Infection par un trojan (Winlogon.exe)
Fermé
reychesta
Messages postés
2
Date d'inscription
lundi 9 janvier 2012
Statut
Membre
Dernière intervention
11 janvier 2012
-
9 janv. 2012 à 13:48
Utilisateur anonyme - 18 janv. 2012 à 02:52
Utilisateur anonyme - 18 janv. 2012 à 02:52
A voir également:
- Winlogon.exe virus
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Lien virus à envoyer - Forum Virus
- Vérificateur de lien virus - Guide
- Operagxsetup virus ✓ - Forum Virus
9 réponses
Bonsoir à tous,
g3n-h@ckm@n == ZoR0 ???
Ok, alors tu es infecté par Brontok. Regarde ici (notamment en fin de page 'Number of Incidents') :
Les statistiques sont quasi-catégoriques (Number of Incidents)
sinon Sality, tdss, virut.. (bref que des belles cochonneries qui se propagent (worm) comme tu l'as décrit.
Alors contre Brontok :
Tu peux y voir dans les exemples de lignes infectieuses ; )
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe= Worm.Brontok.c
C'est pour ça que je te proposais DrWeb qui me semble être la solution la plus élégantes de toutes (le tuto date un peu..)
MAINTENANT, si le LiveCD est trop compliqué ou ne donne rien on va taper autrement
Mais tout d'abord,
> Guillaume5188 pose une bonne question : as-tu en "mode sans échec avec prise en charger réseau' une connexion internet ?
> L'infection a pour but de se répandre le plus possible (réseau, usb...) , donc n'utilise pas de clé USB dans le sens PCinfecté >> PCsain !
Tu risquerais d'infecter d'autres machines.
> Plus tu utilises le PC (notamment en ouvrant tout et n'importe quoi, plus l'infection risque de se propager dnas le système).
> tes données serons toujours récupérables (sauf cas d'infections non-desinfectables ou encrypage : $ )
#
Si tu galères avec le LiveCD de DrWeb alors,
Vérifie si tu as accès à internet en mode sans échec avec prise en charge réseau
Si oui :
> Télécharge Combofix :
Sinon :
Enregistre Combofix sur une clé USB vierge depuis le PC avec lequel tu communiques. (la clé risque d'être infectée quand tu vas la brancher sur le pc infecté, mais de toutes façons il va falloir vérifier et vacciner toutes tes supports usb en fin de désinfection, car comme tu l'as compris le ver se propage via les ses supports amobibles)
SI tu es sous WinXP regarde aussi ici :
> Une fois sur le PC infecté (avec ou sans connexion internet) : Renomme combofix en 'reychesta.exe' puis lance le.
Si tu es sous XP fais en sorte d'installer la console de récupération
> laisse faire le fix...sans rien toucher...
> Une fois terminé redémarre le pc en mode normal (normalement ça marche), sinon en mode sans échec.
Un rapport combofix.txt se trouve à la racine de ton disque dur système (normalement c:\combofix.txt ), copie/colle son contenu dans ton prochain message.
Bon courage !
Après utilise le moins possible possible ton pc (si l'infection n'est pas totalement supprimée elle risque de vite revenir), on fera une vérif final.
J'attends ton rapport Combo ; )
g3n-h@ckm@n == ZoR0 ???
Ok, alors tu es infecté par Brontok. Regarde ici (notamment en fin de page 'Number of Incidents') :
http://www.threatexpert.com/files/winlogon.exe.html
Les statistiques sont quasi-catégoriques (Number of Incidents)
sinon Sality, tdss, virut.. (bref que des belles cochonneries qui se propagent (worm) comme tu l'as décrit.
Alors contre Brontok :
http://www.commentcamarche.net/faq/24453-comment-supprimer-brontok
Tu peux y voir dans les exemples de lignes infectieuses ; )
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe= Worm.Brontok.c
C'est pour ça que je te proposais DrWeb qui me semble être la solution la plus élégantes de toutes (le tuto date un peu..)
MAINTENANT, si le LiveCD est trop compliqué ou ne donne rien on va taper autrement
Mais tout d'abord,
> Guillaume5188 pose une bonne question : as-tu en "mode sans échec avec prise en charger réseau' une connexion internet ?
> L'infection a pour but de se répandre le plus possible (réseau, usb...) , donc n'utilise pas de clé USB dans le sens PCinfecté >> PCsain !
Tu risquerais d'infecter d'autres machines.
> Plus tu utilises le PC (notamment en ouvrant tout et n'importe quoi, plus l'infection risque de se propager dnas le système).
