Winlogon.exe

Résolu
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   -  
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

je suis infecté par un trojan dans le fichier winlogon.exe !!
comment m'en débarrasser ?

merci

25 réponses

  • 1
  • 2
Réponse 1 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Merci bien.


On va utiliser ComboFix pour essayer de restaurer une copie saine du fichier :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

● Arrête tous tes logiciels de protection et ferme tous les programmes

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
1
Réponse 2 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Salut,

Tu arrives encore à démarrer sous Windows ?
0
Réponse 3 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
Oui !
0
Réponse 4 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
On va analyser un fichier :

● Va sur le site VirusTotal

● Clique sur le bouton "parcourir"

● Recherche le fichier présent ici ==> C:\windows\system32\winlogon.exe

● Clique sur le bouton "Envoyer le fichier"

● Patiente pendant le scan du fichier (si il te dit que le fichier a déjà été analysé, clique sur Reanalyse)

● Copie l'adresse internet dans ta réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
http://www.virustotal.com/file-scan/report.html?id=9b22b9c84d6033af852bb19acce3afd8884f10b86faf0dfedcaf181ef2386ee2-1284651252
0
Réponse 6 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Ok, peux-tu me dire quel antivirus t'as détecté ce fichier ?
0
Réponse 7 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
avira
0
Réponse 8 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Bien, avant de s'en occuper, peux-tu faire quelque chose :

Fais un clic droit sur le fichier C:\Windows\system32\winlogon.exe, choisis envoyer vers -> dossier compressé.
Puis héberge le fichier winlogon.zip (précédemment crée) sur http://www.cijoint.fr


Merci de rester jusqu'à la fin de la désinfection.
0
Réponse 9 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijwUJNX08.zip
0
Réponse 10 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
ComboFix 10-09-16.02 - Caroline 16/09/2010 18:48:36.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.350 [GMT 2:00]
Lancé depuis: c:\documents and settings\Caroline\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Caroline\Application Data\inst.exe
c:\windows\system32\winlogon.bak

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MYWEBSEARCHSERVICE


((((((((((((((((((((((((((((( Fichiers créés du 2010-08-16 au 2010-09-16 ))))))))))))))))))))))))))))))))))))
.

2010-09-16 16:16 . 2010-09-16 16:16 289056 ----a-w- c:\windows\system32\winlogon.zip
2010-09-02 15:59 . 2010-09-02 15:59 -------- d-----w- c:\program files\Tunatic
2010-08-28 10:55 . 2010-08-28 10:55 53760 ----a-w- c:\windows\system32\drivers\SSHDRV76.sys
2010-08-28 10:32 . 2010-08-28 10:32 -------- d-----w- c:\program files\Ascaron Entertainment
2010-08-20 13:17 . 2010-08-20 17:58 -------- d-----w- c:\windows\BDOSCAN8
1601-01-01 00:00 . 1601-01-01 00:00 -------- d-----w- c:\windows\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 11:03 . 2009-11-24 20:59 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-15 16:49 . 2009-03-07 18:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-09-11 14:42 . 2010-08-13 18:03 -------- d-----w- c:\documents and settings\Caroline\Application Data\FreeBurner
2010-09-10 20:21 . 2008-06-23 23:00 -------- d-----w- c:\program files\eMule
2010-09-09 12:03 . 2008-12-17 13:21 1 ----a-w- c:\documents and settings\Caroline\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-28 18:43 . 2009-04-22 10:13 -------- d-----w- c:\documents and settings\Caroline\Application Data\HPAppData
2010-08-20 12:23 . 2010-08-14 19:09 -------- d-----w- c:\program files\VSO
2010-08-20 12:22 . 2009-05-27 16:00 -------- d-----w- c:\documents and settings\Caroline\Application Data\VSO
2010-08-20 12:22 . 2010-08-14 19:10 47360 ----a-w- c:\documents and settings\Caroline\Application Data\pcouffin.sys
2010-08-20 12:22 . 2010-08-14 19:10 47360 ----a-w- c:\documents and settings\Caroline\Application Data\pcouffin.sys
2010-08-20 12:22 . 2010-08-14 19:28 -------- d-----w- c:\program files\FreeTime
2010-08-20 12:21 . 2010-08-13 19:33 -------- d-----w- c:\program files\Astonsoft
2010-08-15 10:20 . 2010-08-15 10:20 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA
2010-08-14 20:40 . 2010-08-14 20:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Vso
2010-08-14 20:23 . 2010-08-14 20:23 -------- d-----w- c:\documents and settings\Caroline\Application Data\Canneverbe Limited
2010-08-14 20:23 . 2010-08-14 20:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-08-14 19:10 . 2010-08-14 19:10 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-08-13 19:57 . 2010-08-13 19:57 -------- d-----w- c:\program files\Free Easy Burner
2010-08-13 19:45 . 2010-08-13 19:33 -------- d-----w- c:\documents and settings\Caroline\Application Data\DeepBurner
2010-08-12 10:58 . 2001-08-28 12:00 557712 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-12 10:58 . 2001-08-28 12:00 102154 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-07 15:35 . 2010-08-07 15:35 503808 ----a-w- c:\documents and settings\Caroline\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3508d312-n\msvcp71.dll
2010-08-07 15:35 . 2010-08-07 15:35 499712 ----a-w- c:\documents and settings\Caroline\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3508d312-n\jmc.dll
2010-08-07 15:35 . 2010-08-07 15:35 61440 ----a-w- c:\documents and settings\Caroline\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5ccc6aa4-n\decora-sse.dll
2010-08-07 15:35 . 2010-08-07 15:35 348160 ----a-w- c:\documents and settings\Caroline\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3508d312-n\msvcr71.dll
2010-08-07 15:35 . 2010-08-07 15:35 12800 ----a-w- c:\documents and settings\Caroline\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5ccc6aa4-n\decora-d3d.dll
2010-08-07 15:34 . 2008-12-17 13:12 -------- d-----w- c:\program files\Fichiers communs\Java
2010-08-07 15:33 . 2008-12-17 13:12 -------- d-----w- c:\program files\Java
2010-07-24 17:09 . 2010-07-24 17:09 -------- d-----w- c:\documents and settings\Caroline\Application Data\FreeFLVConverter
2010-07-23 00:37 . 2010-07-24 17:09 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-07-17 03:00 . 2010-08-07 15:33 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Google Update"="c:\documents and settings\Caroline\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-02-26 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2001-08-23 86016]
"PV92TRAY"="PV92Tray.exe" [2003-10-30 323584]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\documents and settings\Caroline\Menu D'marrer\Programmes\D'marrage\
Windows Live Messenger .lnk - c:\program files\Windows Live\Messenger\msnmsgr.exe [2009-7-26 3883856]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=

R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [28/08/2010 12:55 53760]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/09/2009 12:39 108289]
S2 gupdate1ca0dde583f1fa0;Service Google Update (gupdate1ca0dde583f1fa0);c:\program files\Google\Update\GoogleUpdate.exe [26/07/2009 12:46 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-09-16 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-07 08:53]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 10:46]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 10:46]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1343024091-1580818891-2146794419-1003Core.job
- c:\documents and settings\Caroline\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-11 16:03]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1343024091-1580818891-2146794419-1003UA.job
- c:\documents and settings\Caroline\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-11 16:03]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Caroline\Application Data\Mozilla\Firefox\Profiles\iq28b1t3.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.com
FF - plugin: c:\documents and settings\Caroline\Local Settings\Application Data\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: nglayout.initialpaint.delay - 750
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-16 19:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3360)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft LifeCam\MSCamS32.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2010-09-16 19:18:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-16 17:18

Avant-CF: 18 552 754 176 octets libres
Après-CF: 18 543 333 376 octets libres

- - End Of File - - 6C99A08320CB08B18CC354E5A890B437
0
Réponse 11 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
C'est bizarre, ComboFix ne l'a pas détecté comme étant infecté.

Fais ceci stp :

● Télécharge SystemLook.exe sur topn bureau

● Double clique sur SystemLook.exe

● Dans le cadre blanc, tape : 

:filefind
winlogon.*


● Clique sur le bouton look et patiente pendant la recherche

● Copie/colle le rapport qui va s'ouvrir dans ta prochaine réponse
0
Réponse 12 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
ce qui est étrange c'est que l'anti virus ne detecte plus le virus :s !!

on continue la manip quand même ?
0
Réponse 13 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Oui, fais le quand même, pour vérification.
0
Réponse 14 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
SystemLook 04.09.10 by jpshortstuff
Log created at 15:37 on 17/09/2010 by Caroline
Administrator - Elevation successful

