winlogon 50% de process et dll bizarre dans c:\windows\temp

[elkolonel]

Bonjour à toutes et à tous,

 

J'ai cherché sur divers forums mais je n'ai pas trouvé encore de solution. Vous me direz que j'ai peut être mal cherché...

En attendant pouvez vous me donner un coup de main s'il vous plait. Voici de quoi il retourne :

- processus winlogon.exe généralement à 50% de processus (fluctuation entre 47 et 52%). Note : j'ai vérifié pas d'autres noms de fichiers winlogon.exe sur le pc à part dans c:\windows\system32. (Vous voyez que j'ai déjà cherché un peu, )

- en parallèle de cela mais je ne sais pas si c'est lié (de fortes présomptions tout de même) dans le répertoire c:\windows\temp\, j'ai un fichier dll qui grossit jusqu'à plus soif. Hier il faisiat plus de 2 Go en progression constante (environ 1Mo toutes les 10 secondes). Son nom : 8D303954.dll. Impossible évidemment de le supprimer ou de voir son contenu... De plus dans le dossier c:\windows\temp, j'ai plein de fichier (petits entre 50 octets et 5 ko) qui commencent tous par httproxy_cltxxxxxxxxxxxxx (voivi le nom de l'un d'entre eux : httproxy_clt07B62E881196985565)

 

Voilà, ayant un autre pc sous xp, le processus winlogon de ce dernier est à 0 en permanence. J'ai également essayer de remplacer le fichier winlogon.exe dans c:\windows\system32 mais cela n'a rien donné.

 

A noter tout de même hier après midi le processus winlogon.exe qui était quasiment toute la journée à 50% de processus est tout d'un coup retombé à 0% tout le reste de la journée. Mais ce matin, il avait repris son activité suspecte.

 

Merci de bien vouloir me donner un coup de main afin que je comprenne de quoi il retourne.

 

Cordialement,

 

Elkolonel

Modifié le 7 décembre 2007 par elkolonel

[bob-info]

bonsoir,nettoie ton pc avec ATF-Cleaner.exe (demande a google il te le trouvera) logiciel

sans instal l'amis des informatitien...

[elkolonel]

Je vais essayer mais cela ne supprimera sans doute pas la cause de mon problème. De plus, lorsque je redémarre mon pc, ce fichier grossissant (actuellement 3 446 000 000 octets ) disparait de lui même. J'essayer et je vous tiens au courant.

 

Cordialement,

 

Elkolonel

 

bonsoir,nettoie ton pc avec ATF-Cleaner.exe (demande a google il te le trouvera) logiciel

sans instal l'amis des informatitien...

[elkolonel]

Bonjour à toutes et à tous,

 

Après avoir essayé ATF-Cleaner et un redémarrage cela ne donne rien. Le problème est toujours présent, de plus Firefox se met à planter avec des intervalles très courts. Je suis passé pour le moment sous Opéra qui semble être stable pour l'instant.

 

Qui peut me donner une autre piste pour résoudre mes problèmes ?

 

Cordialement,

 

Elkolonel

 

Je vais essayer mais cela ne supprimera sans doute pas la cause de mon problème. De plus, lorsque je redémarre mon pc, ce fichier grossissant (actuellement 3 446 000 000 octets ) disparait de lui même. J'essayer et je vous tiens au courant.

 

Cordialement,

 

Elkolonel

[bob-info]

httproxy_clt07B62E881196985565 = fichier bitdefendeur a tu cet antivirus ? ou ficher de proxy firefox(extention ) ?

 

fait une analyse avec hijackthis et poste là sur le forum ...

 

winlogon ne devrai utiliser que 3500 ko environ lorsqu'il tourne ...et etre a o la plus par du temps...

 

 

pour le puls simple desinstalle et reintsalle firefox et bitdefendeur si tu là ...

ou essaie de trouver un point de restauration anterieur a tes problémes...

en dernier recours formatage et reinstalation de ton systéme d'exploitation...apres avoir recuperer tes doc sur un autre support

et tu sera certain davoir un pc sain et fonctinnel et de bien le protéger...

@+

[ph1ph1l0u]

Salut,

 

perso j'aurais une DLL dans le dossier C:\Windows\Temp et qui grossie à vue d'oeil, je m'inquièterais sérieusement ...

 

ça sent le mauvais spyware ça ... à plein nez

 

(Winlogon.exe ne prends jamais 50% du proc même au lancement de l'ordi)

 

Fais un scan HijackThis et post le résultat ici que l'on puisse analyser cela ...

[elkolonel]

Merci Philliped94 et bob-info. Alors en fait j'ai suivi la procédure indiqué sur les forums avec antivir, et cela m'a trouvé Hijacker.gen à deux reprises.

 

Voici le rapport généré par Antivir :

 

AntiVir PersonalEdition Classic

Report file date: samedi 8 décembre 2007 23:59

 

Scanning for 963523 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: elkolonel

Computer name: PORT-FRED

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55

ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30/11/2007 21:53:17

ANTIVIR3.VDF : 7.0.1.60 112128 Bytes 07/12/2007 21:53:17

AVEWIN32.DLL : 7.6.0.40 3064320 Bytes 08/12/2007 21:53:18

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Local Drives

Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp

Logging..........................: low

Primary action...................: repair

Secondary action.................: delete

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: I:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 8 décembre 2007 23:59

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'Opera.exe' - '1' Module(s) have been scanned

Scan process 'TSVNCache.exe' - '1' Module(s) have been scanned

Scan process 'taskmgr.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

16 processes with 16 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

C:\WINDOWS\system32\perfts32.dll

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

[iNFO] A backup was created as '47cd224e.qua' ( QUARANTINE )

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\perfts32.dll

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

 

The registry was scanned ( '37' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\elkolonel\Local Settings\Temp\ffffff8f.cab

[0] Archive type: CAB (Microsoft)

--> file.bak

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

[iNFO] A backup was created as '47c123fc.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Program Files\PrestoNotes\PrestoNotes.exe

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{3E269DBE-EA59-4B15-B9E4-B6C152D16ADD}\RP266\A0147604.exe

[DETECTION] Contains suspicious code HEUR/Damaged

[iNFO] The file was moved to '478c2d7c.qua'!

C:\WINDOWS\system32\perfts32.dll

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

[iNFO] A backup was created as '47cd321b.qua' ( QUARANTINE )

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\VB6FR.DLL

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

C:\WINDOWS\Temp\8D303954.dll

[WARNING] The file could not be opened!

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\'

Search path G:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'H:\'

Search path H:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'I:\'

Search path I:\ could not be opened!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: dimanche 9 décembre 2007 01:10

Used time: 1:10:18 min

 

The scan has been done completely.

 

23952 Scanning directories

658576 Files were scanned

3 viruses and/or unwanted programs were found

1 Files were classified as suspicious:

1 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

5 Files cannot be scanned

658573 Files not concerned

10656 Archives were scanned

7 Warnings

7 Notes

 

Pour info, j'avais posté le Hijack sur le forum dédié mais grâce aux sujets épinglés j'ai pu m'en sortir...

(http://forum.zebulon.fr/index.php?showtopic=135229).

 

Par contre qui peut me dire ce que fait ce troyen et à quoi peut correspondre ces données dans windows/temp ? A savoir que le fichier grossissait pendant un certain temps (jusqu'à 3Go et demi environ) puis ensuite le fichier se supprimait et le processus winlogon revenait à 0 de processus.

 

Si quelqu'un peut me dire ce qui a pu être fait avec ce troyen (potentiellement) afin que je prenne des dispositions pour protéger ma vie privée. Est ce que par exemple, ce troyen a pu capturer mes mots de passes en ligne ? (compte mail, mot de passe bancaire, etc...) ??

 

Merci en tout cas de votre aide, je passerai ce post en résolu dès que les implications de ce troyen seront connus.

 

Cordialement,

 

Elkolonel

 

Salut,

 

perso j'aurais une DLL dans le dossier C:\Windows\Temp et qui grossie à vue d'oeil, je m'inquièterais sérieusement ...

 

ça sent le mauvais spyware ça ... à plein nez

 

(Winlogon.exe ne prends jamais 50% du proc même au lancement de l'ordi)

 

Fais un scan HijackThis et post le résultat ici que l'on puisse analyser cela ...

[bob-info]

slt...Visitez mon site web[/url

essai çà pour eliminer tes trojans (antivirus gratuit a utiliser en manuel)...

@+