Winlogon.exe virus ?

[invite00d67ce2]

Bonjour,
j'ouvre ce nouveau post car, meme si d'autres parlent de winlogon, le porblème n'est pas le même.

Depuis plusieurs années (mois), lorsqu'aucune tache n'est lancée, tout va bien : les "processus inactifs du system" est bien à 99% et il n'y a aucun acces disque.

Depuis peu, acces disque quasi permanent et winlogon.exe monte jusqu'à 25% du processeur toutes les 3 secondes
idem pour mcshield.exe mais ca c'est mon bouclier MacAfee.

Connaissez vous un outil pour vérifier si il n'y a pas une mechante bébéte genre trojan dans les parages ?
-----

[JPL]

Applique cette procédure qui est signalée en tête de ce forum dans les messages importants : http://www.futura-sciences.com/fr/do...701/c3/221/p1/

[invite00d67ce2]

Bonjour,
voila, je viens de suivre à la lettre la procedure.
Ci joint les fichiers de rapport générés.
Pouvez vous me dire si vous pensez qu'une vilaine bébéte se balade au seins de mes clusters ?

[invite00d67ce2]

Quelqu'un peut m'aider ? (re-up)

[A voir en vidéo sur Futura]

[JPL]

Un peu de patience. As-tu vu tous les cas qui sont suivis avec pour le moment une seule personne qualifiée disponible pour ce travail délicat ?

[invitec04351b8]

Bonjour,

j'ai surtout qq problèmes de connexion liés aux vacances;

===

Comment peux on, en juillet 2011 n'avoir que le Sp2 d'installlé ?

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option Nettoyer.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

===

Fais redémarrer l'ordi.

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite00d67ce2]

Merci pour la manip voila, tout est fait à la lettre
(juste pour info je pense que MBAM a fichu un sacré bordel en restant residant et en tournant en meme temps que MacAfee > windows restait figé plusieurs minutes...). J'ai donc fait tout ce que tu m'as demandé mais l'ai déinstallé apres...

Sinon voici en piece jointe les infos demandées
Merci beaucoup de ton aide !

[invite00d67ce2]

re,
je me trompe peut etre mais depuis la derniere manip (d'installer ces 3 logiciels), c'est pire.
J'ai désormais dans le gestionnaire de taches (alors que je ne pense pas qu'ils y etaient avant) :
fusservices.exe
lf2grpow.exe
et un rundll32 en plus !!!
Auuuu secourssssss car maitre google me dit que c'est pas bon

[invitec04351b8]

Bonjour,

Demander comment on peut avoir seulement le SP2 d'installé est une question.

J'ai besoin de la réponse.

On verra plus tard l'installation du SP3.

===

Ouvre ce lien

http://support.kaspersky.com/fr/faq/?qid=208280685

et fais ce qui est indiqué sous "La désinfection du système infecté".

Poste le rapport.

@+

[invite00d67ce2]

Ah pardon j'avais pas pris cela comme une question.
Pour la réponse : mon ordi est un poste de travail que je cherche à optimiser au max en terme de rapidité. Un ami ingé m'a dit que le SP3 ne fait que ralentir le system... Est ce faux ?

[invite00d67ce2]

je viens de faire la manip Kasperski.
Il trouve un suspicious object : windows/system32/drivers/sptd.sys
A la place de skip je met "copier en quarantaine" puis continue
et là quand je relance le scan il me le remet...
Une idée ?

[invitec04351b8]

Re,

sptd.sys est légitime si tu as un gestionnaire de disque virtuel installé (genre Daemon Tools).

Je voudrais le rapport de Kaspersky.

Le SP3 comble des failles de sécurité. Il est absolument nécessaire.

@+

[invite00d67ce2]

Bonjour et merci du temps que vous passez sur mon problème,
voici comme demandé le rapport Kaperski : fichier joint

[invitec04351b8]

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2]
[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2.1]
[HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}]
O43 - CFD: 24/07/2010 - 10:18:52 - [1199974] ----D- C:\Documents and Settings\juju\Application Data\igraal
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL]

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Poste le rapport dans ta réponse.

@+

[invite00d67ce2]

Merci pour cette manip,
mais avant de le faire pourriez vous me dire quel impact cela va faire sur mon windows ?
Etant un poste de travail je ne voudrais absolument l'altérer ! C'est quoi : audiocdwriter ?
Merci pour votre réponse avant manip

[invitec04351b8]

Bonjour,

la manip ne va pas modifier Windows.

Pour NCT..., il est identifié par SOPHOS commme un adware :

http://www.sophos.com/fr-fr/threat-c...-analysis.aspx

de toute manière, ZHPFix conserve une quarantaine qui permet de restaurer les modifications.

@+

[invite00d67ce2]

Bonjour,
opération faite.
Voici le rapport

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

Où en es tu de tes soucis ?

@+

[invite00d67ce2]

voicile rapport apres redemarage

PS : à priori mon soucis de processus s'est quelque peu "calmé" mais voyez vous des choses à optimiser ?

[invitec04351b8]

Bonjour,

mets à jour Windows en installant le SP3.

Quand ce sera fait, refais tourner ZHPDiag et poste le rapport.

@+

[invite00d67ce2]

Bonjour je re-up mon post car mon probleme n'est pas réglé.

Toujours des acces disques (durant quelques minutes à la meme cadence) et ce toutes les 5 minutes.
Comme si un petit soft venait prendre la main toutes les 5 minutes...
Quand cela arrive, dans le gestionnaire des taches (en mettant un taux de rafraichissement rapide) j'ai service.exe, lsass.exe qui viennent utiliser du processeur.

Avez vous une idée ?
Par avance merci !

[invitec04351b8]

Bonjour,

tu as fait ce que j'ai demandé ? (je n'ai pas vu de rapport de ZHPDiag ...)

@+

[invite00d67ce2]

Desolé Lyonnais 92 mais comme je te le disais plus tot c'est hors de question que j'installe le SP3, ce n'est pas une machine de jeux mais de travail et comme je te l'expliquais l'optimisation performance est mon soucis majeur.

Donc si la solution ne peut être envisagé qu'avec le SP3... mon problème est donc irrésoluble ?

[invitec04351b8]

Bonjour,

je ne vois aucun intérêt à passer du temps à désinfecter un ordi dont le propriétaire n'accepte pas de combler les failles de sécurité.

Les SP ne sont pas pour faire joli.

@+