Winlogon notify sans arret modifié !!!!!!

[yeb76]

Bonjour .A la suite de la lecture de posts , j'ai pu eradiquer une bonne douzaine de salets de mon PC avec les logiciels que vous proposez d'utiliser .La j 'ai un dernier probleme , c est que lors d une connexion je suis redirigé vers des sites de pub , style RINGTONES, Sonnerieportable.net ; sonnerie .com etc etc , et j 'ai aussi ICONU.exe et ICONT.exe qui apparaisse dans mon Windows\ et qui me laisse des icones sur le bureau ( travelByAir , golden palace , etc etc )

J'ai analysé mes rapports HJT et j 'ai trouve a chaque fois la ligne

O20 winlogon notify - thememanager .........

ou

O20 winlogon notify Demarrer une fois .......

bref .Qd je fouille la base de registre :

poste de travail \HKLM\software\microsoft\windowsNT\currentversion\winlogon\notify j 'ai a chque fois un 10eme sousregistre en plus des neufs habituellements rencontrés !

et ce sous registre , qui se nomme qquesfois THEMEMANAGER ou RUNOnce etc etc et qui fait reference a des dll fantaisies du style m3344Irui4kL.dll enfin des trucs que je ne retrouve pas sur mes autres Pc , et ces nouvelles dll sont crées a chaque nouveau demarrage .JE fixe la ligne 020 avec hijackthis et si je refait un scan, hop la ligne reapparait .

les dll fantaisies font 232 Ko environ . Pas possible d esupprimer ces dll ; meme sous DOS .

Bref , j 'ai voulu essayer KASPERSKYLab en plus de adaware; spybot S&D , microsoft antivirus ,spyblaster et qd j 'ai sanne avec kaspersky ,il m a detecte SIGURAN ; un trojan , mais n a rien vu de plus que les autres , et depuis la fin du scan , le pc rame a mort !!!!!!

J ai essaye de faire une restauration a qques jours plus tot mais ca ne donne rien et le Pc mindique au redemarrage , qu il n y a pas assez de memoire pour un prgramme 16 bits , et le PC marche a 2 a l heure !!!

Il marche mieux en mode sans echec . Là j utilise mon PC portable pour me connecter .Qq un peut il m aider ? sur le site de zebulon on parle de CANBEDE qui ressemble a mon trojan.qun a une astuce pour virer ce truc la ?

A plus . Marc

[bigbernie]

Concernant winlogon et sa gestion il y a un topo Microsoft.

 

http://support.microsoft.com/?id=310584

[ipl_001]

Bonjour yeb76, bigbernie, bonjour à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

En effet, cette ligne O20 est spécialement difficile à éliminer !

 

J'ai perdu la main pour l'élimination de cette O20 et il me faudrait faire des recherches pour retrouver la solution (que je connaissais il y a moins d'un mois) !

Je te suggère d'attendre l'intervention de queruak ou Stonangel... eux te répondraient illico !... de mon côté, je vais essayer de retrouver le truc et de me remettre dans le coup !

[ipl_001]

Rebonsoir yeb76, bigbernie, rebonsoir à tous,

 

J'ai trouvé un fichier sur mon disque qui correspond à la solution employée il a un mois mais les choses évoluent très vite en matière de malware et je ne suis pas sûr que ce soit la solution la meilleure !

 

Lorsqu'on ne pratique plus la lutte antispyware pendant 10 jours, on se trouve vite dépassé !

Quoi qu'il en soit, la solution qui suit ne détruira rien de légitime dans ton système !

Télécharge Procexp ( http://www.sysinternals.com/files/procexpnt.zip )

Dézippe dans un dossier dédié et crée un raccourci sur le bureau.

 

Télécharge CleanUp ( http://downloads.stevengould.org/cleanup/CleanUp40.exe )

 

Démarre en mode sans échec, lance HijackThis et repère la ligne O20 et la DLL ou le fichier (peut-être aussi .dat ou autre) qui est affichée

Quitte HJT.

 

Lance Procexp.

Double clique sur "winlogon.exe" dans la liste des process pour faire apparaitre la fenêtre des propriété de celui ci. Sélectionne l'onglet "Threads" puis sélectionne le fichier listé en O20 (par exemple sabrc.dat) et ses anagrammes (par exemple crbas) un par un et clique sur "kill".

Ensuite, double clique sur "explorer.exe" dans la liste des process pour faire apparaitre la fenêtre des propriétés de celui ci. Selectionne l'onglet "Threads" puis sélectionne le fichier listé en O20 (exemple sabrc.dat) et ses anagrammes (exemple crbas) un par un et cliquer sur "kill".

Ferme Process Explorer.

 

Démarre Hijackthis, Scan et coche la ligne:

 

O20 - Winlogon Notify: xxxx - etc.

 

Ferme toutes les fenêtres tous les programmes puis Fix checked.

 

Lance CleanUp.

 

Démarre normalement et poste un nouveau rapport pour vérification.

[ipl_001]

Rebonjour yeb76,

 

J'ai tenu à te répondre au plus tôt !

 

Les lignes que tu as écrites dans ton message me laissent penser que tu es d'excellent niveau et si tu postes, c'est que tu as essayé tout ce que tu pouvais... j'ai voulu m'empresser de t'aider ! !