> tes données serons toujours récupérables (sauf cas d'infections non-desinfectables ou encrypage : $ )
#
Si tu galères avec le LiveCD de DrWeb alors,
Vérifie si tu as accès à internet en mode sans échec avec prise en charge réseau
Si oui :
> Télécharge Combofix :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Sinon :
Enregistre Combofix sur une clé USB vierge depuis le PC avec lequel tu communiques. (la clé risque d'être infectée quand tu vas la brancher sur le pc infecté, mais de toutes façons il va falloir vérifier et vacciner toutes tes supports usb en fin de désinfection, car comme tu l'as compris le ver se propage via les ses supports amobibles)
SI tu es sous WinXP regarde aussi ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#manual_recoverypour ce qui concerne la console de récupération.
> Une fois sur le PC infecté (avec ou sans connexion internet) : Renomme combofix en 'reychesta.exe' puis lance le.
Si tu es sous XP fais en sorte d'installer la console de récupération
> laisse faire le fix...sans rien toucher...
> Une fois terminé redémarre le pc en mode normal (normalement ça marche), sinon en mode sans échec.
Un rapport combofix.txt se trouve à la racine de ton disque dur système (normalement c:\combofix.txt ), copie/colle son contenu dans ton prochain message.
Bon courage !
Après utilise le moins possible possible ton pc (si l'infection n'est pas totalement supprimée elle risque de vite revenir), on fera une vérif final.
J'attends ton rapport Combo ; )
Bonjour,
Winlogon.exe correspond à la session utilisateur (WinLogOn) et au gestionnaire des tâches.
Il s'agit donc d'un processus légitime si et seulement si il se trouve dans \%systemroot%\System32\
Je te propose un scan en livecd avec DRWeb : http://www.commentcamarche.net/download/telecharger-34083255-dr-web-livecd
Tuto : http://forum.malekal.com/web-live-t21820.html
Edit :
poste ici l'url de son rapport | Tu peux l'héberger ici : http://pjjoint.malekal.com/
Winlogon.exe correspond à la session utilisateur (WinLogOn) et au gestionnaire des tâches.
Il s'agit donc d'un processus légitime si et seulement si il se trouve dans \%systemroot%\System32\
Je te propose un scan en livecd avec DRWeb : http://www.commentcamarche.net/download/telecharger-34083255-dr-web-livecd
Tuto : http://forum.malekal.com/web-live-t21820.html
Edit :
poste ici l'url de son rapport | Tu peux l'héberger ici : http://pjjoint.malekal.com/
Utilisateur anonyme
9 janv. 2012 à 15:08
9 janv. 2012 à 15:08
salut
et au gestionnaire des tâches.
huuu....et Taskmgr.exe il sert à quoi ?
et au gestionnaire des tâches.
huuu....et Taskmgr.exe il sert à quoi ?
reychesta
Messages postés
2
Date d'inscription
lundi 9 janvier 2012
Statut
Membre
Dernière intervention
11 janvier 2012
11 janv. 2012 à 11:15
11 janv. 2012 à 11:15
Comment pourrais-je héberger cette url vu que je n'ai pas internet sur le pc infecté?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
Modifié par Guillaume5188 le 12/01/2012 à 00:20
Modifié par Guillaume5188 le 12/01/2012 à 00:20
Bonsoir reychesta
Dans ce mode sans echec ;tu as bien bien choisis avec prise en charge réseau?
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Dans ce mode sans echec ;tu as bien bien choisis avec prise en charge réseau?
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Utilisateur anonyme
16 janv. 2012 à 08:22
16 janv. 2012 à 08:22
je me retire ce topic n'est pas interessant.....
lol,
"Je me retire comme un Prince.... Ce topic m'arrive à peine à la cheville"
La prochaine fois tâche de ne pas venir tout court.
Tu t'accapares déjà la moitié des topics V/S de ce site alors quand tu viens sur un qui est déjà pris en charge, fais en sorte d'ouvrir et de fermer la porte sans faire trop de bruit.
merci.
"Je me retire comme un Prince.... Ce topic m'arrive à peine à la cheville"
La prochaine fois tâche de ne pas venir tout court.
Tu t'accapares déjà la moitié des topics V/S de ce site alors quand tu viens sur un qui est déjà pris en charge, fais en sorte d'ouvrir et de fermer la porte sans faire trop de bruit.
merci.
tu te crois malin avec ca ?
https://forums.commentcamarche.net/forum/affich-24139674-infection-par-un-trojan-winlogon-exe#11
https://forums.commentcamarche.net/forum/affich-24139674-infection-par-un-trojan-winlogon-exe#11
