csrss.exe un virus ? [Résolu]

van-bom · 23/01/2011, 20h36

Bonjour ,
j'ai visité un site web ( en passant par google ) et j'ai reçue un message de l'extension NoScript de mozilla qui m'indique que ce site essaye d'exécuter des actions dangereuse , puis j'ai quitter le site .
après ça, quand j'ouvre un navigateur ( Mozilla ou Chrome) je reçois une message me disant que : connexion impossible avec avec Proxy . alors que moi j'ai jamais configuré un Proxy ! j'ai réglé ça avec Mozilla , mais Chrome jusqu'à maintenant ne fonctionne pas .

en plus de ça lors du démarrage de Windows je reçois deux messages consécutives d'alerte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Impossible de charger ou d'exécuter "c:\DOCUME~1\admin\LOCALS~1\Temp\csrss.exe" spécifier dans le Registre

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Windows ne trouver pas c:\DOCUME~1\admin\LOCALS~1\Temp\csrss.exe

j'utilise AVG free édition.

merci d'avance pour vos réponses.

txuku · 25/01/2011, 09h33

Bonjour van-bom

Pour moi c est un virus.

As tu fait un scan MalwareBytes ? un scan antivirus en mode sans echec ou au demarrage du pc ?

Jettes un oeil ICI

van-bom · 25/01/2011, 22h11

salut txuku et merci pour ta réponse .

sur mon PC j'ai l'AVG free edition , ile ne détecte rien .

j'ai suivi le lien que tu m' indiqué , j'ai utilisé le malwarebytes-anti-malware , il détecter certains fichier infecter que j'ai supprimer .
mais je reçois toujours les mêmes messages d'alertes lors du démarrage.

txuku · 25/01/2011, 22h55

Regardes dans msconfig ce qui est lance au demarrage et fais une recherche csrss.exe dans le registre ( dans ces clef particulierement : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

csrss.exe se trouve normalement dans System32.

tigzy · 27/01/2011, 13h33

Salut

Tu es infecté

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Sinon, lance simplement RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* Si le programme demande pour un proxy, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

van-bom · 27/01/2011, 18h13

Bonjour , merci txuku , merci txuku pour cos réponse .

une chose que je comprends pas c'est que je ne me connecte plus avec Chrome et Internet Explorer , ils me demandent de changer le Proxy alors que je n'utilise pas.

pour les msconfig j'ai trouvé ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
HKCU\Software\Microsoft\Windows\CurrentVersion\\windows:load

pour le scan :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
RogueKiller V3.8.1 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
User: Admin
Mode: Remove -- Time : 25/01/2011 13:39:34

Bad processes:
Killed c:\documents and settings\admin\local settings\application data\google\update\1.2.183.39\googlecrashhandler.exe
Killed c:\documents and settings\admin\local settings\application data\autobahn\autobahn.exe

Deregistred:
HKLM\...\RUN\ conhost : C:\Documents and Settings\admin\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\admin\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

Fichier HOSTS:
127.0.0.1      localhost



Finished




RogueKiller V3.8.1 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
User: Admin
Mode: Scan -- Time : 27/01/2011 17:06:37

Bad processes:
Killed c:\documents and settings\admin\local settings\application data\google\update\1.2.183.39\googlecrashhandler.exe
Killed c:\documents and settings\admin\local settings\application data\autobahn\autobahn.exe

Found:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

Fichier HOSTS:
127.0.0.1      localhost



Finished

txuku · 27/01/2011, 18h39

\Windows : load = bizarre

Perso je n ai que des \Run

Pour ton proxy a premiere vue c est configure en local avec un port ouvert - je pense que tu modifier cela dans Options Internet/Connexions/Parametres reseau ( Ie ) : cocher Detecter automatiquement les parametres de connexion.

Mais je laisse la parole ( ecrite

) a tigzy.............

tigzy · 28/01/2011, 10h48

Quelque chose relance le proxy

Citation:

Deregistred:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

---

Citation:

Found:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

Télécharge Malwarebytes, mets le à jour et passe un scan.
On dirait un Cybot: http://www.malekal.com/2010/11/15/sv...gle-gomeo-etc/

Citation:

HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\admin\Application Data\dwm.exe

van-bom · 29/01/2011, 01h35

Bonjour , et merci tigzy, txuku pour vos réponses.

j'ai réutilisé Malwarebytes , et ça l'air bon, je ne reçois plus les messages d'alertes lors du démarrage .

mais, il y a toujours le soucis de Proxy , pour IE et Chrome , même si je désactive les proxy pour ces deux navigateurs , je ne parviens pas à me connecter avec.

tigzy · 30/01/2011, 23h38

C'est normal, car MBAM ne vire pas les proxy.
Envoie le rapport MBAM, puis relance RogueKiller en mode 2 ,n'oublie pas de taper 1 pour supprimer le proxy.

