Problème CSRSS.EXE Résolu/Fermé

Question

Bonjour à tous,

J'ai été infecté par un virus dernièrement qui m'empêchait notamment d'accéder à Internet (indication: Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions) mais aussi faisait ralentir considérablement mon ordinateur.

Pour y remédier, j'ai effectué une analyse complète avec Malwarebyte qui m'a effectivement trouvé une erreur dans le registre: 

"ElÈment(s) de donnÈes du Registre infectÈ(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Data: c:\docume~1\marie\locals~1	emp\csrss.exe -> Quarantined and deleted successfully.

Dossier(s) infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ)

Fichier(s) infectÈ(s): c:\documents and settings\Marie\Local Settings	emp\csrss.exe (Trojan.Agent) -> Delete on reboot."

Après redémarrage, j'ai le message suivant: 

"Windows ne trouve pas c / document...1 / Marie / Locals...1 / Temp / csrss.exe Vérifiez que vous avez entré le nom directement et réessayez"

puis

"Impossible de charger ou d'éxecuter crsss.exe spécifié dans le registre. Vérifiez que le fichier existe sur votre ordinateur.

C'est là que je m'en remets à CCM car je ne sais plus du tout quoi faire.

Merci de votre aide précieuse

Marie · Accepted Answer

Quelqu'un a t-il une idée? merci!

Lyonnais92 · Answer

Bonjour,

c'est une bonne nouvelle que le fichier ait disparu.

Il doit rester une clé de registre.

Tu vas faire ça qui me permettra de voir si il y a d'autre restes de l'infection et d'avoir un outil pour supprimer la clé :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Marie · Answer

Merci pour la rapidité Lyonnais92,

Tu trouveras sur le lien suivant le rapport de ZHPDIAG:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijyRjwaa1.txt

Que faire à présent?

Lyonnais92 · Answer

Re,

ouais, ... tu avais fais quoi pour te faire infecter comme ça ?

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32	msysio.sys
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

===
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57333
O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.


===
 * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

===

2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

(choisis la version free)

 
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4 

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

===

Fais redémarrer l'ordi.

Refais tourner ZHPDiag.

Poste le nouveau rapport dans un lien Cijoint.

Marie · Answer

Merci encore,

Je suis désolée pour le délai mais je postais depuis un ordinateur sur Safari et Safari bugait dès lors que je voulais poster la réponse...

Voici donc les rapports demandés:

