# Systmes > Windows > Scurit >  Virus Winlog.exe

## beegees

Bonjour le forum,

L'ordinateur de mon collgue  un virus ou un trojan.

A chaque fois qu'il allume son PC, les mj automatiques sont supprimes, l'anti-virus est non actif (les services sont teint) et le pare-feu windows dsactiv.

J'ai regard dans le msconfig, je vois winlog.exe

En m'informant un peu sur le net j'ai vu que c'est un worm.

Voici le rapport hijackthis, si quelqu'un y comprend quelque chose et sait comment faire pour sortir de ce ptrain ?

Merci d'avance.
bgs



```

```

----------


## toto84

Tu refais en mode sans chec, tu vires le winlog.exe, tu vrifies chaque dll inconnue dans proprit/version si elle est signe, tu vires celles qui ne sont pas renseignes, mme choses pour les exe, tu n'oublies pas de cocher la case faire une sauvegarde   ::lol::   et a devrait aller.

----------


## Kcirtap

Pour analyser ton log hijackthis
 ::arrow::  http://www.hijackthis.de

Quelques conseils te permettront d'avancer.

A plus   ::wink::

----------


## Ender

Bonsoir  tous,

J'ai galement Winlogon dans mon PC.
Et moi aussi, mon pare-feu est dsactiv au dmarrage (mais pas l'antivirus).
J'ai fait un scan avec HijackThis et en copiant mon log sur http://www.hijackthis.de , HijackThis m'indique que ce fichier n'est pas dangereux.
Mme son de cloche quand je fais un clic droit sur le fichier et que je slectionne "Rechercher les virus..."

MAIS, avec a-squared, le scan indique ceci :



> C:\WINDOWS\system32_winlogon.exe       Trojan.Win32.Agent.ha


Alors, ce fichier est-il un malware ou non ???
Si oui, comment s'en dbarasser _proprement_ pour qu'il ne revienne plus ?

----------


## 2o7

> Bonsoir  tous,
> 
> J'ai galement Winlogon dans mon PC.
> Et moi aussi, mon pare-feu est dsactiv au dmarrage (mais pas l'antivirus).
> J'ai fait un scan avec HijackThis et en copiant mon log sur http://www.hijackthis.de , HijackThis m'indique que ce fichier n'est pas dangereux.
> Mme son de cloche quand je fais un clic droit sur le fichier et que je slectionne "Rechercher les virus..."
> 
> MAIS, avec a-squared, le scan indique ceci :
> 
> ...


winlogon.exe dans \system32 c'est normal ainsi le fait que il se lance au dmarrage, le seul malware sur ton pc c'est a, une vrai daube ce "anti"-malwares   ::roll::

----------


## Mdinoc

2o7: SI tu regardes mieux, il y a un _ dans le nom, c'est--dire un fichier nomm "system32_winlogon.exe" dans le dossier C:\Windows: Ce genre de programme est typiquement un malware qui cherche  se faire passer pour un programme lgitime.

Donc, pour s'en dbarasser et qu'il ne revienne plus, je recommanderais moi aussi un dmarrage en mode sans chec, suppression du programme et de son entre dans le dmarrage.
S'il revient, c'est qu'il a planqu un autre truc pour le faire revenir, donc il faudra poussar l'inspection encore plus loin...

----------


## 2o7

merci d'avoir corriger, je n'ai tj pas changer d'avis sur a  ::P:

----------


## Ender

Merci de ta rponse Mdinoc.




> suppression du programme et de son entre dans le dmarrage.


Comment je supprime son entre dans le dmarrage ?
J'ai regard dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run
mais winlogon n'apparait pas.

----------


## Mdinoc

Il y a pas mal de positions possibles:
1) Le menu Dmarrer de l'utilisateur
2) Le menu dmarrer de All Users
3) Ce n'est sans doute pas exaustif, mais voici mes favoris du registre quant au dmarrage (en fait, pratiquement toutes les cls qui contiennent "run" dans leur nom):HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\IntlRun ('sais pas  quoi elle sert, celle-l, mais elle contient le mme genre de choses que run)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
Sans compter les cls soeurs de Run: RunOnce, RunOnceEx, RunServices, RunServiceOnce, etc.
Une autre bonne ide est de rechercher Winlogon dans le registre, pour voir s'il est trouv quelque part...

----------


## Ender

J'ai fais une recherche, voici toutes les cls dans lesquelles apparait Winlogon :

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\win.ini
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Winlogon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Winlogon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Winlogon
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_USERS\S-1-5-21-1482476501-1677128483-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
C'est trop pour moi, je ne sais pas ce qu'il faut enlever, ou laisser, ce qui est ncessaire et ce qui ne l'est pas.

----------


## Mdinoc

Pas seulement les cls, il faut surtout chercher dans les valeurs et les donnes: Si tu trouves le fameux chemin d'accs avec le programme qui se fait appeler system32_winlogon.exe (au lieu de system32\winlogon.exe), ben tu supprimes.

Tu peux aussi rechercher tous les fichiers de ton disque dur qui contiennent "system32_winlogon.exe"...

----------


## Ender

J'ai fais une recherche dans la base de registre en tapant : system32_winlogon.exe

Il n'a rien trouv. Dois-je en conclure que je vais m'en dbarasser facilement,  savoir par une suppression en mode sans echec ??

Voil les valeurs de certaines cls qui pourraient paratre suspectes :

Cl:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\win.ini
Nom:Winlogon
Donne:SYS:Microsoft\Windows NT\CurrentVersion\Winlogon

Cl:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Winlogon
Nom:EventMessageFile
Donne:%SystemRoot%\System32\winlogon.exe

Cl:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom:Userinit
Donne:C:\WINDOWS\system32\userinit.exe,

Cl:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom:VmApplet
Donne:rundll32 shell32,Control_RunDLL "sysdm.cpl"

----------


## Louis-Guillaume Morand

bah bien sr, amuse toi  toucher au vrai winlogon et je te GARANTI que tu devras reinstaller  ::): 
s'il y a bien un exe  pas toucher ou tuer, c'est celui l.
Tu ne touche surtout PAS aux cl que tu viens de citer.

winlog.exe ==>oui
winlogon.exe ==> non

----------


## Ender

OK je pense que ce trojan (s'il en est un n'est pas trop dangereux).
La vraie menace pour mon PC serait de retoucher la base de registre ou de supprimer un fichier non malware.
Je ne m'en dbarasse donc pas entre autre parce que je ne sais pas o le trouver.
Quand ce n'est pas un virus, qu'est ce que Winlogon ?

----------


## Louis-Guillaume Morand

> Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en franais ouverture de session Windows) est un processus gnrique de Windows NT/2000/XP servant  grer l'ouverture et la fermeture des sessions. Le processus WinLogOn est galement actif lors de l'ouverture de la fentre de scurit Windows (appele en appuyant simultanment sur les touches CTRL+ALT+SUPPR).
> 
> Le processus winlogon n'est en aucun cas un Virus rsident, un ver, un cheval de Troie, un spyware, ni un AdWare.

----------


## Ender

Bon merci pour ces prcisions Pharaonix.
Je passe donc du tout au tout : je garde winlogon (c'est mon dernier mot).
Je pense donc que a-squared s'est tromp et a enregistr dans sa base qu'il s'agissait d'un trojan. Ce qui est peut-tre le cas...

----------


## Louis-Guillaume Morand

pas forcement, tu parles d'abord de Winlog.exe puis de winlogon.exe
c'est pas du tout le meme nom   ::roll::

----------


## Mdinoc

Surtout quand un troisime nom arrive, un certain system32_winlogon.exe (notez le underscore)...
a fait beaucoup de noms, l...

----------


## Shype

Bonjour, ce topic est trs vieux (2006), mais ayant eu le mme problme, je me devais de donner les informations que j'ai rcoltes.

Ce worm travaille en tche de fond, et rsiste  Avast, mme si ce dernier le dtecte, la suppression ou la rparation ne lui font rien.

J'ai chopp ce virus par le biais de ma clef USB prt  un ami qui  du en faire mauvais usage (ou pc totalement infect), bref, j'ai remarqu sur ma clef un fichier .ini, de se "recrer" en continu, si on tentait de le supprimer.

Aprs des petites recherches sur le net, j'ai trouv (je crois) la solution : 

-Faire Ctrl + Alt + Suppr
- Supprimer le processus "winlog.exe"
-Aller dans le dossier ou le worm s'est mis (vous trouverez le chemin lors de l'alerte d'Avast signalant la prsence d'un virus), et supprimer winlog.exe.