========== filefind ==========

Searching for "winlogon.*"
C:\Documents and Settings\Caroline\Recent\winlogon.lnk --a---- 598 bytes [16:17 16/09/2010] [16:17 16/09/2010] A3EFF9F62A09B166FE11EC17DFD2BE19
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.bak.vir --a---- 512000 bytes [12:00 28/08/2001] [02:34 14/04/2008] DD73D6B9F6B4CB630CF35B438B540174
C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe -----c- 506368 bytes [11:58 22/04/2009] [09:10 22/04/2009] 86DB0FDAF2591C86389D36CF44658CFE
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe -----c- 512000 bytes [02:34 14/04/2008] [02:34 14/04/2008] DD73D6B9F6B4CB630CF35B438B540174
C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\winlogon.exe --a--c- 506368 bytes [23:10 19/08/2004] [23:10 19/08/2004] 123EEA158F74D0F67A51DCDF065D1091
C:\WINDOWS\system32\winlogon.exe --a---- 512000 bytes [12:00 28/08/2001] [13:38 22/04/2009] 8D71F28DEB37CC9C2E344095D8BFE1EE
C:\WINDOWS\system32\winlogon.zip --a---- 289056 bytes [16:16 16/09/2010] [16:16 16/09/2010] 6BC33DE9F2179446510F3967F891CD6A

-= EOF =-
0
Réponse 15 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Bien, il reste un fichier infecté, mais pas actif, on va s'en occuper après.

On va d'abord analyser ton PC pour vérifier qu'il n'y ait rien d'autre :

● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

● Double clique sur ZHPDiag_silent.exe

● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
0
Réponse 16 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijfQ1q4HU.txt
0
Réponse 17 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
OK, pas grand chose à signaler.
Tu peux désinstaller Search Settings 1.2 à partir du panneau de configuration -> ajout/suppression de programme.

Puis :

● Télécharge OTM (de Old_Timer) sur ton Bureau

● Sous XP : Double clique sur OTM.exe
● Sous Vista : Fais un clic droit sur OTM.exe et sélectionne "Exécuter en tant qu'administrateur"

● Copie la liste ci-dessous et colle-la dans le cadre jaune (celui de gauche) de OTM sous Paste Instructions for Items to be Moved 




:Services

:files
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

:reg

:commands
[emptytemp]




● Clique sur le bouton MoveIt! pour lancer la suppression.

● Clique sur le bouton YES pour redémarrer le PC

● Un rapport s'ouvre au redémarrage du PC, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\_OTM\MovedFiles
0
Réponse 18 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
All processes killed
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Caroline
->Temp folder emptied: 652468 bytes
->Temporary Internet Files folder emptied: 2738689 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 85510254 bytes
->Google Chrome cache emptied: 269038886 bytes
->Flash cache emptied: 19206 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3267265 bytes
%systemroot%\System32 .tmp files removed: 4962816 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 53913 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 687883 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 350,00 mb


OTM by OldTimer - Version 3.1.16.1 log created on 09172010_191417

Files moved on Reboot...

Registry entries deleted on Reboot...









Concernant Search setting , il ne veut pas se supprimer !
"le composant que vous essayez d'utiliser se trouve sur une ressource réseau non disponible"
apparemment je dois enter un nouveau chemin d'accès a un dossier contenant le Package d'installation

je pense que ce problème vient du fait que mon xp est une copie
0
Réponse 19 / 25
H3RV3 Messages postés 3591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   280
 
Bien, tu peux faire un scan avec Malwarebytes afin de contrôler l'ensemble de ton PC :

● Télécharge Malwarebytes' Anti-Malware (MBAM)

● Double clique sur mbam-setup.exe pour lancer l'installation

● Laisse les options par défaut lors de l'installation

● Lance MBAM et laisse les Mises à jour se télécharger

● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

● A la fin du scan, clique sur Afficher les résultats

● Coche tous les éléments détectés puis clique sur Supprimer la sélection

● S'il t'est demandé de redémarrer, clique sur Yes

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
0
Réponse 20 / 25
lepurlensois62 Messages postés 284 Date d'inscription   Statut Membre Dernière intervention   15
 
Désolé pour le retard :s


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4645

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23/09/2010 17:50:10
mbam-log-2010-09-23 (17-50-10).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 198684
Temps écoulé: 3 heure(s), 4 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Discussions similaires

Winlogon.EXE
Alcohol52 -
Alcohol52 -

2 réponses
pc infécté winlogon.exe
abderrahim2 -
abderrahim2 -

34 réponses
Winlogon.exe
Laëtitia -
Utilisateur anonyme -

1 réponse
c'est quoi comme fichier winlogon.exe
oceane -
françois -

3 réponses
fichier winlogon.exe perdue ou introuvable
craterdu74 -
craterdu74 -

7 réponses