Alerte menace Avast 5: csrss.exe et mdm.exe [Résolu/Fermé]

Signaler
-
 Max -
Bonjour,

J'ai un problème de virus: Avast 5 me fait des alertes de sécurité sur csrss.exe et mdm.exe dans un dossier Temp, j'ai fais des scan pour les supprimer mais ils reviennent toujours, comment faire pour s'en débarrasser? Comment se fait t'il qu'ils se sont installés alors que j'ai toujours Avast 5 actif? J'ai Windows 7 64bits. Merci

18 réponses

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Faire un scan de ce fichier clipsrv.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\Users\Max\AppData\Roaming\clipsrv.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Faire également un scan de ces fichiers :
C:\Users\Max\AppData\Roaming\rsvp.exe
C:\Users\Max\AppData\Local\mstsc.exe
C:\Users\Max\AppData\Roaming\logman.exe


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Double clic sur OTL.exe pour le lancer.
(Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
PRC - C:\Users\Max\AppData\Local\Temp\esentutl.exe ()
O3 - HKU\S-1-5-21-1053431359-2391526996-2990412935-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM\..\Run: [] File not found
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O4 - HKU\S-1-5-21-1053431359-2391526996-2990412935-1001\..\Run: [EPSON SX210 Series] C:\Windows\SysWow64\spool\DRIVERS\x64\3\E_IATIFDE.EXE File not found
O4 - HKU\S-1-5-21-1053431359-2391526996-2990412935-1001\..\Run: [msnmsgr] C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe File not found
O4 - HKU\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O4 - HKU\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
F3:[b]64bit:/b - HKU\S-1-5-21-1053431359-2391526996-2990412935-1001 WinNT: Load - (C:\Users\Max\AppData\Local\Temp\esentutl.exe) - C:\Users\Max\AppData\Local\Temp\esentutl.exe ()
F3 - HKU\S-1-5-21-1053431359-2391526996-2990412935-1001 WinNT: Load - (C:\Users\Max\AppData\Local\Temp\esentutl.exe) - C:\Users\Max\AppData\Local\Temp\esentutl.exe ()
O18:[b]64bit:/b - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found
O18:[b]64bit:/b - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found

:Files
C:\Users\Max\AppData\Roaming\rsvp.exe
C:\Users\Max\AppData\Local\mstsc.exe
C:\Users\Max\AppData\Roaming\logman.exe
C:\Users\Max\AppData\Roaming\clipsrv.exe
C:\Windows\ ÷»

:Commands
[Emptytemp]



* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----


-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec et choisis ta session habituelle.

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max le foooooooooooo


LOL :-D

Je sais pas pour ton problème de nom, peut-être le mieux serais que tu t'enregistres.


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.
(Vista/Seven --> Faire un clic droit sur SystemLook.exe pour le lancer et choisi "Exécuter en tant qu'administrateur".)

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

:filefind
esentutl.exe


- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Je pense pas que tu auras d'autre alerte, on va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


On a pas fini, pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

Tutoriel Seven :
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Faire un clic droit sur ToolsCleaner2.exe sur le bureau et choisi "Exécuter en tant qu'administrateur".
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Merci pour cette réponse rapide, j'ai suivi tes instructions et voila:

le OTL: https://www.cjoint.com/?gAptBgKkoP

le EXTRAS: https://www.cjoint.com/?gApu0QPykA
Que doit je faire maintenant?
clipsrv:

http://www.virustotal.com/fr/analisis/7c717daa26e3f3d47d3e34c02f6ade49a36edcad86e7db4eee23b3f9c7e8285a-1277562544

Je fais les autres en ce moment
rsvp:

http://www.virustotal.com/fr/analisis/7c717daa26e3f3d47d3e34c02f6ade49a36edcad86e7db4eee23b3f9c7e8285a-1277562767

logman:

http://www.virustotal.com/fr/analisis/7c717daa26e3f3d47d3e34c02f6ade49a36edcad86e7db4eee23b3f9c7e8285a-1277562900

mstsc:

http://www.virustotal.com/fr/analisis/7c717daa26e3f3d47d3e34c02f6ade49a36edcad86e7db4eee23b3f9c7e8285a-1277563038


VirusTotal m'a dit a chaque fois que le fichier a déjà été analysé et à la même heure que le premier, je pense que c'est tous le même fichier.
Merci, voila le rapport d'OTL:

https://www.cjoint.com/?gArrhghnGY

Je continue de faire le reste

Par contre je ne peut pas changer mon nom pour poster c'est bloqué avec"foo"?!
Ben mon nom est encore bloqué?! C'est fou!

Bref, voila le dernier rapport de MalwareByte's:

https://www.cjoint.com/?gAr3ZjdsjK

Après le scan il m'a dit qu'il y avait un fichier infecté et qu'il serai supprimé au redémarrage, au redémarrage avast m'a demandé si je je voulais laisser MalwareByte's apporter des modifications, j'ai bien sur répondu oui.

Le fichier n'y est maintenant plus.
Je vais faire un scan pour vérifier mais apparemment la procédure a bien marchée.

Merci beaucoup, j'attends quelques jours et si je n'est plus d'alerte je marque comme résolu.
Voila ce résultat:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 22:47 on 26/06/2010 by Max (Administrator - Elevation successful)

========== filefind ==========

Searching for "esentutl.exe "
C:\Windows\System32\esentutl.exe --a--- 123392 bytes [23:32 13/07/2009] [01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011
C:\Windows\SysWOW64\esentutl.exe --a--- 123392 bytes [23:32 13/07/2009] [01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011
C:\Windows\winsxs\amd64_microsoft-windows-e..ageengine-utilities_31bf3856ad364e35_6.1.7600.16385_none_3580dea4def227d4\esentutl.exe --a--- 139264 bytes [23:49 13/07/2009] [01:39 14/07/2009] 4779E21FED99E1A58B722313DF0D45A9
C:\Windows\winsxs\x86_microsoft-windows-e..ageengine-utilities_31bf3856ad364e35_6.1.7600.16385_none_d96243212694b69e\esentutl.exe --a--- 123392 bytes [23:32 13/07/2009] [01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011
C:\_OTL\MovedFiles\06262010_171220\C_Users\Max\AppData\Local\Temp\esentutl.exe --a--- 355328 bytes [05:38 24/06/2010] [16:11 22/06/2010] 655E2C3532957200035ABB986128D0E4

-=End Of File=-


Je n'est toujours pas eu d'alertes donc je touche du bois.
C'est fait et il n'a rien trouvé.
Merci pour tout je repasse dans quelques jours pour confirmer que mon pc est bien desinfecté en marquant comme résolu ce sujet.
Salut,

- J'ai supprimé les points de restauration.

- Tools cleaner se bloque et ne réponds plus (incompatible 64 bits?) donc pour l'instant j'ai rassemblé tout les fichiers que j'ai téléchargé pour la désinfection dans un dossier que je peux facilement supprimer ( Je laisse MalwareByte's et CCleaner installés)

- Mon Windows se met à jour tout seul et il vient de le faire ce matin.

- J'ai fais le scan en ligne (j'ai du installer java pour ca) qui m'a indiqué que j'avais 2 programmes qui avaient des problèmes de sécurité car non à jour: Flash player et un autre Macromédia. J'ai donc téléchargé les dernières MàJ. J'ai refait un scan après qui me dit qu'il n'a pas détecté de problème de sécurité sur mon PC.

- J'ai utilisé CCleaner pour nettoyer le pc et réparer les erreurs de la base de registre.
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Max


Je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..) https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

Bonne journée/soirée et bon surf


@++ :)