Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

winloggon.exe

fenugrec

Par fenugrec
dans Optimisation, Trucs & Astuces

 Partager

Messages recommandés

fenugrec Member

fenugrec

Posté(e)
Posté(e)

bonjour

 

je vien de m'apercevoir que winloggon.exe me prenais beaucoup de place et etait pour quelque chose dans le ralentissement du demarrage . :P

 

on deconseille sur different forum de le desinstaller , hors je n'ai pas suvenir de l'avoir eu au debut que j'ai eu le pc ( il y a 2ans ) Bref , est il possible de le

 

desinstaller sans probleme a venir ?????

 

merci de vos conseilles :P

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en français ouverture de session Windows) est un processus générique de Windows NT/2000/XP servant à gérer l'ouverture et la fermeture des sessions. Le processus WinLogOn est également actif lors de l'ouverture de la fenêtre de sécurité Windows (appelée en appuyant simultanément sur les touches CTRL+ALT+SUPPR).

 

Le processus winlogon n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

 

Il s'agit d'un processus système critique ne pouvant pas être arrêté. (CCM)

winlogon fonctionne en permanence à partir du moment ou la machine est allumée.

 

C'est lui qui gere, non seulement l'écran d'ouverture de session, mais aussi et surtout toutes les deandes de droit d'accès au cours du fonctionnement normal de la machine.

 

Essayez de le tue etvous vius retrouvez immédiatement déconnecté, la session fermée et dans l'impossibilité de vous reconnecter sans rebooter.

 

Par contre , beaucoup de malware s'installent dans cette clé du régistre, dans la branche Notify.

HKLM\Sotware\Microsoft\Windows Nt\Winlogon.

fenugrec Member

fenugrec

Posté(e)
  • Auteur
Posté(e)

merci pear

 

comme d'hab vous etes la pour m'aider :P

 

a notify il y a 10 dossiers

 

crypt32chain - cryptnet - cscdll - ScCertProp - Schedule - sclgntfy - SensLogn - termsrv - WBSrv - wlballoon

 

c'est grave docteur ??

 

merci :P

pear Devil Member !

pear

Posté(e)
Posté(e)

Ce que vous avez dans Winlogon est tout à fait normal.

 

Si ,par contre, lorsque vous écrivez Winloggon avec 2 g, vous ne faites pas une faute d'orthographe, c'est autre chose. :P :P

Vous avez aussi vraisemblablent un processus Scvhost en plus des normaux Svchost, et votre cpu est à 90% occupé.

Postez ici un log Hijacthis.

fenugrec Member

fenugrec

Posté(e)
  • Auteur
Posté(e)

voila le rapport

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:44:32, on 12/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\AntivirusFirewall\Common\FSM32.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE

C:\WINDOWS\system32\clipsrv.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe

C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE

C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE

C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe

C:\Program Files\AntivirusFirewall\Common\FCH32.EXE

C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE

C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe

C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe

C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe

C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe

C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe

C:\Program Files\Spybot - Search & Destroy\firefox.exe

C:\Program Files\CCleaner\Integrator.exe

C:\Program Files\CCleaner\WinStyler.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Documents and Settings\All Users\Documents\programme\ShockAero3D.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\All Users\Documents\programme\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE7

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\RIVATU~1.0FI\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Liens de renvoi - C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\Web\gbacklinks.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll

O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://king.orange.fr/ctl/kingcomie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1166718121781

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1166718112000

O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} - https://rtc4.webresponse.one.microsoft.com/...p/TLIEFlash.CAB

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 6774 bytes

 

merci :P

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir Fenugrec,

 

Aucune trace de votre Winloggon.

 

Fausse alerte ?

 

Par sécurité:

Démarrer->Exécuter

tapez cmd

Dans la fenêtre noire qui s'ouvre tapez Tasklist>liste.txt

Ce sont les processus en cours.

Postez en le contenu.

Modifié par pear
bdbs Member

bdbs

Posté(e)
Posté(e)
Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en français ouverture de session Windows) est un processus générique de Windows NT/2000/XP servant à gérer l'ouverture et la fermeture des sessions. Le processus WinLogOn est également actif lors de l'ouverture de la fenêtre de sécurité Windows (appelée en appuyant simultanément sur les touches CTRL+ALT+SUPPR).

 

Il s'agit d'un processus système critique ne pouvant pas être arrêté. (CCM)

winlogon fonctionne en permanence à partir du moment ou la machine est allumée.

 

C'est lui qui gere, non seulement l'écran d'ouverture de session, mais aussi et surtout toutes les deandes de droit d'accès au cours du fonctionnement normal de la machine.

 

Essayez de le tue etvous vius retrouvez immédiatement déconnecté, la session fermée et dans l'impossibilité de vous reconnecter sans rebooter.

 

Bonjour

Rapide question en passant : si ce winlogon est un nid à spywares, est-il utile de le bloquer dans son parefeu ?

On le laisserait fonctionner dans windows, manifestement c'est indispensable...

Mais faut-il lui donner la possibilité de passer le pare-feu ?

Je préfère poser la question que de tester l'action (cela semble un peu sensible :P )

 

merci !

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...