DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 23 Nov 2024 à 23:41 FAQ | Rechercher | Membres | Groupes

winlogon.exe UC a 100%


Aller à la page 1, 2, 3  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 18 Nov 2006 à 8:44    Sujet du message: winlogon.exe UC a 100% Répondre en citant

Bonjour,
j'ai un probleme avec winlogon.exe
quand je démarre mon ordianteur, celui-ci augmente sans cesse en memoire vive utilisé jusqu'a prendre 100% de l'UC et toute la memoire vive sans que je puisse rien faire. Cela se fait progressivement et au bout de 30minutes l'ordinateur est inutilisable.
J'ai passé Spybot, Ad-aware, Ccleaner avec les mise a jours mais rien n'y fait.
J'ai passé un scan de Avast et de l'antivirus Netsky mais ca na rien changé non plus.

J'utilise Windows edition familiale SP2 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Nov 2006 à 12:50    Sujet du message: Répondre en citant

Bonjour,

Première chose a vérifier c'est le risque d'infection

=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 18 Nov 2006 à 19:52    Sujet du message: Répondre en citant

Désolé j'ai mis du temps pour repondre mais l'analyse a duré 4h.
Voici le rapport :

-------------------------------------------------------------------------------
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2006 à 13:08    Sujet du message: Répondre en citant

Bonjour thene,

Ce rapport démontre en effet une infection mais ca je crois que tu t'en doute.
Voici donc la suite.

=> Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/combofix.exe
- Met le sur sur ton Bureau.

* Double clique combofix.exe et laisse toi guider par les indications.
* Lorsque l'analyse sera terminée, un rapport apparaîtra.
* Copie-colle ce rapport dans ta prochaine réponse.

Note : Ne clique pas sur la fenêtre de ComboFix lorsqu'il tourne, cela peut le faire planter !

Bon dimanche! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 19 Nov 2006 à 13:31    Sujet du message: Répondre en citant

Voici le rapport, mais je peux faire un rapport de Hijackthis si tu veux.
Famille - 06-11-19 12:28:10,26 Service Pack 2
Log supprimé: 06-11-19 12:30:01.21
C:\ComboFix.txt ... 06-11-19 12:30 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2006 à 14:28    Sujet du message: Répondre en citant

Re bonjour,

Citation:
Voici le rapport, mais je peux faire un rapport de Hijackthis si tu veux.


Très bonne idée.

En attendant faut que je vérifie quelque chose Mad

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 19 Nov 2006 à 14:50    Sujet du message: Répondre en citant

Re bonjour,
Voici le rapport :

Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2006 à 17:31    Sujet du message: Répondre en citant

Re,
L'infection présente sur ton ordinateur est relativement récente pour moi et c'est la première fois que je m'y confronte pour tout dire.
On va donc essayer de faire pour le mieux en espérant t'apporter une aide efficace et rapide.


- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)
- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.
* l'absence de symptômes ne confirme en rien une absence d'infection.

Bon assez de blabla et attaquons ce nettoyage !

=> Déplace Hijackthis
pour des raisons pratiques et t'éviter de voir arriver un nouveau dossier "backup" sur le bureau je te conseille de creer un dossier et y placer hijackthis. Le dossier backup y sera créé automatiquement.


=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware


Note :

AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html


=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.


=> suppression du service
* Démarrer > executer tape cmd valide
dans la fenetre tape ou fais un copier coller
SC DELETE Network Logons
Valide par la touche [entrée]


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
F2 - REG:system.ini: Shell=explorer.exe 1
O1 - Hosts: 218.5.76.175 www.huoche.com.cn
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - (no file)
O2 - BHO: (no name) - {A3DC303A-4354-4275-BD81-9EB0903D2186} - (no file)
O3 - Toolbar: Sonerie Toolbar - {157B91D9-D643-403b-92FE-FB48DA68D6C4} - C:\PROGRA~1\SONNER~1\toolbar.dll
O4 - HKLM\..\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampc.exe
O4 - HKCU\..\Run: [SaveMail] C:\WINDOWS\system32\MSSOFT\winampe.exe
O4 - Global Startup: IE-Bar.lnk.disabled


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] coche Masquer les fichiers protégés du système d'exploitation
-- [ ] coche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre


=> Recherche et supprime ce(s) dossier(s)
Citation:
C:\WINDOWS\system32\MSSOFT
C:\WINDOWS\Download




=> Recherche et supprime ce(s) fichiers(s)
Citation:
C:\WINDOWS\winampc.exe
C:\WINDOWS\smss.exe
>>> Attention à l'emplacement exact (le même fichier dans le dossier system32 est parfaitement légitime)



=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected


* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner


=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16


=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse


=> Redémarre en mode normal


=> Refais un scan en ligne avec Internet explorer
sur http://webscanner.kaspersky.fr/
- Dans les mêmes conditions que le premier.


=> Résultat
- Post les différents rapports obtenus
-- Kaspersky online
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

Bon courage. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 19 Nov 2006 à 18:15    Sujet du message: Répondre en citant

Laurent a écrit:


=> suppression du service
* Démarrer > executer tape cmd valide
dans la fenetre tape ou fais un copier coller
SC DELETE Network Logons
Valide par la touche [entrée]
.


Le service spécifié n'existe pas en tant que service installé


Je continue quand meme les etapes suivantes mais je précise 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 19 Nov 2006 à 18:33    Sujet du message: Répondre en citant

Re,
Je n'ai pas encore fini tout ce que tu m'as demandé, mais je te fais savoir que meme avant que tu me le précise, depuis le debut je fais tout en mode sans echec avec la prise en charge du reseau.
En mode normal je n'aurais pas pu faire un scan kaspersky. Au bout d'une heure l'ordinateur etant saturé. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2006 à 18:36    Sujet du message: Répondre en citant

Re,
OK pas de souci, a vrai dire j'etais aussi étonné de ne pas avoir eu la remarque concernant une probable saturation de la mémoire. Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 20 Nov 2006 à 21:45    Sujet du message: Répondre en citant

Bon, je t'envoie le rapport de AVG anti spyware et de hijackthis en mode normal mais je ne peux pas t'envoyer celui de kaspersky online pour le moment.
J'ai essayé a 4reprise de faire le scan, la premiere fois en mode normal, ça c'est arreté la fois suivante la nuit le lendemain matin l'ordinateur avait freeze, la fois suivante la journée, meme scenario, et la je viens d'en faire un et je n'aurais pas du naviguer sur ne le net pendant ce temps la j'ai eu un message d'erreur winlogon apres 5s de bug, plus aucune fenetre ne repondait.
L'ordinateur s'est donc redémarré, je vais reessayer en surveillant l'ordinateur et j'espere que ça marchera.

mais en attendant j'ai toujours les autres rapports :

---------------------------------------------------------
Log supprimé

Le rapport Hijackthis sur un nouveau message 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 20 Nov 2006 à 21:48    Sujet du message: Répondre en citant

Voici le rapport Hijackthis

Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 20 Nov 2006 à 22:55    Sujet du message: Répondre en citant

Bonjour thene.

Pas la peine pour le scan Kaspersky pour le moment du moins.
L'infection présente (a priori une infection chinoise) doit dissimuler d'autres processus cachés ce qui nuit à la détection ou suppression correcte des fichiers en cause.
Dans un premier temps je vais te demander un nouveau rapport qui a pour but de dévoiler les processus cachés.
Après quoi j'essaierais de faire une procédure d'éradication des fichiers infectés si possible en une seule opération en incluant la synthèse des rapports deja fourni (AVG a déjà fait du ménage)
le scan de Kaspersky à la fin pour vérifier qu'il ne reste rien d'autre mais on y est pas encore la priorité étant de retrouver la stabilité du systeme en mode normal.

- Voici donc pour le fameux scan.

=> Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur ton bureau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case [ ] "show all" soit bien cochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus émet une alerte concernant Gmer, Ignore la et continu tout de même. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
thene



Inscrit le: 18 Nov 2006
Messages: 24

MessagePosté le: 21 Nov 2006 à 17:48    Sujet du message: Répondre en citant

Voici d'abord le scan kaspersky que j'ai reussi a faire
je te l'envoie avant d'avoir effecué le scan de gmer :

-------------------------------------------------------------------------------
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2, 3  Suivante 
Page 1 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum