Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus Suppression d'un troyen dans Winlogon...

Suppression d'un troyen dans Winlogon...

2 réponses
Avatar
Iulius
Bonjour,

Un ami rencontre actuellement un problème : des pop-up
ne cessent d'apparaître (vers des sites publicitaires).
Il semblerait que ce soit Look2Me, mais je n'en suis pas sûr.

Il ne peut plus accéder aux paramètres de son pare-feu
(son accès est interdit pour une raison inconnue, dixit Windows).

J'ai passé Spybot et Ad-aware en mode sans échec. Ça ne
change rien, et il reste encore des spyware insupprimables.
À noter que si je lance une recherche dans la base de registres,
cela produit une erreur fatale (ce troyen ferait-il cela ?)
et que la suppression de la clé Winlogon qui charge une dll
ne change rien. Au redémarrage de l'ordinateur, elle y est
à nouveau, vers une dll différente.

Je ne sais que faire pour supprimer ce troyen...

Ci-dessous les lgos d'HijackThis.

D'avance merci pour votre aide.

Iulius



Logfile of HijackThis v1.99.1
Scan saved at 21:59:44, on 08/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sessmgr.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\RDSHOST.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\Documents and Settings\Lysiane\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133538295009
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133539805806
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://www.tikgames.com/real/games/goldfever/goldfever.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F642F7-B5ED-4504-9D72-848FCAF62A0A}: NameServer = 80.10.246.1 80.10.246.132
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\enjml1111.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Iulius
O20 - Winlogon Notify: Uninstall - C:WINDOWSsystem32enjml1111.dll


Bingo. Cherchez enjml1111.dll et i660lgjm16oa.dll, ce sont deux merdes.


En fait, il y en a beaucoup plus que cela dans le répertoire
C:WINDOWSsystem32 !
Il y en a plusieurs dizaines avec des noms aussi bizarres (ne voulant
rien dire, mélangeant chiffres et lettres...).
Ce nom change à chaque redémarrage dans le Winlogon [j'ai donc
l'impression qu'il y a autant de tels fichiers que de fois
où Windows est lancé].



Voir http://www.cexx.org/lspfix.htm pour le reste.


Je vais essayer cela.



Mais il est possible que le PC soit victime d'infections multiples.


Oui, il y en avait pas mal ; j'ai désinfecté pas mal de choses et il
semble qu'il n'y ait plus que ce seul problème [les pop-up lancées
par cet ad-ware vraiment vicieux].



Un cheval de Troie se cache parfois derrière TikGames.


Je l'ai supprimé depuis la date des logs de HijackThis que j'ai mis ici.



Mettez à jour Acrobat. La 6.0 est obsolète, dangereuse et lente.


OK ; merci pour le conseil.
Ce n'est pas mon ordinateur, mais celui d'un ami.

Encore une fois merci pour tout.

--
Iulius


Avatar
Iulius
En réponse à François-Yves :

Il est probable que vous ayez été victime d'une contamination par Look2Me,
voir la page en lien (et en anglais) pour plus d'explications et un outil de
nettoyage.

http://securityresponse.symantec.com/avcenter/venc/data/spyware.look2me.html


Je vous remercie pour le lien. Je l'ai transmis à la personne intéressée.

Le logiciel de désinfection a été exécuté mais il a dit qu'il n'y
avait aucune trace de Look2Me...
Le problème de pop-ups est toujours existant.

Peut-être est-ce une variante « résistante » de Look2Me ?
Car cette clé dans la base de registres (Winlogon) est source
des maux, je présume. Mais je ne parviens pas à la supprimer.

L'accès au pare-feu est aussi impossible (il doit être désactivé par
ce ver) et la recherche dans la base de registres !

--
Iulius