Crss.exe et winlogon.exe

Réseaux & telecom Internet
1

Bonjour à tous!
J’ai un portable qui tourne sous vista …
Depuis quelques temps j’ai remarqué de forts ralentissements (UC à 100%), et il chauffe très vite beaucoup jusqu’à s’éteindre une fois les 80 degrés atteints (j’ai téléchargé un petit soft pour donner la température du processeur)
J’ai un peu parcouru les différents forums, je vois que c’est assez répandu comme problème…j’ai essayé de télécharger un max d’antivirus, antimalware,mais rien n’y fait, ils ne détectent rien d’anormal, et mon pc continue à s’éteindre, et rame un max. J’ai deux process que je ne peux supprimer : winlogon.exe et csrss.exe
Je ne sais pas comment interpréter les rapports d’Hijack, et j’ai peur de supprimer les mauvaises choses(je vois deux process csrss en début de rapport…) pouvez m’aider? j’aimerais éviter de réinstaller ou formater…Voici le rapport d’ Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:53:34, on 28/08/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\lolo\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.medion.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [MSConfig] “C:\Windows\system32\msconfig.exe” /auto
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [ISTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE RÉSEAU’)
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - jeuxmultijoueurs.orange.fr…
O17 - HKLM\System\CCS\Services\Tcpip…{95060F2D-38E4-4F8F-A520-4A323BF8C490}: NameServer = 192.168.1.1,192.168.1.2
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\Windows\system32\pr2agqwc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)


End of file - 6763 bytes
Edité le 28/08/2008 à 05:10

2

Salut,
quel est le processus qui te prend de la ressource?(100%)

3

Salut Koala!J’ai deux processus svchost.exe qui me prennent chacun 50 et quelques Mégaoctets, ce sont deux process du system, ensuite viennent tea timer à 39 000 ko et firefox à 35000 ko.
Les process csrss et winlogon ne prennent qu’environ 1500/2000 ko.
Ce qui me semble bizare c’est qu’aucun des processus ne ne me prend 100 % (je n’ai pas le % mais la mémoire utilisée)
Merci pour ta réponse :slight_smile:
Edité le 28/08/2008 à 14:40

4

Hello,

Cela se passe après un petit moment d’utilisation ou vraiment tout de suite dès qu’il vient de booter?
Depuis combien de temps à tu ce portable? As tu essayé de nettoyer le ventilo du proc et regarder si la grille d’aération n’est pas obstruée? (Si le processeur chauffe, il fonctionne ra mal et on a alors l’impression qu’il tente de traiter un gros calcul, mais en fait non…)

Merci,
GreeG

5

Salut,

j’avais eu un problème d’alimentation et j’avais envoyé le pc au sav, il ne chargeait plus et le pb venait d’un élément interne au pc, c’était il y a 5 mois à peu près. ce portable a 16 mois seulement, j’ai ouvert derrière pour vérifier si il n’y avait pas de court circuit qui puisse faire chauffer (j’ai été optimiste lol), et j’ai regardé le ventilo, pas beaucoup de poussière, que j’ai enlevée. Je pourrais le refaire et regarder en détail la grille aussi…j’ai noté que la grille et le ventilo me semblaient minuscules vu les ressources du pc : 2giga de ram, carte graphique 64mo, intelcore 2 duo à 2000 je crois…

je dirais qu’il atteind les 50 degrés en 10 minutes, puis se stabilise si je ne lance pas d’appli trop “gourmande” : jeu ou multifenêtres internet, sinon il met 10 minutes pour atteindre 80 °C et s’éteint :frowning:

Mais ce qui me fait dire que ca peut être un trojan, c'est que j'ai dans le gestionnaire des tâches 100 % de l'UC qui est utilisée...Merci pour ta réponse :)
6

Le 100% s’atteint si tu lances FireFox ou même sans rien faire après 10 minutes?
Sinon utilises Process Explorer. et donnes nous les résultats, il est un peu plus verbeux et précis que le task manager de base.

GreeG

7

Re,
je viens de le télécharger et de le lancer…
Si je ne me trompe pas sur l’interprétation, c’est le processus "system iddle process qui me prend environ 93% de l’UC

8

Idle = Qui ne fait rien, c’est la tâche de fond censé oqp ton proc quand il n’a rien à faire, c’est tout à fait normal.

ça sent le problème hardware quand même… quel est la marque et modèle de ton portable?

Peux tu nous donner l’extrait de ton event viewer? clique droit sur poste de travail > gérer > journal des évènements > et extrait le journal systeme et aussi applications… sait-on jamais…

Merci,
GreeG

9

Je te met une copie si ça peut t’aider …

www.casimages.com…
Edité le 28/08/2008 à 15:22

Les références du pc sont :

intel Core2 CPU T7200 2Ghz, 2G de ram, ATI Radeon Mobility x1600

pour extraire le journal je suis en train de regarder comment faire…

10

Je ne sais pas comment extraire le journal, j’ai bien fait l’analyse et j’ai 6 erreurs durant les dernières 24 heures…
Merci pour toutes tes réponses…:slight_smile:

11

Heu…

Tea Timer te prend quand même 45% de CPU… et étant donné son caratère dynamique peut amener peut-être à augmenter son activité lors du surf par exemple…

Peux tu désactive Spybot, et si c’est mieux, peut-être mettre à jour TeaTimer: forums.spybot.info…

GreeG

12

Je ne sais pas comment le désactiver :(…je peux le désinstaller sinon…mais le problème était là avant que je ne l’installe ily a 48 heures…

13

Oui, mais la marque Acer, Asus, fuji… et le modèle, voir si des gens n’ont pas eu un problème Hardware (peu probable finalement :), mais sait-on jamais).

Ecris tout de même les erreurs stp.

Désinstalle alors, on verra ensuite… Tu as un AV de toute façon?
Edité le 28/08/2008 à 16:13

14

Re!
j’ai désinstallé spybot, j’ai AV oui, je vais refaire un scan avec AVG quand même (j’utilisais antivir)

Pour les références du pc, c’est un médion, mais le processeur est intel…après les papiers ne sont pas chez moi malheureusement je n’ai pas le modèle exact :(…

pour les erreurs à droite de la fenêtre il me propose d’ouvrir le journal enregistré mais je ne connais pas l’adresse…il y a trop d’erreurs et d’infos, je ne sais pas lesquelles recopier ni quelles infos mettre…j’ai eu 3 erreur cette dernière heure, et 189 ces dernières 24 heures…
Les sourcesqui provoquent les erreurs durant les dernières 24 heures :
ps6agqwc(2erreurs), sfsync04 (2 erreurs), CAPI2 ( 2 erreurs) , volmgr(13), Application popup (10), Application error (2), application hang (2), wininnit(1), lsm(4), avira antivir(36), event system(4), eventlog(13), fournisseur du journal d’évènements de gestionnaire de controle des services (13+40+3+15+1 ID différentes), system restore(1), VSS(2), distributedCom(23)…

je suis un peu pommé lol
:frowning:

15

Sinon un clique droit “export” sur un des journal, le system de préférences…

GreeG

16

Je pense que c’est bon…j’ai exporter le journal en faisant une vue personalisée et en ne gardant que ce qui concerne le system…ca me donne un genre de txt… je te fais un copié collé…

  • j’espère ne pas m’être trompé…
  • 1,2,3 System 3 False
  • EssaideRapport
  • *[System[(Level=1 or Level=2 or Level=3) and TimeCreated[timediff(@SystemTime) <= 86400000]]]
  • 185 235 145 145 146