Je sais que le topic date, mais je poste a au cas o des gens auraient besoin d'aide.

Bonne continuation

----------


## Sebastouche

> Bonjour, ce topic est trs vieux (2006), mais ayant eu le mme problme, je me devais de donner les informations que j'ai rcoltes.
> 
> Ce worm travaille en tche de fond, et rsiste  Avast, mme si ce dernier le dtecte, la suppression ou la rparation ne lui font rien.
> 
> J'ai chopp ce virus par le biais de ma clef USB prt  un ami qui  du en faire mauvais usage (ou pc totalement infect), bref, j'ai remarqu sur ma clef un fichier .ini, de se "recrer" en continu, si on tentait de le supprimer.
> 
> Aprs des petites recherches sur le net, j'ai trouv (je crois) la solution : 
> 
> -Faire Ctrl + Alt + Suppr
> ...


Bonjour,
Merci pour l'info car j'ai ce virus depuis quelques semaines et je n'arrivais pas  identifier le souci.

Seb

----------


## -WARNING-

Bonjour, moi aussi j'ai un problme avec Winlog.exe c'est tout simplement horrible, bref, je vous explique,
voil, je joue a un pourris nomm habbo, bref, une personne est venu me voir et ma dit d'aller sur un site que voici 
(n'y tlchargez rien)--> http://www.habbor.tk/
bref
je ne savais pas que se foutu site envoyer des virus et donc voil, j'ai cliquer sur un des tlchargement, et j'ai eu un fichier qui se nommai  "habbo_triche_66.exe" comme un idiot je l'ai ouvert et bam un message s'affiche, devinez quoi ?
 comme par hasard une "error" bref, le fichier disparais comme par magie (on se croirai chez harry potter c'est fou !) et videmment plein de virus, mon anti-virus les dtecte il les supprime enfin bref. mais quand je r'allume mon ordi on peut plus tard, un message s'afficha  l'cran (oui encore) mais cette fois-ci ce n'est pas le mme est il vien de windows, oui, enfin bref, il me dit simplement que j'ai un programme dans mon ordi (oui sinon c'est pas possible  ::P: ) qui s'est excut tout seul, bref il me demande si je l'execute ou si j'annule mais, que je fasse l'un ou l'autre je reoit un fichier dtect par mon anti-virus qui fini par ".gen" personnelement un ami m'a dit que ctait un "WORM" j'ai lu la dfinition et j'ai trouver sa :
 Write Once Read Many (WORM) est une technique associe  certains supports de stockage non effaables. Ces supports permettent l'criture de donnes mais ne permettent pas l'effacement. ...
bref, mon ordi me dit le chemin a suivre pour trouver le programme (winlog.exe !) je vais pour suivre cette piste mais, quand je doit trouver un dossier "winlog" rien y fait ! rien du tout nada que dal !  ::cry::  alors ..
 j'ai chercher avec l'aide windows ce foutu fichier, mais rien de rien .. j'aimmerai pouvoir faire un retour en arrire mais, je ne peut pas alors je vous demande a tous de m'aider ! c'est un vrai soucis qui me gache mes journ car si je l'execute je reoit 3 virus / s et j'en ai marre !

Merci d'avance  ::ccool:: 

Ps: dsoler pour tout ce texte :/

----------


## -WARNING-

Ok .. l c'est du srieu j'ai fait un snapshot voici le lien : http://www.pixelz.fr/3/8/b/52740636b...efe86c8cb.html
bref, cette fois avant que je clique sur annuler je reoit quelque chose vous savez quoi ? un truc nomm "Horse.NMF" voil aider moi vite car a commence vraiment a cramer sur mon pc :/

----------


## Benj.

Et une analyse antivirale n'y fait rien ? Quant au chemin du fichier en question je doute qu'il soit bon donc pourquoi ne pas le supprimer, tout simplement ?

Commence peut-tre aussi par un scan avec HijackThis pour vrifier l'intgrit du registre et plus particulirement les clefs qui concernent le dmarrage de l'ordinateur.

----------


## -WARNING-

les clefs ? 
?.?
je ne suis pas un professionnel ! :/ juste un internaute, mais .. quand tu dit tout suprimmer ? c'est reformat le PC ?! j'y avais penser mais, sans plus ..

----------


## Benj.

formater est une solution mais elle n'est  envisager qu'en dernier recours. L je parlais de supprimer l'excutable dont il est question dans la capture d'cran que tu as fait.

