Virus csrss.exe et winlogon.exe

Hyule -  
yoann090 Messages postés 10597 Statut Contributeur sécurité -
Bonjour,

Il se trouve que depuis quelques jours, mon ordinateur est devenu extrêmement lent, alors qu'aucun problème matériel n'est à déplorer.

Après recherches sur le process, il se trouve que deux programmes ont des éditeurs inconnus: winlogon.exe et csrss.exe. L'UC est utilisée normalement.

Mes multiples recherches sur internet n'ont abouti à rien. J'ai trouvé que Pre Scan pouvait remedier à mes problemes.

Je vous joins le rapport Pre Scan
http://cjoint.com/?0CAsNTr6ika 


Quelqu'un pourrait-il m'aider?

Merci d'avance

18 réponses

Résumé de la discussion

Un utilisateur signale une lenteur marquée de son ordinateur alors qu'aucun problème matériel n'est apparent et que deux processus, winlogon.exe et csrss.exe, apparaissent avec des éditeurs inconnus. Plusieurs réponses recommandent de vérifier les processus winlogon.exe et csrss.exe, avec outils de sécurité et de comparer les résultats avec Pre Scan, soulignant que le diagnostic peut rétablir les performances après une désinfection. D'autres échanges proposent des liens vers des rapports, évoquant la possibilité d'examiner les dossiers liés à ces processus et de discuter des étapes de diagnostic plutôt que de supprimer. En définitive, les échanges indiquent que le Pre Scan peut être utile dans ce contexte, mais les échanges restent circonstanciés et privilégient approche graduelle avec vérifications, rapports et suivi des résultats.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Bonjour,

    Ces deux processus sont des processus systèmes et non des infections !

    Cordialement
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Pour info pour ces deux programmes :

      https://www.commentcamarche.net/faq/48978-csrss-exe-c-est-quoi

      https://www.commentcamarche.net/contents/962-winlogon-winlogon-exe
      0
  2. Hyule
     
    Oui, et là est toute la complexité du sujet: ces deux processus sont bien des processus systèmes mais ils peuvent être infectés par des malwares.
    Je ne vois aucune autre raison du ralentissement de mon système, d'autant plus que ces deux processus n'apparaissaient pas avant "l'infection".
    Lorsque je lançais une analyse de ces éléments par MBAM, il détectait des malwares mais était incapable de les traiter.

    Est ce que quelqu'un aurait d'autres renseignements à ce sujet, notamment au vu de mon rapport?

    Cordialement
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Tu devais pas y faire attention, je peux te faire une capture d'écran des différents postes que je possède ils y sont sur tous. Je vais t'appeler le concepteur de Pre_scan
      0
    2. Hyule
       
      Ok merci beaucoup pour ton aide!
      0
    3. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      En attendant relance pre_scan et dans le menu qui t'es proposé clique sur diag, héberge le rapport et donne le lien ici.
      0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut

    faut pas pousser dans la paranoïa non plus :

    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\setup_chrispc_free_anonymous_proxy_4_00(1).exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\adwcleaner.exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\mbam-setup-1.70.0.1100.exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\a-squared-free_a-squared_free_4.5.0.27c_francais_20274.exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\EmsisoftAntiMalwareSetup.exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\RogueKiller-8.5.4.exe
    Moved to quarantine successfully : C:\Users\BenCarloo\Downloads\ComboFix.exe


    En faisant ça tu masque les infections surtout si tu n'as plus les rapports ....

    Et a-squared/Emisoft/ProxyBidon => poubelle

    A++

    Salut Yoann ^^
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Pff j'en ai marre quand je veux poster y a un w.estat qui m'embête et qui tourne en rond ^^
      Salut ;)
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Pareil ...
      0
  4. Hyule
     
    Bon je désinstalle tous ces programmes et relance un pre scan.

    Merci
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      En Diag hein pas en kill
      0
    2. Hyule
       
      oui oui ;)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Hyule
     
    Voici le lien
    http://cjoint.com/?3CAuKyi6H0F
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Les lenteurs elles sont apparues quand ? Avant ou apres avoit passé tous plein d outils de desinfection ?
      0
    2. Hyule
       
      bien avant que je télécharge les outils, ceux ci ont été utilisés pour essayer de rechercher la cause du problème. il semblerait que tout soit revenu à la normale après le passage de pre scan, ce logiciel a-t-il une fonction d'antivirus?
      et les processus en question sont répertoriés normalement, je peux arrêter le processus, ouvrir le dossier les contenant....
      donc à priori plus de problèmes
      0
    3. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Ok.

      Non ce n'est pas un antivirus (il n'y a pas de fonction résidente). La fonction première de pre_scan est les rogues (faux antivirus), certains ransomwares et plus globalement d'autres infections.
      0
  7. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    J'ai vu que tu avais AdwCleaner, relance le et clique sur désinstaller.

    Ensuite retélécharge le :

    ? Télécharge AdwCleaner ( d'Xplode ) sur ton bureau :

    -Lance le, clique sur [Recherche] puis patiente le temps du scan.

    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Ensuite fais le tri dans tes antivirus, y a un peu de tout, désinstalle également spybot et les cr*ck tu oublies (cf bitdefender)
    0
  8. Hyule
     
    bon voilà le rapport d'adware cleaner

    http://cjoint.com/?3CBsYGr0RzR

    Pour ce qui est du tri dans les logiciels, j'ai désinstallé ce qu'il fallait.

    Merci pour votre aide
    0
  9. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Ok, relance en suppression.