1) Virustotal

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.05.02.00	2011.05.01	-
AntiVir	7.11.7.93	2011.05.01	-
Antiy-AVL	2.0.3.7	2011.05.01	-
Avast	4.8.1351.0	2011.05.01	-
Avast5	5.0.677.0	2011.05.01	-
AVG	10.0.0.1190	2011.05.01	-
BitDefender	7.2	2011.05.01	-
CAT-QuickHeal	11.00	2011.04.30	-
ClamAV	0.97.0.0	2011.05.01	-
Commtouch	5.3.2.6	2011.05.01	-
Comodo	8545	2011.05.01	-
DrWeb	5.0.2.03300	2011.05.01	-
Emsisoft	5.1.0.5	2011.05.01	-
eSafe	7.0.17.0	2011.05.01	-
eTrust-Vet	36.1.8299	2011.04.29	-
F-Prot	4.6.2.117	2011.05.01	-
F-Secure	9.0.16440.0	2011.05.01	-
Fortinet	4.2.257.0	2011.05.01	-
GData	22	2011.05.01	-
Ikarus	T3.1.1.103.0	2011.05.01	-
Jiangmin	13.0.900	2011.05.01	-
K7AntiVirus	9.98.4527	2011.04.30	-
Kaspersky	9.0.0.837	2011.05.01	-
McAfee	5.400.0.1158	2011.05.01	-
McAfee-GW-Edition	2010.1D	2011.05.01	-
Microsoft	1.6802	2011.05.01	-
NOD32	6086	2011.05.01	-
Norman	6.07.07	2011.05.01	-
Panda	10.0.3.5	2011.05.01	-
PCTools	7.0.3.5	2011.04.29	-
Prevx	3.0	2011.05.01	-
Rising	23.55.04.03	2011.04.29	-
Sophos	4.64.0	2011.05.01	-
SUPERAntiSpyware	4.40.0.1006	2011.05.01	-
Symantec	20101.3.2.89	2011.05.01	-
TheHacker	6.7.0.1.184	2011.04.30	-
TrendMicro	9.200.0.1012	2011.05.01	-
TrendMicro-HouseCall	9.200.0.1012	2011.05.01	-
VBA32	3.12.16.0	2011.04.29	-
VIPRE	9169	2011.05.01	-
ViRobot	2011.4.30.4439	2011.05.01	-
VirusBuster	13.6.330.0	2011.05.01	-
Additional information
Show all
MD5   : d01e52d64ea6661b549c264154433034
SHA1  : b1d95fe538a1c5784480dc38f1aca9ae197acc4c
SHA256: 0cbc0c242b73b8a5496ded065dccb7005bf4f7fa21e75ec361c3c73fa5529a2b
ssdeep: 48:insdsMNUQlktG1NHFtxwKxkR8QbuK8QXaoR/5z65I3RsY0REtkuS5h2uU5u4Ok3Y:6sdsmhk
tGTFtWKy8obKm6yfdOk3H4
File size : 4113 bytes
First seen: 2011-05-01 17:32:47
Last seen : 2011-05-01 17:32:47
TrID: 
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck: 
publisher....: Tamarix Systems, Inc.
copyright....: Copyright (c) 2003
product......: Tamarix Systems
description..: tmsysio.sys
original name: tmsysio.sys
internal name: tmsysio.sys
file version.: 1, 0, 0, 1
comments.....: 
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x308
timedatestamp....: 0x3FB105E1 (Tue Nov 11 15:53:05 2003)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x2C0, 0x432, 0x440, 5.92, 0771ff4e853b704dab657f8bff398539
.rdata, 0x700, 0xA4, 0xC0, 2.31, 6c66f3dc4a29f3091f82c309bfe91bc1
.data, 0x7C0, 0x4, 0x20, 0.00, 70bc8f4b72a86921468bf8e8441dce51
INIT, 0x7E0, 0x218, 0x220, 4.96, 188e45826be3fd610d8dca6966abf6f7
.rsrc, 0xA00, 0x3E0, 0x3E0, 3.24, 435b836291a17b0f06d3115268d65822
.reloc, 0xDE0, 0x6C, 0x80, 3.39, 6f7bfe20f1094ae37cbd0d628c6c3581

[[ 2 import(s) ]]
ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, MmAllocateNonCachedMemory, MmFreeNonCachedMemory, Ke386SetIoAccessMap, IoCreateSymbolicLink, IofCompleteRequest, Ke386IoSetAccessProcess, IoDeleteSymbolicLink, ZwClose, ZwMapViewOfSection, ObReferenceObjectByHandle, ZwOpenSection, ZwUnmapViewOfSection, IoDeleteDevice, IoGetCurrentProcess
HAL.dll: HalTranslateBusAddress

Marie · Answer

2) ZHPFix

Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-01-05-2011-19-40-36.txt
Run by Marie at 01/05/2011 19:40:36
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== ClÈ(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE  => ClÈ supprimÈe avec succËs

========== ElÈment(s) de donnÈe du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57333  => DonnÈe supprimÈe avec succËs


========== RÈcapitulatif ==========
1 : ClÈ(s) du Registre
1 : ElÈment(s) de donnÈe du Registre


End of the scan

Marie · Answer

3) Le rapport Adremover

http://www.cijoint.fr/cjlink.php?file=cj201105/cijYFyyW9A.txt

Marie · Answer

4) MBAM

Malwarebytes' Anti-Malware 1.38
Version de la base de donnÈes: 2308
Windows 5.1.2600 Service Pack 3

01/05/2011 20:07:00
mbam-log-2011-05-01 (20-07-00).txt

Type de recherche: Examen rapide
ElÈments examinÈs: 124912
Temps ÈcoulÈ: 8 minute(s), 49 second(s)

Processus mÈmoire infectÈ(s): 0
Module(s) mÈmoire infectÈ(s): 0
ClÈ(s) du Registre infectÈe(s): 0
Valeur(s) du Registre infectÈe(s): 0
ElÈment(s) de donnÈes du Registre infectÈ(s): 0
Dossier(s) infectÈ(s): 0
Fichier(s) infectÈ(s): 0

Processus mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Module(s) mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ClÈ(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Valeur(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ElÈment(s) de donnÈes du Registre infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Dossier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Fichier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Marie · Answer

5) ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201105/cijnMdZoJ6.txt

Voilà pour les rapports. Je suis encore désolée d'avoir du poster ça dans différentes réponses mais CCM m'indiquait soit qu'il manquait un titre, soit que j'écrivais en langage SMS.

