[WINLOGONS.EXE] help :'( Fermé

Question

Bonjour,voilà ça fait plusieurs mois que j'ai un même message qui s'affiche à chaque démarrage "UNREGISTERED VERSION OF SVKP!" (et il s'affiche 2x). Bon... y doit y avoir un pb dedans ms j'ai pas fait attention jusqu'a aujourd'hui. Aujourd'hui j'ai mon kaspersky a détecté "C:/WINDOWS/system32.WINLOGONS.EXE" comme backdoor.win32.spyboter.ds et quand j'essaye de le supprimer ça marche pas "acces interdit". Donc j'essaye de le suprimer manuellement... mais je ne le vois pas dans system32. Y'a juste winlogon.exe (sans S à la fin).. si quelqu'un pouvait m'aider à l'enlever une bonne fois pr toute... ce serait trèès sympas :))Sinon j'ai fait un scan de ce fichier avec a² free (updated), il a rien trouvé. Aussi j'ai fait executer=>msconfig=>démarrage, j'ai décoché  "WINLOGONS.EXE" mais il se recoche tout seul au redemarrage. :(Voilà je sais plus quoi faire... merci d'avance :)))))

toliman · Answer

Bonjour,Tu peux faire ceci pour commencer :Faire un log HijackThisPourquoi et comment :http://www.commentcamarche.net/faq/266-Analyse-d%27un-log-HiJackThisSi tu es pressé, tu peux le télécharger ici et là:http://209.133.47.200/~merijn/files/HijackThis.exe http://pageperso.aol.fr/balltrap34/page%20virus.htm http://www.infos-du-net.com/telecharger/HijackThis.html Aprés le téléchargement:Met le dans son propre dossier, par exemple c:\Program files\hjt Ferme tous les programmes ouverts  Lance le programme "HiJackThis.exe" Clique sur le bouton intitulé "Do a systeme scan and Save a logfile"et copier/coller le rapport complet ici dans ce forum..  En plus, tu peux évaluer ton log ici :http://hijackthis.de/frMais ne rien "fixer" sans avis sérieux...!!!Encore mieux, tu peux comprendre ton log en lisant ce tutoriel:http://www.zebulon.fr/articles/HijackThis.php -------- Bon courage --------------°°°°° Pi_r_2°°°°°

bordas · Answer

re, merci de m'avoir répondu :)voici le log que j'ai eu aprè avoir scan avec hijackthis:(j'y pige que dalle!)Logfile of HijackThis v1.99.1Scan saved at 14:59:49, on 16/03/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Mixer.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Winamp\Winampa.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\D-Tools\daemon.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\ACD Systems\ImageFox\ImageFox.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\hjt\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {9BAA07B4-8A29-E4BA-2B34-ECF82AC4D9A3} - (no file)O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [autocleaner] C:\Program Files\Auto Cleaner\cleaner.exeO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\RunOnce: [Wustart] WINLOGONS.EXEO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: ImageFox 2.0 Trial.lnk = ?O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/023a5fca23341ada0720/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093171041599O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cabO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exemerci d'avance

bordas · Answer

je sais pas si y'a un rapport, mais avt de scan avec hijackthis j'ai décoché "WINLOGONS.EXE" dans executer=>msconfig=>démarrage et je n'ai pas redemarré.aussi j'ai interrompu "winlogonS.exe" dans processus (alt ctrl suppr)...

toliman · Answer

Bonsoir,Pas d'antivirus et de pare-feu dans le log?Tu as un "backdoor" sur ton micro appelé "CrazyBull 1.0"...Plus de précisions à cette page :http://www.pestpatrol.com/pest_info%5Cfr%5Cc%5Ccrazybull_1_0.aspTu peux faire télécharger Pestpatrol à cette adresse :http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.phpAutrement tu peux essayer manuellement :Ferme tous tes programmesArrete le processus winlogons.exe si présent.Relance HijackthisClique sur le bouton "Do a system scan only"Coche les lignes suivantes :R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing) O2 - BHO: (no name) - {9BAA07B4-8A29-E4BA-2B34-ECF82AC4D9A3} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O4 - HKCU\..\RunOnce: [Wustart] WINLOGONS.EXE Clique sur le bouton "Fix checked"  (=réparer)Ensuite suppression du fichier winlogons.exe Désactive ta restauration système : Panneau de configuration puis dans Système/onglet Restauration du sytème : coche la case Désactiver la Restauration du système sur tous les lecteurs Affiche les dossiers cachés : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher "Afficher les dossiers cachés"Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis faire «Ok» pour valider les changements. Décocher "Masquer les extensions dont le type est connu"Et appliquer Rédémarre ton micro en mode sans échecDonne des impulsions rapides dès l'allumage de ton micro sur la touche F8 ou F5 http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php Recherche et supprime winlogons.exeRedémarre en mode normal Vide ton cache internet :options internet : supprimer les cookies/supprimer les fichiers tempsVide la corbeille et effectue un nettoyage de disque :programmes/accessoires/outils système/nettoyage de disque : Clique OK (pour tout) Réactive ta restauration système Bon courage