    On va faire un diagnostique de ton pc. Suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPDiag-Generer-un-rapport puis donne le lien du rapport hébergé.
    0
  10. Hyule
     
    voici le rapport ZHPDiag

    http://cjoint.com/?3CBufx6F538
    0
  11. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Ok on progresse.

    Desinstalle

    Java 6 update 22 et 31
    Adobe reader 9.5.4

    Je dois y aller je te prepare un script demain soir.

    ++
    0
  12. Hyule
     
    ok je fais ça.

    En tout cas c'est vraiment généreux de votre part.

    Merci.

    Bonne soirée
    0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    hello

    [MD5.A12517862231652D68571FE9DC12FFD5] - [01/03/2013 12:49:13] - 860 | C:\Program Files\Bitdefender\Bitdefender 2013\vsserv.exe (.Bitdefender - Bitdefender Security Service.) - (16.26.0.1742) -> "C:\Program Files\Bitdefender\Bitdefender 2013\vsserv.exe" /service [1645256 Ko]
    [MD5.E07DEC52FF801841BA9B6878A60304FB] - [27/01/2013 11:34:32] - 1088 | c:\Program Files\Microsoft Security Client\MsMpEng.exe (.Microsoft Corporation - Antimalware Service Executable.) - (4.2.223.0) -> "c:\Program Files\Microsoft Security Client\MsMpEng.exe" [22056 Ko]

    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Salut ;)
      0
    2. Hyule
       
      je dois faire quoi avec ca?
      0
    3. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      c'était par rapport au premier pre_scan, tu peux passer au dernier post. :)
      0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut

    encore un qui lit pas ses rapports !!! ^^
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ;o
      0
  15. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Ok, copie le texte en gras ci dessous :

    SysRestore
    M0 - MFSP: prefs.js [BenCarloo - vj157orh.default] http://start.iminent.com
    M2 - MFEP: prefs.js [BenCarloo - vj157orh.default\{{InstallationHashID}}] [] QuickShare Widget v (.QuickShare.)
    O42 - Logiciel: QuickShare - (.Linkury Inc..) [HKLM][64Bits] -- {F7D739D1-B597-4802-A4CB-E1FBF326C9B0}
    O43 - CFD: 07/01/2013 - 16:13:06 - [0] ----D C:\ProgramData\BrowserProtect
    O53 - SMSR:HKLM\...\startupreg\Sweetpacks Communicator [Key] . (...) -- C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
    [HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
    [HKLM\Software\Wow6432Node\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
    [HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]
    [HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]
    [HKLM\Software\Wow6432Node\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C]
    [HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Wow6432Node\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Wow6432Node\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]
    O90 - PUC: "9EC6D81181F59F2459A84176A626F9ED" . (.Iminent.) -- C:\Windows\Installer\{118D6CE9-5F18-42F9-958A-14676A629FDE}\imbooster.ico
    [MD5.00000000000000000000000000000000] [APT] [{13F15CAA-0A57-40FD-AC1A-C0840DB891EA}] (...) -- C:\Users\BenCarloo\Downloads\epson324758eu.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{47619B30-1FB0-4745-8C61-DE2B11F5349D}] (...) -- C:\Users\BenCarloo\Downloads\Atomix Virtual DJ Pro V7.02 {Precracked} + Addons {blaze69}\Setup.exe (.not file.) [0] => Crack, KeyGen, Keymaker - Possible Malware
    [MD5.00000000000000000000000000000000] [APT] [Check for updates] (...) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [Refresh immunization] (...) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [Scan the system] (...) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe (.not file.) [0]
    [HKCU\Software\AppDataLow\Software\BittorrentBar_FR]
    O43 - CFD: 25/02/2013 - 11:09:23 - [2,214] ----D C:\Program Files (x86)\Spybot - Search & Destroy
    O43 - CFD: 25/03/2013 - 20:47:57 - [0,626] ----D C:\ProgramData\Spybot - Search & Destroy
    C:\Users\BenCarloo\Recent\BitDefender 2013 Crack and Keygen Activator.rar.lnk
    C:\Users\BenCarloo\AppData\LocalLow\BittorrentBar_FR
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6240AE-33B6-40D3-8683-31BBE86049A0}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
    EmptyTemp
    FirewallRaz


    Puis suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPFix-Script
    0
  16. Hyule
     
    Bonsoir,

    Voilà c'est fait

    Le rapport:
    http://cjoint.com/?3CCwIMLQBJO

    Merci infiniment.

    Bonne soirée
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      ce n est pas le bon rapport, il me faut le rapport de ZHPFix.
      0
    2. Hyule
       
      ah pardon j'en ai plusieurs, j'envoie les autres
      0
  17. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Nickel, si plus de problème, on passe au nettoyage des outils :

    * Télécharge DelFix (d'Xplode) sur ton bureau.
    * Lance le, laisse la case précochée

    * Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
    * Le rapport sera enregistré dans le presse-papier. Il te suffit de revenir ici et de faire Clic droit coller dans une nouvelle réponse, le rapport devrait apparaître.
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      il a remis le rapport dans c:\ ^^ trop de soucis avec le PP
      0
    2. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Oui je sais mais si ca a pas changé depuis il doit se trouver dans le PP et a la racine de C:\ sauf qu il n y en a qu un si lancé plusieurs fois :)
      0
  18. Hyule
     
    Bonsoir,

    Voilà tout est fait.
    Le rapport: http://cjoint.com/?3CDxtVAmhFu

    Merci encore pour tout, vous êtes franchement formidables.

    Bonne soirée et bon week end
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      De rien.

      Bon week end !
      0