Hello, je viens de me choper un virus assez étrange que je n arrive pas a virer, je m explique :
dans le gestionnaire des taches je vois un winlogon.exe qui apparait et disparait toutes les secondes ce qui me prends bien sur pas mal de ressources.
Cela engendre par exemple la fermeture automatique de certaines fenetres au bout de 10 a 20 secondes telles que le gestionnaire de taches, la base de registre, la fenetre "executer", etc ...
Si je passe par l explorateur je ne ressens pas trop les lenteurs CPU, par contre si je tente d acceder a n importe quelle icone située sur mon bureau y compris poste de travail le CPU est directement a 100% et je ne peux quasiment + rien faire.
Donc au bout de 3 ou 4 CTRL ALT SUP mon gestionnaire de taches apparait, je kill explorer.exe et le relance et a repart a peu pres normalement.
Je vous joint mon log Hijackthis si ca peut vous aider car moi je ne sais pas bien l exploiter :
 
Logfile of HijackThis v1.97.7
Scan saved at 08:42:01, on 29/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Winlogon.exe
C:\WINDOWS\lssass.exe
C:\WINDOWS\services.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Progs\eMule\emule.exe
C:\Program Files\Messenger\msmsgs.exe
H:\Progs\Antivirus\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.sports.yahoo.com/foot/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Winlogon.exe
F1 - win.ini: load=C:\WINDOWS\Winlogon.exe
F1 - win.ini: run=C:\WINDOWS\Winlogon.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Winlogon.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - \Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - H:\Progs\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Progs\Norton\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\Winlogon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\System32\msconfig.exe /auto
O4 - HKLM\..\Run: [Services Controller] C:\WINDOWS\lssass.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\RunServices: [Services Controller] C:\WINDOWS\lssass.exe
O4 - HKLM\..\RunServices: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [Windows Logon Application] C:\WINDOWS\Winlogon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [Services Controller] C:\WINDOWS\lssass.exe
O4 - HKCU\..\RunServices: [Services Controller] C:\WINDOWS\lssass.exe
O4 - HKCU\..\RunServices: [System Services Launcher] C:\WINDOWS\services.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Progs\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] .568587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
Je vois qd meme un truc bizarre c est que j ai un lsass.exe et un lssass.exe qui se lance y en a donc forcément un qui n a rien a faire la.
 
Je n ai rien vu de bizarre dans msconfig ( qui se ferme également au bout de 10 secondes a peu pres ).
 
J ai bien sur tenté toutes les actions classiques : antivirus en ligne ( secuser et bitdefender ) + spybot, adaware et norton tous a jour a exécutés en mode sans echec.
Ils m ont trouvé 2 ou 3 dll étranges que j ai supprimé par le biais de ces meme logiciels mais cela n a rien changé, les lenteurs sont tjrs aussi persistentes et les fenetres ouvertes disparaissent toujours !
je voulais savoir si vous aviez des pistes, car ma prochaine étape serait la restauration mais apres je ne vois que le format C:  ce que je voudrais a tout prix éviter !
 
Merci d avance

Bonjour,
 
Tu as le nom du virus ou pas ?
 
A+

 
Non malheureusement j ai cherché mais je n ai trouvé aucun virus avec ces symptomes. Je sais juste que le fait que j ai un lssass.exe qui tourne n est pas normal mais je n ai pas réussi a trouver le nom du virus pour eventuellement appliquer un fix approprié de symantec.
Pt etre également que j ai plusieurs virus en meme temps ...

Fait une recherche dans cwindows de tout les .exe et regarde si il ni en a pas un avec un icone bizarre genre une tete de cochon ou de vache si oui fait uen recherche avec son nom dans le base de registre et suprime l exe plus les clefs qui en dependent.
Je garantie rien mais j avais eu se genre de probleme et sa te coute rien de verifier.

 
lssass.exe dans google > 3ème lien > W32/Musanub-A
 
http://www.sophos.fr/virusinfo/ana [...] anuba.html
 
Vachement dûr

d'ailleurs je me demadne si en lancant msconfig tu verrais pas qqch de chelou

 
comme indiqué dans mon 1 er post je n avais rien de bien extraodinaire dans mon msconfig, j en ai supprimé 2 ou 3 mais rien de méchant.
 
pour Abavi > je vais effectivement regarder dans c:\windows pour voir si y a pas des .exe avec des icones bizarres. Par contre je pourrais par faire de recherche dans la base de registre car mon CPU est quasiment figé car il est a 100% qd je tente une recherche, de + ma base de registre se ferme au bout de 10 secondes environ.
 
pour Slyde > j avais vu qu un virus nommé W32/Musanub-A utilisait lssass.exe comme nom mais ce n est pas le seul c pour ca que j ai indiqué que je ne connaissais pas le nom du virus car je ne suis pas certains que ce soit celui la. Mais en tout cas je vais tester le fix de symantec sur ce virus ce soir et puis on verra bien, au point ou j en suis ca ne me coute rien ...
( donc pour le "vachement dur" t etais pas obligé mais ca part d un sentiment d entraide donc je t en veux pas   )

Fais un scan en ligne ici:
www.ravantivirus.com/scan
Colles nous le rapport du scan sur le forum et on sera fixé!

 
 
Voila ce qu il m a trouvé suite a ce scan sur ravantivirus :
 
C:\WINDOWS\lssass.exe->(UPXW) - Backdoor:Win32/Ciadoor.1_22 -> Suspicious
C:\WINDOWS\services.exe->(UPXW) - Backdoor:Win32/Ciadoor.1_22 -> Suspicious
C:\WINDOWS\system32\dial32.com - Trojan:Win32/PSW.Stealer.C -> Infected
C:\WINDOWS\system32\pspv.cip - Backdoor:Win32/Ciadoor.1_22 -> Infected
 
(Il ne m avait pourtant rien trouvé sur secuser et bitdefender)
j ai donc supprimé ces 4 fichiers et refait un scan dans lequel il n a rien trouvé.
j ai ensuite rebooté pour voir mais les problemes persistent.
Je précise quej ai juste supprimé sans me prendre la tete a aller dans la base de registre, j aurais du   ?
 
je suis ensuite retourné dans msconfig et j ai vu des lignes qui me semblent étrange :
je vois un C:\windows\winlogon.exe situé dans HKLM \software\windows\current version\run
un autre c:\windows\winlogon.exe situé dans HKCU\software\microsoft\windowsNT\current version\windows:run
et un 3 eme indiqué comme suit : HKCU\software\microsoft\windowsNT\current version\windows:load
j ai décoché les 2 derniers ( situés dans HKCU...) mais a chaque reboot ils sont a nouveau cochés.
est ce normal docteur ou est ce cela qui provoque le fait que le winlogon tente de se lancer toutes les secondes ?
 
j ai également un services.exe situé dans HKCU\software\microsoft\windows\current version\run et un autre dans HKLM \software\windows\current version\run
 
et pour finir j ai le processus msmsgs.exe qui se lance tout seul dans les processus sans que messenger soit visible pour autant.
 
Merci a ceux qui auront des suggestions ou des pistes  

Déjà, le premier truc à corriger qui cloche complet, c'est ton fichier SYSTEM.INI :
 Shell=Explorer.exe C:\WINDOWS\Winlogon.exe  
 
Tu dois avoir uniquement :
 Shell=Explorer.exe
 
 
Ensuite le fichier WINLOGON.EXE n'a rien à faire dans C:\WINDOWS. C'est certainement le virus. Vérifie ton dossier C:\WINDOWS\SYSTEM32, c'est là qu'il doit être. Efface donc le fichier C:\WINDOWS\WINLOGON.EXE.  
 
Ah oui et fait toutes ces opérations en mode sans échec, ou encore mieux avec une disquette boot sur ta partition est en FAT32.
 
Reboot, et repart sur quelques nettoyages antivirus, ça devrait être bon...

alors la je pige + rien j ai maté dans c:\windows et j ai pas de winlogon.exe dedans, je n ai que le winlogon.exe "normal" qui est dans c:\windows\system32.
je ne comprends donc pas cette ligne dans mon log hijackthis :  
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Winlogon.exe
mes options de dossiers affichent bien les dossiers cachés ce n est donc pas non + un fichier caché.
J ai voulu modifier mon fichier system.ini pour supprimer c:\windows\winlogon.exe pour avoir uniquement Shell=Explorer.exe mais je n ai pas trouvé la ligne concernée ( idem en passant pas msconfig).
J ai donc carrément supprimé la ligne en passant par hijackthis.
ensuite j en ai eu marre et j ai fait une restauration du systeme.
Cette restauration ma résolu les pblemes de lenteurs CPU, il ne tourne donc + a 100%, mais par contre les fenetres  
comme le gestionnaire de taches, la base de registre, la fenetre "executer" se ferment toujours au bout de quelques secondes automatiquement.
j ai donc fait un nouveau scan sur ravantivirus il m a trouvé ca :
 
C:\WINDOWS\ISNSYS.dll - SpyTool:Win32/Justin -> Infected
C:\WINDOWS\system32\dial32.com - Trojan:Win32/PSW.Stealer.C -> Infected
C:\WINDOWS\system32\Pspv32.com->(UPXW) - Win32/Dumaru.H@mm -> Infected
 
j ai donc supprimé ces 3 fichiers en mode sans echec et lorsque j ai rescanné sur ravantivirus il ne m a rien trouvé de +
 
voici mon nouveau log hijackthis suite a la resturation du systeme :
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\tppaldr.exe
D:\progs\aide\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
H:\Progs\Antivirus\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.sports.yahoo.com/foot/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: load=C:\WINDOWS\services.exe
F1 - win.ini: run=C:\WINDOWS\services.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - \Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - H:\Progs\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Progs\Norton\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\progs\aide\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Services ] C:\WINDOWS\System32\iexplore32.exe
O4 - HKLM\..\Run: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Services ] C:\WINDOWS\System32\iexplore32.exe
O4 - HKCU\..\Run: [System Services Launcher] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [System Services Launcher] C:\WINDOWS\services.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Progs\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] .568587963
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
et j ai toujours le msmsgs.exe qui est dans mes processus alors que je ne lui ai rien demandé.
 
merci a ceux qui m aideront ...