Maintenant que l'infection est partie, le proxy ne devrait pas se remettre.

van-bom · 01/02/2011, 00h02

j'ai re exécuteé RogueKiller en mode 2 et j'ai répondue 1 , ça a marché pour IE ( j'ai re configuré sans proxy ) mais pour chrome je l'ai désinstaller /installer .

merci tigzy , txuku pour votre suivie .

le rapport MBAM :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5594

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/01/2011 11:31:33
mbam-log-2011-01-28 (11-31-33).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 164363
Temps écoulé: 20 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\admin\LOCALS~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\admin\local settings\application data\gfwvonh.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\anti-spyware\Log\2010 sep 25 - 11_55_36 am_406.log (Rogue.AntiSpyware) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\anti-spyware\rs.dat (Rogue.AntiSpyware) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\anti-spyware\Settings\ignorelist.stg (Rogue.AntiSpyware) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\anti-spyware\Settings\scanresults.pie (Rogue.AntiSpyware) -> Quarantined and deleted successfully.
c:\documents and settings\admin\local settings\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\admin\local settings\application data\oowpxh_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\documents and settings\admin\local settings\application data\oowpxh_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\anti-spyware scheduled scan.job (Rogue.AntiSpyware) -> Quarantined and deleted successfully.

si t'as le temps tigzy tu peux me donner des explications sur ces infectations ? où t'as un Blog qui traite ça .

tigzy · 01/02/2011, 11h21

Tu aurais le dernier rapport de RogueKiller?

Pour ton infection, jai mis le lien plus haut

van-bom · 01/02/2011, 16h30

oui tigzy j'ai pas fait attention

merci encore une fois pour ton suivie .

voici le dernier rapport RK:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
RogueKiller V3.8.1 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
User: Admin
Mode: Remove -- Time : 25/01/2011 13:39:34

Bad processes:
Killed c:\documents and settings\admin\local settings\application data\google\update\1.2.183.39\googlecrashhandler.exe
Killed c:\documents and settings\admin\local settings\application data\autobahn\autobahn.exe

Deregistred:
HKLM\...\RUN\ conhost : C:\Documents and Settings\admin\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\admin\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

Fichier HOSTS:
127.0.0.1      localhost



Finished




RogueKiller V3.8.1 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
User: Admin
Mode: Scan -- Time : 27/01/2011 17:06:37

Bad processes:
Killed c:\documents and settings\admin\local settings\application data\google\update\1.2.183.39\googlecrashhandler.exe
Killed c:\documents and settings\admin\local settings\application data\autobahn\autobahn.exe

Found:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020

Fichier HOSTS:
127.0.0.1      localhost



Finished

tigzy · 01/02/2011, 16h44

ok,

Supprime ta version de RogueKiller, télécharge la nouvelle et relance le mode 2 (REMOVE) (sur le rapport c'est le mode 1 que tu as fait)

Il me semble que le proxy est toujours là

van-bom · 01/02/2011, 21h00

oui j'ai télécharger une autre version qui contient des options :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
1 Scan
2 Delete
3 Hosts fix
4 Proxy fix
5 DNS fix

j'ai choisi le mode 2
j'ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

RogueKiller V3.9.0 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: admin [Admin rights]
Mode: Remove -- Time : 01/02/2011 19:59:16

Bad processes:

Deregistred:
HKLM\...\ControlSet002\...\Tcpip\...\Interface\{32C3C7B0-082A-496B-B956-AAB964C170DF}: 62.251.229.237 62.251.229.223...NOT REPLACED, USE DNSFIX

HOSTS File:
127.0.0.1	localhost
127.0.0.2   persov2.localhost


Finished

tigzy · 02/02/2011, 09h00

Tu me confirmes être au maroc?

EDIT: plus de proxy, tu as récupéré internet sur IE?

van-bom · 02/02/2011, 20h55

bonjour , merci tigzy pour ton suivie

oui confirmer . pourquoi ?

je me connecte très bien avec IE et chrome , il y a plus de problème de proxy server .

tigzy · 03/02/2011, 09h06

ok,

c'était pour le serveur DNS, savoir s'il était légitime ou pas.

on peut faire un petit diag pour vérifier que tout va bien

• Télécharge ZHPDiag sur le bureau, et lance le

• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

van-bom · 03/02/2011, 18h34

bonjour ,
voici le rapport : MBRCheck_02.03.11_16.45.30.txt

à vrai dire je n'ai pas arriver à ce niveau d'analyse de mon système

tu peux STP m'expliquer .

tigzy · 04/02/2011, 09h10

Tu m'as fait un rapport avec MBRCheck ,c'était un ZHPdiag qu'a j’attendais

27/01/2011, 13h33	#5
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Salut Tu es infecté * Télécharge sur le bureau RogueKiller (par tigzy) * Quitte tous tes programmes en cours * Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur * Sinon, lance simplement RogueKiller.exe. * Lorsque demandé, tape 2 et valide * Si le programme demande pour un proxy, tape 1 * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. __________________ Développeur de RogueKiller
	00

30/01/2011, 23h38	#10
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	C'est normal, car MBAM ne vire pas les proxy. Envoie le rapport MBAM, puis relance RogueKiller en mode 2 ,n'oublie pas de taper 1 pour supprimer le proxy. Maintenant que l'infection est partie, le proxy ne devrait pas se remettre. __________________ Développeur de RogueKiller
	00

01/02/2011, 11h21	#12
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Tu aurais le dernier rapport de RogueKiller? Pour ton infection, jai mis le lien plus haut __________________ Développeur de RogueKiller
	00

01/02/2011, 16h44	#14
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	ok, Supprime ta version de RogueKiller, télécharge la nouvelle et relance le mode 2 (REMOVE) (sur le rapport c'est le mode 1 que tu as fait) Il me semble que le proxy est toujours là __________________ Développeur de RogueKiller
	10

02/02/2011, 09h00	#16
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Tu me confirmes être au maroc? EDIT: plus de proxy, tu as récupéré internet sur IE? __________________ Développeur de RogueKiller
	00

25/01/2011, 09h33	#2
txuku Membre chevronné Inscription : octobre 2008 Messages : 534 Détails du profil Informations personnelles : Âge : 63 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations forums : Inscription : octobre 2008 Messages : 534 Points : 685 Points : 685	Bonjour van-bom Pour moi c est un virus. As tu fait un scan MalwareBytes ? un scan antivirus en mode sans echec ou au demarrage du pc ? Jettes un oeil ICI
	00

25/01/2011, 22h11	#3
van-bom Membre du Club Inscription : août 2007 Messages : 169 Détails du profil Informations forums : Inscription : août 2007 Messages : 169 Points : 50 Points : 50	salut txuku et merci pour ta réponse . sur mon PC j'ai l'AVG free edition , ile ne détecte rien . j'ai suivi le lien que tu m' indiqué , j'ai utilisé le malwarebytes-anti-malware , il détecter certains fichier infecter que j'ai supprimer . mais je reçois toujours les mêmes messages d'alertes lors du démarrage.
	00

25/01/2011, 22h55	#4
txuku Membre chevronné Inscription : octobre 2008 Messages : 534 Détails du profil Informations personnelles : Âge : 63 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations forums : Inscription : octobre 2008 Messages : 534 Points : 685 Points : 685	Regardes dans msconfig ce qui est lance au demarrage et fais une recherche csrss.exe dans le registre ( dans ces clef particulierement : HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce csrss.exe se trouve normalement dans System32.
	00

27/01/2011, 18h39	#7
txuku Membre chevronné Inscription : octobre 2008 Messages : 534 Détails du profil Informations personnelles : Âge : 63 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations forums : Inscription : octobre 2008 Messages : 534 Points : 685 Points : 685	\Windows : load = bizarre Perso je n ai que des \Run Pour ton proxy a premiere vue c est configure en local avec un port ouvert - je pense que tu modifier cela dans Options Internet/Connexions/Parametres reseau ( Ie ) : cocher Detecter automatiquement les parametres de connexion. Mais je laisse la parole ( ecrite ) a tigzy.............
	00

29/01/2011, 01h35	#9
van-bom Membre du Club Inscription : août 2007 Messages : 169 Détails du profil Informations forums : Inscription : août 2007 Messages : 169 Points : 50 Points : 50	Bonjour , et merci tigzy, txuku pour vos réponses. j'ai réutilisé Malwarebytes , et ça l'air bon, je ne reçois plus les messages d'alertes lors du démarrage . mais, il y a toujours le soucis de Proxy , pour IE et Chrome , même si je désactive les proxy pour ces deux navigateurs , je ne parviens pas à me connecter avec.
	00

02/02/2011, 20h55	#17
van-bom Membre du Club Inscription : août 2007 Messages : 169 Détails du profil Informations forums : Inscription : août 2007 Messages : 169 Points : 50 Points : 50	bonjour , merci tigzy pour ton suivie oui confirmer . pourquoi ? je me connecte très bien avec IE et chrome , il y a plus de problème de proxy server .
	00

03/02/2011, 09h06	#18
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	ok, c'était pour le serveur DNS, savoir s'il était légitime ou pas. on peut faire un petit diag pour vérifier que tout va bien • Télécharge ZHPDiag sur le bureau, et lance le • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. • Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin • Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. __________________ Développeur de RogueKiller
	00

03/02/2011, 18h34	#19
van-bom Membre du Club Inscription : août 2007 Messages : 169 Détails du profil Informations forums : Inscription : août 2007 Messages : 169 Points : 50 Points : 50	bonjour , voici le rapport : MBRCheck_02.03.11_16.45.30.txt à vrai dire je n'ai pas arriver à ce niveau d'analyse de mon système tu peux STP m'expliquer .
	00

04/02/2011, 09h10	#20
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Tu m'as fait un rapport avec MBRCheck ,c'était un ZHPdiag qu'a j’attendais __________________ Développeur de RogueKiller
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email