Infection ? csrss.exe[RESOLU]

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Infection ? csrss.exe[RESOLU]

Messagepar byp » 10 Mai 2011 08:44

Bonjour à toutes et tous,

Depuis hier, j'ai quelques problèmes avec le fichier

Document & settings\moncompte\localsetting1\temp\csrss.exetings\temp\csrss.exe

J'ai bien essayé de voir avec Panda pour la résolution du système sans succès.

Peut-être une idée & aide ? D'avance merci.
Dernière édition par byp le 12 Mai 2011 04:46, édité 1 fois.
Avatar de l’utilisateur
byp
Super Libellulien
Super Libellulien
 
Messages: 4087
Inscription: 08 Aoû 2007 08:00
Localisation: Genève

Re: Infection ? csrss.exe

Messagepar nardino » 10 Mai 2011 10:02

Bonjour
Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

1- Image Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

Image Double-clique sur le fichier mbam-setup-1.50.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
    -Mettre à jour Malwarebytes' Anti-Malware
    -Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

2- Image Télécharge ZHPDiag de Nicolas Coolman sur ton bureau.

Explication en images

Si besoin est, nous ferons appel à d'autres outils.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Infection ? csrss.exe

Messagepar byp » 10 Mai 2011 15:18

Bonsoir nardino,

un grand merci pour m'avoir répondu et également pour tes instructions très précises.

Faute de temps je n'ai exécuté que MAM dont le rapport est ci-dessous.
Je vais fermer mon PC et ne l'ouvrirai que demain matin en continuant avec ZHPDiag
Bonne soirée


Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Version de la base de données: 6546

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.05.2011 16:15:32
mbam-log-2011-05-10 (16-15-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 152783
Temps écoulé: 7 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
e:\documents and settings\COMPTE\application data\dwm.exe (Trojan.Downloader) -> 628 -> Unloaded process successfully.
e:\documents and settings\COMPTE\application data\microsoft\conhost.exe (Trojan.Backdoor.Gen) -> 2172 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Backdoor.Gen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Backdoor.Gen) -> Bad: (E:\DOCUME~1\COMPTE\LOCALS~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
e:\documents and settings\COMPTE\application data\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
e:\documents and settings\COMPTE\application data\microsoft\conhost.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
e:\Documents and Settings\COMPTE\Local Settings\Temp\csrss.exe (Trojan.Backdoor.Gen) -> Delete on reboot.
e:\documents and settings\COMPTE\local settings\Temp\2.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
e:\documents and settings\COMPTE\local settings\Temp\56.exe (Trojan.Backdoor.Gen) -> Quarantined and deleted successfully.
Dernière édition par byp le 12 Mai 2011 04:50, édité 1 fois.
Avatar de l’utilisateur
byp
Super Libellulien
Super Libellulien
 
Messages: 4087
Inscription: 08 Aoû 2007 08:00
Localisation: Genève

Re: Infection ? csrss.exe

Messagepar byp » 11 Mai 2011 04:01

Bonjour nardino,
Ce matin au démarrage tout s'est bien passé, plus de messages d'avertissement de mon PC ou de Panda.

La seule différence a été que dans FireFox outils / avancé / réseau / configurer la façons FF se connecte à internet - Parametre / la case utiliser les parametres proxy du système était cochée (première fois que je vois ça) alors que je n'ai pas de proxy. J'ai re-coché la case pas de proxy et tout fonctionne bien.

Je vais attendre un peu avant d'aller plus loin avec ZHPDiag ou faut-il malgré tout le faire ?
Avatar de l’utilisateur
byp
Super Libellulien
Super Libellulien
 
Messages: 4087
Inscription: 08 Aoû 2007 08:00
Localisation: Genève

Re: Infection ? csrss.exe[RESOLU]

Messagepar byp » 12 Mai 2011 04:53

Re...

Après plusieurs redémarrage et 2 jours, plus aucun signe de problème. Il semble que MBAM ait fait son travail correctement.

Merci pour ton aide nardino

Bonne fin de semaine et WE.
Avatar de l’utilisateur
byp
Super Libellulien
Super Libellulien
 
Messages: 4087
Inscription: 08 Aoû 2007 08:00
Localisation: Genève


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités