où il y aurait Xp)
Ou alors installai le HDD (en esclave) sur un autre pc,
pour ensuite le voir dans le poste de travail
clic droit {[ANALYSE]} et voilà
où passer par le dos comme indiquer au dessus :super:

Hello,

Bon, je vais faire un point détaillé de ce que j’ai fait dans la mesure où ça n’a pas fonctionné !
Sous DOS, mon HDD…n’est pas accessible !!
Je ne connais pas les termes à utiliser, mais en faisant un FDISk, je retrouve le disque et la partition, mais quand je cherche à rentrer sur le Disque, Monsieur DOS me dit “Invalid Drive Specification”.
Donc je mets le HDD infecté en esclave sur un autre PC, là, j’extermine, tout content le virus, remet mon HDD en maitre…
Mais ça recommence, et le virus toujours…
Enfin, je dis virus, mais c’est peut être un Trojan ou je ne sais quoi.
Il semble clairement que ma base de registre est modifiée, donc en mettant le HDD en esclave, ça ne change rien.
Et si je modifie la base de registre, comme le PC reboot, ça ne prend pas en compte mes modifications.
Pour couronner le tout, à part le bouton secteur, ou le reset en façade, depuis Windows, je ne peux ni rebooter, ni redemarrer Windows, tout est desactivé.
J’ai tapé tout ce qui était possible et imaginable en ligne de commandes, rien n’y fait !
Clairement, j’aimerai une solution, car pas envie de tout réinstaller…
Mais si personne n’a d’idée ou solution miracle, je me resoudrai au Formattage…

Ps : j’ai oublié de préciser que le PC rebootant en moins de 5 minutes,aucune analyse ou scan antivirus/spyware etc n’est possible, car toujours interrompue avant d’être terminée!
Pire, avec mon Antivirus, certaines menaces sont detectées…et conservées, au lieu d’être placées en quarantaine ou supprimées…
A n’y rien comprendre !