csrss.exe Fermé

Question

bonjourj'ai fait un scan avec hijacfree de a2 et j'ai ceci csrss.exe %systempath%\ csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows.  csrss.exe %winpath%\ This worm is transmitted via e-mail and attempts to install itself on your computer. ensuite j'ai fait un scan avec hijack mais je ne trouve pas la ligne correspondant à cecicorreLogfile of HijackThis v1.99.1Scan saved at 22:04:20, on 23/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXEC:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exeC:\Program Files\Microsoft IntelliType Pro	ype32.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\PROGRA~1\Grisoft\AVG7\avgemc.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\Microsoft Money\System\mnyexpr.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\svchost.exeC:\Documents and Settings\--\Bureau\Protection\A2 FREE\a2hijackfree.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\--\Bureau\Protection\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exeO4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TrueImage] "C:\Program Files\Micro Application\Cloneur Express\Cloneur Express.exe" /create_hiddenO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.bigfishgames.com/online/ricochetlostworlds/ReflexiveWebGameLoader.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Fichiers communs\SC Test Branding 1 Shared\Service\SCTestService1.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeje ne sais pas interpreter hijacthis et me sert de l'autre pour identifier les problèmes, c'est la seule solution que j'ai trouvée. Quelqu'un pourrait-il me dire ce que je dois faire ?en plus hier hijackfree me signalait un problème sur le port 1029 et auj je ne le vois plus sur le scan. bizarre non ?en tout cas merci d'avance à qui voudra bien m'aider

M.Lavaux · Answer

Hijackthis est un outil de diagnostique et de "premiers secours".
Son utilisation n'est pas très compliquée mais opaque pour "le profane".

Hijack ouvre certaines lignes ciblées de la base de registre.
Son utilisation est indispensable pour supprimer certaines modifications créées par des virus et co.

Il faut être prudent quant à ce que l'on supprime (cela risque d'empêcher l'ordinateur de fonctionner correctement).

----

Les explications complètes et détaillées peuvent être trouvée, par exemple, sur le site :
http://www.zebulon.fr/articles/HijackThis.php
(Il est fortement conseillé de les lire)

----

Sinon, de manière générale,

Supprimer les 00 et 01 S'ils renvoient vers des pages non désirées et uniquement dans ce cas (ils seront automatiquement re-créés avec une valeur vide)

Supprimer les 02 avec la mention BHO qui renvoient vers un site non désiré.

Supprimer les O9 qui ne correspondent pas à un menu ou un bouton utilisé.

Supprimer les O16 et les 017 qui renvoient vers un site non désiré

---

Il existe aussi un outil d'analyse en ligne qui propose des CONSEILS (attention être très attentif, ne pas tout supprimer, vérifier avant) :

http://www.hijackthis.de/index.php?langselect=french

Dans votre cas, ce site vous dit de supprimer la ligne de free-search ; je ne pense pas que ce soit indispensable si vous utilisez effectivement l'outil de recherche de free comme outil de recherche par défaut.

Bon travail

Niouws · Answer

Ceci est un vers, je ne me rappelle plus le quelle antouca il est détecté pas kaspersky ou bitdefender

Csrss.exe

2 réponses

Discussions similaires