Quant au clef registre, aucune inquitude  avoir, HijackThis ne va rien faire d'actif (dans un premier temps), il suffit de le laisser vrifier les clefs, d'exporter la liste et nous pouvons faire un premier "diagnostic" ici. Aprs seulement tu pourras laisser le logiciel rgler les problmes (autant que possible).

----------


## -WARNING-

oui mais .. comment le supprimer ...

----------


## supersnail

En lisant le message peut-tre?  ::koi:: 

Je sais pas si t'as remarqu,mais tu as le chemin complet du winlogon vreux dans le message "Volez-vous excuter ce fichier" ?

Il suffit de s'y rendre et de le supprimer  ::):  (de prfrence en mode sans-chec)

----------


## -WARNING-

Bonne ide  ::ccool::  le mode sans chec mais .. comme je le dit dans mon premier message, je ne voit pas le fichier et mme en mode sans chec cela ne marche point ! J'ai fait une recherche est devinez ce que j'ai trouver ? rien.  ::cry::  donc voil je vous le redis les fichiers je ne les vois pas ! :/ il y a un dossier winlog manquan et comme par hasard (on retourne dans la magie d'Harry Potter) le fichier winlog.exe est dans le dossier winlog et vidamant je ne le vois pas et je ne peut pas le trouver avec n'importe quel type de recherche ! Need help !

----------


## -WARNING-

Mais si vous voulez j'ai une solution pour vous ! :O vous n'avez cas prendre le site que j'ai donn pour tlcharger la chose ! (pour vous mettre dans le bain xD)

----------


## supersnail

Bon,bah je crois que a va se transformer en sacrifice de machine virtuelle  ::aie:: 

Sous quel O.S es-tu: Vista? Seven?

Tu affiches bien les fichiers cachs j'espre...  ::aie:: 
Bref: sinon,supprime directement le dossier "winlogon"  :;):

----------


## Benj.

> Mais si vous voulez j'ai une solution pour vous ! :O vous n'avez cas prendre le site que j'ai donn pour tlcharger la chose ! (pour vous mettre dans le bain xD)


Remarque trs intelligente qui va faire avancer les choses, autant pour toi que pour nous !

Bon courage pour la suite, d'autres ont srement plus besoin d'aide visiblement !

Sinon : http://www.avg.com/fr-fr/avg-rescue-cd

----------


## -WARNING-

Oui videmment je sais se qu'est un fichier cacher je sais comment les mettre a dcouver mais rien ! et j'ai vista :/
 et puis un peut d'humour ne fait pas de mal je suis telement d'seprer !

----------


## supersnail

Bonjour,

Lance un rapport hijackthis peut-tre...

----------


## -WARNING-

je l'ai dj fait et malheureusement ils n'ont rien trouver ...

----------


## supersnail

Bonjour,

Sinon, il reste la solution propose par Benj., c'est--dire le CD bootable contenant un antivirus (en l'occurence AVG), qui permettera de dtecter (et supprimer) le virus.
Sinon,tu peux aussi graver un live-cd d'une distribution Linux (ubuntu par exemple), et accder  ton disque windows depuis le CD,pour supprimer le fichier rcalcitrant.

----------


## pi-2r

Bonjour,

as-tu garder une copie du fichier exe ? 
(le site est mort )
Si c'est le cas, envoi-le sur le site virus total pour avoir d'information sur ce malware.
Tu peux aussi regarder ou se situe le programme avec le logiciel Autoruns.

----------


## -WARNING-

Bravo franchement ce logiciel est dingue mais l n'est pas la question c'est que je ne le trouve pas non plus c'est vraiment bizare tout sa sa va vous triturer l'espris pendant plusieur semaines peut tre .. si vous voulez on peut essayer que vous contrliez mon PC pour voir les fichier .. et voir le problme plus en profondeur .. j'ai team viewer et mon j'ai msn aussi mon E-mail si vous prfrez !
---> gaga_etan@hotmail.fr
solution de dernier recour .. :/


(dites moi vos adresses avant)



PS: Pendant 1 mois je ne pourai vous aider car je ne serai pas l alors ..tampis ..

----------


## mptijr

je ne pense pas que winlogon soit un virus. 

je vois plutt hkcmd.exe selon le rapport de hijackthis.

----------