Sinon, je ne sais pas si c'est important mais quand je démarre l'ordinateur, il continue a m'indiquer le message d'erreur concernant CSRSS.EXE

Merci encore,

Lyonnais92 · Answer

Bonjour,

un petit souci avec ton clavier (ou ton navigateur).

C'est toi qui a installé WhiteSmokeTranslator ?

Tu t'en sers ?

Relance ZHPDiag, clique sur les jumelles pour lancer ZHPSearch.

Vérifie que les 4 cases de la colonne Mode de recherche sont cochées.

Tape csrss.exe dans la fenêtre et clique sur la loupe pour lancer l'analyse.

Poste le rapport dans ta réponse.

Marie · Answer

Bonsoir,

Je ne connais pas le logiciel WhiteSmokeTranslator, je ne me souviens pas l'avoir installé... donc il serait bon que je le supprime.

Sinon, tu trouveras le rapport ZHP sur le lien suivant: 
http://www.cijoint.fr/cjlink.php?file=cj201105/cijP4gRPeM.txt

Je suis obligé te te le mettre en ci-joint car Safari fait des siennes avec le forum CCM..

Merci encore,

Lyonnais92 · Answer

Bonsoir,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)) :
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Load=-

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom csrss.reg.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

REG:csrss.reg
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
[HKCU\Software\WhiteSmokeTranslator]
[HKLM\Software\WhiteSmokeTranslator]
O43 - CFD: 27/03/2008 - 19:31:02 - [0] ----D- C:\Program Files\MSTpscre
O43 - CFD: 30/08/2010 - 22:18:28 - [38] ----D- C:\Documents and Settings\Marie\Application Data\WhiteSmokeTranslator
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(...) - LEGACY_AAVMKER4
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(...) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(...) - LEGACY_ASWMON2
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(...) - LEGACY_ASWRDR
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(...) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(...) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE
[HKCR\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCR\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Fais redémarrer l'ordi et dis moi si tu as encore le message.

Lyonnais92 · Answer

Re, 

tu mettras à jour MBAM (pas seulement la base virale, mais le programme aussi). 

Si tu n'y arrives pas, supprime le fichier et télécharge le ici : 

https://www.malwarebytes.com/premium/ 

(tu choisis la version Free). 

Tu fais un scan rapide et tu postes le rapport.
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

Marie · Answer

Bonsoir,

Pour ce qui est du début de ta demande, j'ai copié la ligne en question, puis collé dans un bloc note que j'ai placé dans le dossier spécifié et enfin renomé en csrss.reg... je ne sais pas si c'est ce qu'il fallait que je fasse.

Sinon, tu trouveras le rapport d'exécution de ZHPFix ci-dessous:

Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-05-2011-19-26-21.txt
Run by Marie at 04/05/2011 19:26:21
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== ClÈ(s) du Registre ==========
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]  => ClÈ supprimÈe avec succËs
[HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]  => ClÈ supprimÈe avec succËs
HKCU\Software\WhiteSmokeTranslator  => ClÈ supprimÈe avec succËs
HKLM\Software\WhiteSmokeTranslator  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(...) - LEGACY_AAVMKER4  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(...) - LEGACY_ASWFSBLK  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(...) - LEGACY_ASWMON2  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(...) - LEGACY_ASWRDR  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(...) - LEGACY_ASWSP  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(...) - LEGACY_ASWTDI  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE  => ClÈ supprimÈe avec succËs
HKCR\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}  => ClÈ non supprimÈe
HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}  => ClÈ non supprimÈe
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => ClÈ non supprimÈe
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => ClÈ supprimÈe avec succËs
HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => ClÈ non supprimÈe
HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => ClÈ non supprimÈe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => ClÈ supprimÈe avec succËs
HKCR\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF  => ClÈ supprimÈe avec succËs
HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF  => ClÈ absente

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} ClÈ orpheline  => Valeur supprimÈe avec succËs

========== Dossier(s) ==========
C:\Program Files\MSTpscre  => SupprimÈ et mis en quarantaine
C:\Documents and Settings\Marie\Application Data\WhiteSmokeTranslator  => SupprimÈ et mis en quarantaine

========== Script Registre ==========
REG:C:\Program Files\ZHPDiag\csrss.reg  => Script de registre fusionnÈ


========== RÈcapitulatif ==========
20 : ClÈ(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)
1 : Script Registre


End of the scan

Au démarrage, windows m'a indiqué qu'il procédait à une vérification de l'intégrité de mon disque (en citant notamment FAT), puis a redémarré jusqu'à ce que les messages d'erreur csrss.exe réaparaissent. Quand je réessaie internet, le problème indiqué est également toujours le même: "Firefox est configuré pour utiliser un serveur proxy, mais celui-ci n'accepte pas les connexions".

