Bonsoir à tous !!!
J'ai parcouru le forum et d'autre à la recherche d'une solution à mon problème informatique mais je n'ai pas trouvé de solution ni de cas similaires.
Ma config :
Laptop XP SP2 maj effectuées il y a une semaine,
Kerio Personal Fireware et test en ligne OK avant l'infrection,
Avast antivirus
Adaware à jour
Spybot Search and Dextroy à jour
Spyware Doctor
-------------------------------------------------
Hier j'ai lancé un fichier executable recu par mail et depuis mon ordinateur est infesté de virus; spyware...Au moment ou j'ai lancé l'executable Kerio m'a averti d'une tentative d'intrusion et qu'un logiciel essayait d'inscrire du code dans winlogon.exe. Je pense que mon winlogon est corrompu et qu'il permet l'inscription dans les bases de registres de code malveillant !!!
J'ai utiliser tous les antivirus, adaware spyboot, spyware doctor pour virer la plupart des troyens malware ou spyware mais il me reste toujours le probleme de redirection de ma page internet vers des sites commerciaux, porno... Tout cela a été fait en mode sans echec mais rien n'y fait...
Je colle si dessous le log de Kerio et les fichiers incriminées :
Log Kerio :
[03/Dec/2005 15:36:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\tool4.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0215)
[03/Dec/2005 15:39:06] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
[03/Dec/2005 15:39:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)
[03/Dec/2005 18:42:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[03/Dec/2005 18:45:32] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
[03/Dec/2005 18:52:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into (code address: 0x000A047E)
[03/Dec/2005 21:39:12] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[03/Dec/2005 21:39:58] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
[03/Dec/2005 21:49:40] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[04/Dec/2005 10:43:22] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
[04/Dec/2005 10:45:52] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)
D'après cela winlogon inscrit un code malveillant dans svchost qui permettrait la redirection de mes page web....
Quand j'effectue mes scans même en mode sans echec il me trouve des inscriptions dans le registe que mes logiciels arrivent à virer mais il reviennent au bout de quelques minutes...
Le log hijackthis montre ce qui suit ( En rouge ce qui me parait suscpicieux après une analyse du log en ligne) :
Logfile of HijackThis v1.99.1
Scan saved at 21:28:15, on 04/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.e xe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\s3hotkey.e xe
C:\WINDOWS\system32\S3tray.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\CAPRPCSN.E XE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Administrateur\Bureau \HijackThis.exe
C:\WINDOWS\system32\wuauclt.ex e
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = about:blank
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Intern et Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\ies dsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Driv ers\w32x86\2\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132852450149
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\lv8209loe. dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Journal des événements (Eventlog) - ESS Technology, Inc. - (no file)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - (no file)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
Quand j'essaie de virer les inscription en rouge qui me sembles dangereuses, elle reviennent au bout de quelques instants...
Voila je pense avoir été complet !!!
Qqn a t il une idée pour me debarasser de ce code malveillant ? Peut-on substituer un winlogon.exe saint à celui que je pense corrompu ? Comment ?
Merci de m'éclairer car je ne veux pas directement reformater le DD...
-----