Sinon, j'ai réinstallé MBAM suivant tes conseils. Le problème lors du lancement est qu'il m'indique que la base date de 135 jours et qu'il souhaite être mis à jour. Le processus ne peut pas se faire car ma connexion internet est bloquée...

Tu trouveras malgré tout le scan rapide ci-dessous:

lwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de donnÈes: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04/05/2011 20:03:31
mbam-log-2011-05-04 (20-03-25).txt

Type d'examen: Examen rapide
ElÈment(s) analysÈ(s): 190041
Temps ÈcoulÈ: 12 minute(s), 35 seconde(s)

Processus mÈmoire infectÈ(s): 0
Module(s) mÈmoire infectÈ(s): 0
ClÈ(s) du Registre infectÈe(s): 0
Valeur(s) du Registre infectÈe(s): 1
ElÈment(s) de donnÈes du Registre infectÈ(s): 0
Dossier(s) infectÈ(s): 0
Fichier(s) infectÈ(s): 1

Processus mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Module(s) mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ClÈ(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Valeur(s) du Registre infectÈe(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.

ElÈment(s) de donnÈes du Registre infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Dossier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Fichier(s) infectÈ(s):
c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> No action taken.

Merci encore,

Lyonnais92 · Answer

Bonjour,

* Télécharge sur le bureau RogueKiller (par tigzy)

https://www.luanagames.com/index.fr.html

* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

===

Relance RogueKiller,

Tape 4 et valide.

Poste le nouveau rapport.

===

Reessaye la mise à jour de MBAM.

Si elle se fait, relance un scan rapide.

Mets en quarantaine ce qu'il trouve et poste le rapport.

Si tu lis "Delete on reboot", fais redémarrer l'ordi.

===

Relance ZHPDiag et poste le rapport dans un lien Cijoint.

Marie · Answer

Bonjour, Voilà les résultats de RogueKiller: 1) RogueKiller V4.3.12 [30/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Marie [Droits d'admin] Mode: Recherche -- Date : 05/05/2011 18:36:52 Processus malicieux: 0 Entrees de registre: 5 [APPDT/TMP/DESKTOP] HKCU\[...]\Windows : Load (C:\DOCUME~1\Marie\LOCALS~1\Temp\csrss.exe) -> FOUND [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-2144710343-2835179638-1600071613-1006[...]\Windows : Load (C:\DOCUME~1\Marie\LOCALS~1\Temp\csrss.exe) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://127.0.0.1:8080) -> FOUND [PROXY FF] ntboz0i0.default\ 127.0.0.1:57333 -> FOUND Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt 2) RogueKiller V4.3.12 [30/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Marie [Droits d'admin] Mode: Proxy RAZ -- Date : 05/05/2011 18:38:06 Processus malicieux: 0 Entrees de registre: 3 [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0) [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://127.0.0.1:8080) -> DELETED [PROXY FF] ntboz0i0.default\ 127.0.0.1:57333 -> DELETED Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Par contre, la mise à jour de MBAM n'a pas pu se faire, je n'ai donc pas lancé de scan rapide. Ca me fait repenser qu'hier, suite au scan MBAM, je n'ai rien supprimé de ce qui était indiqué comme étant en quarantaine. Peut être aurais-je du le faire...? J'ai tout de même effectué un scan ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201105/cijeDyptYT.txt Bonne journée,

Lyonnais92 · Answer

Bonjour,

relance RogueKiller avec l'option 2 (suppression).

Normalement, tu devrais pouvoir mettre à jour MBAM.

A la fin du scan, il faut effectivement tout mettre en quarantaine.

Tu postes les 2 rapports (RogueKiller et MBAM).

Marie · Answer

Bonjour, Alors, voilà le résultat de RogueKiller: RogueKiller V4.3.12 [30/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Marie [Droits d'admin] Mode: Suppression -- Date : 07/05/2011 10:28:29 Processus malicieux: 0 Entrees de registre: 1 [APPDT/TMP/DESKTOP] HKCU\[...]\Windows : Load (C:\DOCUME~1\Marie\LOCALS~1\Temp\csrss.exe) -> DELETED Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt Pour ce qui est de MBAM, j'ai oublié sur le coup de connecter mon cable ethernet: la mise à jour ne s'est donc pas effectuée. J'ai toutefois fait un scan rapide et mis en quarantaine les éléments infectés. Voici le log: alwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de donnÈes: 5363 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 07/05/2011 10:48:23 mbam-log-2011-05-07 (10-48-23).txt Type d'examen: Examen rapide ElÈment(s) analysÈ(s): 190069 Temps ÈcoulÈ: 17 minute(s), 35 seconde(s) Processus mÈmoire infectÈ(s): 0 Module(s) mÈmoire infectÈ(s): 0 ClÈ(s) du Registre infectÈe(s): 0 Valeur(s) du Registre infectÈe(s): 0 ElÈment(s) de donnÈes du Registre infectÈ(s): 0 Dossier(s) infectÈ(s): 0 Fichier(s) infectÈ(s): 1 Processus mÈmoire infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Module(s) mÈmoire infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) ClÈ(s) du Registre infectÈe(s): (Aucun ÈlÈment nuisible dÈtectÈ) Valeur(s) du Registre infectÈe(s): (Aucun ÈlÈment nuisible dÈtectÈ) ElÈment(s) de donnÈes du Registre infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Dossier(s) infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Fichier(s) infectÈ(s): c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. A la fin du scan, je ne voyais pas l'option "mettre en quarantaine". J'ai du coup supprimé le fichier infecté... j'espère que ce n'est pas trop grave. C'est là que je me suis rendue compte que je n'avais pas connécté mon cable ethernet. J'ai donc pu mettre à jour MBAM grâce à Internet revenu et j'ai refait un scan: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de donnÈes: 6524 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 07/05/2011 11:27:38 mbam-log-2011-05-07 (11-27-38).txt Type d'examen: Examen rapide ElÈment(s) analysÈ(s): 200729 Temps ÈcoulÈ: 20 minute(s), 6 seconde(s) Processus mÈmoire infectÈ(s): 0 Module(s) mÈmoire infectÈ(s): 0 ClÈ(s) du Registre infectÈe(s): 0 Valeur(s) du Registre infectÈe(s): 0 ElÈment(s) de donnÈes du Registre infectÈ(s): 0 Dossier(s) infectÈ(s): 0 Fichier(s) infectÈ(s): 0 Processus mÈmoire infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Module(s) mÈmoire infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) ClÈ(s) du Registre infectÈe(s): (Aucun ÈlÈment nuisible dÈtectÈ) Valeur(s) du Registre infectÈe(s): (Aucun ÈlÈment nuisible dÈtectÈ) ElÈment(s) de donnÈes du Registre infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Dossier(s) infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Fichier(s) infectÈ(s): (Aucun ÈlÈment nuisible dÈtectÈ) Est ce que cela signifie que tout est réparé désormais??

Lyonnais92 · Answer

Bonjour,

tu fais redémarrer l'ordi.

Tu relances ZHPDiag et tu cliques sur la flèche verte.

Si il te dit que tu es à jour, fais un scan.

Sinon, accepte la mise à jour (téléchargement et installation) puis fais un scan.

Poste le rapport dans un nouveau lien Cijoint.


===

Encore des soucis ?

Marie · Answer

Bonjour,

J'ai effectué la mise à jour de ZHPDiag.

Tu trouveras le rapport sur le lien suivant:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijJhn8EQV.txt

Sinon, je n'ai pas d'autre souci particulier. C'est vrai que mon PC a 4 ans et demi et qu'il commence à ralentir un peu, mais je pense que l'on peut rien y faire...

Merci,

Lyonnais92 · Answer

Bonjour,

ton ordi souffre aussi d'un disque dur très rempli.

Il faut que tu fasses le ménage.

Mais il faut probablement que tu investisses. Tu as plusieurs solutions :

- un DD USB externe (si tu as beaucoup de fichiers dont tu ne te sers que très rarement, photos, ...)

- un 2ème DD interne, si tu te sers régulièrement de tes données et programmes et que ton ordi peur accueillir un 2ème DD (ça devrait aller pour un fixe mais pas pour un portable

- un DD interne neuf pour remplacer l'ancien (que tu transformeras en DD externe USB à peu de frais) mais le transfert du vieux sur le neuf va être un peu galère.

===

Je peux aussi te faire supprimer des choses inutiles qui peuvent ralentir.

===

On en revient aux restes des infections.

Tu relances ZHPFix avec ces lignes :

O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
M2 - MFEP: prefs.js [Marie - ntboz0i0.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Toolbar v2.7.2.0 (.Conduit Ltd..)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
O23 - Service:  (SQLAgent$VAIO_VEDB) - Clé orpheline
O23 - Service:  (VAIOMediaPlatform-IntegratedServer-HTTP) - Clé orpheline
O23 - Service:  (VAIOMediaPlatform-Mobile-Gateway) - Clé orpheline
O51 - MPSK:{1efda138-3ffe-11de-bacf-0013a94815aa}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\cliquez-moi.exe (.not file.)
EmptyTemp

Poste le rapport dans ta réponse (pas de lien Cijoint).

Marie · Answer

Voilà le rapport en question:

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-08-05-2011-11-21-39.txt
Run by Marie at 08/05/2011 11:21:27
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - My Web Search Service (MyWebSearchService)  .(...) - LEGACY_MYWEBSEARCHSERVICE  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => Clé supprimée avec succès
HKCR\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => Clé absente
O23 - Service:  (SQLAgent$VAIO_VEDB) - Clé orpheline  => Clé supprimée avec succès
O23 - Service:  (VAIOMediaPlatform-IntegratedServer-HTTP) - Clé orpheline  => Clé supprimée avec succès
O23 - Service:  (VAIOMediaPlatform-Mobile-Gateway) - Clé orpheline  => Clé supprimée avec succès
O51 - MPSK:{1efda138-3ffe-11de-bacf-0013a94815aa}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\cliquez-moi.exe (.not file.)  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles
tboz0i0.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}  => Fichier supprimé au reboot
Dossiers temporaires Windows supprimés: 74

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 38


========== Récapitulatif ==========
10 : Clé(s) du Registre
2 : Dossier(s)
1 : Fichier(s)


End of the scan

Après, je serai également  intéressée par supprimer des éléments inutiles qui ralentissent mon ordinateur.

Voilà, voilà,

Lyonnais92 · Answer

Re,

alors tu relances ZHPDiag avec ces lignes :

OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-2144710343-2835179638-1600071613-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-2144710343-2835179638-1600071613-1006\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 12/12/2008 238888 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O64 - Services: CurCS - 12/12/2008 - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour(Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

===

Tu dois aussi pouvoir désinstaller des logiciels dont tu ne te sers pas (via le Panneau de configuration, Ajout/suppression de programmes).

Je te suggère aussi de désinstaller RAR Password Cracker    . C'est le genre de trucs qui apporte plus d'ennui qu'il ne résout de problèmes (il y a d'autres solutions).

===

Relance ZHPDiag, clique sur les jumelles pour ouvrir ZHPSearch.

Recopie 

[HKLM\Software\204]
[HKLM\Software\3f0]
[HKLM\Software\41e]
[HKLM\Software\43e]
[HKLM\Software\54c]

dans la fenêtre et clique sur /Regexport

Clique enfin sur la loupe et copie moi le résultat de la recherche (je pense que ces clés sont inutiles mais je préfère vérifier).

Marie · Answer

Alors,

Pour le premier ZHPDIAG, j'ai bien copié les lignes puis lancé la loupe. Le scan s'est lancé puis s'est interrompu vers la moitié en laissant apparaitre un écran windows bleu m'indiquant la vidange de la mémoire physique vers le disque. 

J'ai laissé le processus se terminer et l'ordinateur a redémarré tout seul. A la fin du redémarrage, j'ai eu un message windows m'indiquant: "Il existe un fichier ou un dossier nommé c:\program sur votre ordinateur. Son nom pourrait être à l'origine de dysfonctionnements pour certaines applications. Le renommer en c:\program1 résoudrait le problème." On m'a alors proposer de renommer le fichier.

A ce moment là, j'ai préféré ne rien tenter. Je préfère avoir ton avis.

Sinon, voilà le résultat de Regexport:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\54c]

[HKEY_LOCAL_MACHINE\software\54c\FF9FB00B83E3]

[HKEY_LOCAL_MACHINE\software\54c\FF9FB00B83E3\7c91e027]

[HKEY_LOCAL_MACHINE\software\54c\FF9FB00B83E3\7c91e027\1]

ET sinon encore, j'ai désinstallé le programme rar password.

Merci encore.

Lyonnais92 · Answer

Re,

tu relances ZHPFix (et pas ZHPDiag) avec les lignes ci-dessus (les premières).

===

Tu ouvres le registre et tu cherches 

HKEY_LOCAL_MACHINE\software\54c\FF9FB00B83E3\7c91e027\1

Il y a quoi dans la fenêtre de droite ?

Marie · Answer

Bonsoir, me revoilà,

Alors, voilà le rapport de ZHPFIX avec les lignes indiquées dans ton avant dernier post:

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-05-2011-20-21-02.txt
Run by Marie at 10/05/2011 20:21:02
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé non supprimée
O64 - Services: CurCS - 12/12/2008 - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour(Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2144710343-2835179638-1600071613-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2144710343-2835179638-1600071613-1006\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\bonjour\mdnsresponder.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
9 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan


Pour info, a la fin du processus, un message m'a indiqué "Service bonjour / Service Stopped"..

Sinon, au niveau du registre, je visualise:
nom: ab (par défaut)
type: reg_SZ
Données: valeur non définie

Merci et bonne soirée,

Lyonnais92 · Answer

Bonsoir,

tu relances ZHPFix avec ces lignes :

[HKLM\Software\204]
[HKLM\Software\3f0]
[HKLM\Software\41e]
[HKLM\Software\43e]
[HKLM\Software\54c]

Tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien Cijoint.

Marie · Answer

Alors,

Comme demandé, tu trouveras le fichier ci-joint:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijb3Oe530.txt

Sinon, j'ai bien relancé ZHPFix avec les lignes présentes dans ton post.

Merci,

Lyonnais92 · Answer

Re,

tu relances ZHPFix avec :

O23 - Service:  (Bonjour Service) - Clé orpheline
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline
O3 - Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Pas de propriétaire - Pas de description.) --  (.not file.
[HKCU\Software\Multi_Media_France]
[HKLM\Software\Multi_Media_France]
[HKLM\Software\13fe]

===

On nettoie les outils :

Relance Ad-remover et choisis l'option Désinstallation.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

Marie · Answer

Bonsoir,

Lorsque je relance ZHPFix avec les lignes précitées, j'obtiens un message d'erreur au bout de 5sec disant: "Violation de l'accès à l'adresse 00427C96 dans le module ZHPFIX.exe. Lecture de l'adresse 0000000A" puis je réponds OK et là ZHPFix n'avance plus du tout (j'ai attendu bien 20 min et ca n'a pas avancé).

Du coup, je ne sais pas quoi faire. J'ai tenté de le relancer mais ZHPFix m'envoie toujours ce message d'erreur.

Merci encore pour l'aide précieuse,

Lyonnais92 · Answer

Bonsoir,

relance ZHPFix avec

O23 - Service:  (Bonjour Service) - Clé orpheline
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline
O3 - Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Pas de propriétaire - Pas de description.) --  (.not file.)
[HKCU\Software\Multi_Media_France]
[HKLM\Software\Multi_Media_France]
[HKLM\Software\13fe]

J'avais oublié une parenthèse.

Si ça ne fonctionne toujours pas, tu fais

O23 - Service:  (Bonjour Service) - Clé orpheline

puis

R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline

puis

O3 - Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Pas de propriétaire - Pas de description.) --  (.not file.)

puis chacune des 3 dernières lignes une à une.

Marie · Answer

Re,

Alors j'ai bien relancé ZHPFix et la tout a bien marché. Pour AdRemover, je n'ai pas trouvé le A rouge, j'ai cliqué sur "désinstaller" puis j'ai redémarré.

Dois je faire autre chose désormais si ce n'est te remercier grandement ?

Lyonnais92 · Answer

Re,

tu as fait ça aussi :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

===

Dernière manip :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

Marie · Answer

Bon ba voila c'est fait.

J'ai bien l'impression que c'est terminé désormais. Merci beaucoup pour ton aide et merci à CCM.

a+

Lyonnais92 · Answer

Bonjour,

oui, c'est terminé.

De rien pour l'aide, ce fut avec plaisir.

Je mets le post en résolu.

Mais tu peux le réouvrir si nécessaire.

Problème CSRSS.EXE

35 réponses

Discussions similaires