Problème avec CSRSS.exe
Résolu/Fermé
vdmvdm
-
4 mai 2011 à 09:14
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 17 mai 2011 à 22:03
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 17 mai 2011 à 22:03
A voir également:
- Problème avec CSRSS.exe
- Csrss.exe trojan - Forum Virus
- Problème csrss.exe, virus? ✓ - Forum Virus
- CSRSS.EXE - Forum Virus
- Problemes csrss.exe - Forum Virus
- Problème winlogon.exe - atiedxx.exe - csrss.exe - Forum Virus
22 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
4 mai 2011 à 09:31
4 mai 2011 à 09:31
Bonjour,
tu communiques avec nous par un autre ordi ?
Regarde déjà si tu n'as pas un proxy qui bloque Internet.
Ouvre Internet explorer, outils, Options Internet, Connexions, Paramètre réseau.
Décoche la case serveur proxy si elle est cochée.
Réessaye Internet.
Si tu as Firefox : Cliquez sur le menu Outils puis Options
* Allez dans l'onglet "Avancé" puis dans le sous-onglet "Réseau" cliquez sur "Paramètres"
* Dans la fenêtre qui apparait cochez la case "Pas de proxy"
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
tu communiques avec nous par un autre ordi ?
Regarde déjà si tu n'as pas un proxy qui bloque Internet.
Ouvre Internet explorer, outils, Options Internet, Connexions, Paramètre réseau.
Décoche la case serveur proxy si elle est cochée.
Réessaye Internet.
Si tu as Firefox : Cliquez sur le menu Outils puis Options
* Allez dans l'onglet "Avancé" puis dans le sous-onglet "Réseau" cliquez sur "Paramètres"
* Dans la fenêtre qui apparait cochez la case "Pas de proxy"
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
oui, en effet, je suis au boulot et le problème est à la maison ;-)
J'utilise principalement firefox (mais j'ai aussi IE explorer car certaines applications comme le home banking ne fonctionne pas sous firefox) : aucun des 2 navigateurs ne fonctionne.
Proxy? Je ne pense pas mais je vérifierai ce soir
Pour poster le rapport, j'utilisera un des PC qui se connecte normalement au réseau.
Merci
J'utilise principalement firefox (mais j'ai aussi IE explorer car certaines applications comme le home banking ne fonctionne pas sous firefox) : aucun des 2 navigateurs ne fonctionne.
Proxy? Je ne pense pas mais je vérifierai ce soir
Pour poster le rapport, j'utilisera un des PC qui se connecte normalement au réseau.
Merci
Pour être un peu plus précis (et en attendant les manips de ce soir), je tiens à rajouter 2-3 choses:
- impossible de restorer le PC à une date ultérieure : j'ai bien des pts de restoration dispo mais la restoration ne se fait pas (message me disant qu'aucune modif sur le PC n'a été faite)
- depuis qqes jours, après une recherche dans google,je ne suis pas dirigé vers le bon site en cliquant sur le lien.
Il y a encore une autre chose mais je ne pense pas que ce soit liée à une quelconque crasse et je la garde donc sous le coude "pour après"....
Merci d'avance
- impossible de restorer le PC à une date ultérieure : j'ai bien des pts de restoration dispo mais la restoration ne se fait pas (message me disant qu'aucune modif sur le PC n'a été faite)
- depuis qqes jours, après une recherche dans google,je ne suis pas dirigé vers le bon site en cliquant sur le lien.
Il y a encore une autre chose mais je ne pense pas que ce soit liée à une quelconque crasse et je la garde donc sous le coude "pour après"....
Merci d'avance
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
4 mai 2011 à 19:18
4 mai 2011 à 19:18
Proxy : oui,il y en avait 1 qui bloquait l(accès.
Le net fonctionne donc sur ce PC (yahoo).
Pour le reste, voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijqbOnQPz.txt
Merci
Le net fonctionne donc sur ce PC (yahoo).
Pour le reste, voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijqbOnQPz.txt
Merci
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
4 mai 2011 à 20:03
4 mai 2011 à 20:03
Re,
on va nettoyer ce que l'on voit.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
On va contrôler un fichier.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\nmabck.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
===
Ensuite, tu mets à jour MBAM et tu fais un scan rapide.
Tu postes le rapport.
on va nettoyer ce que l'on voit.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 O23 - Service: (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe [HKCU\Software\2SPI9KEA4C] [HKCU\Software\A9YA3MI1CF] [HKLM\Software\AskBarDis] O58 - SDL:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 22/03/2011 - 7:36:56 ---A- . (...) -- C:\WINDOWS\system32\drivers\qmbcusmq.sys [0] O58 - SDL:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 22/03/2011 - 7:36:56 ---A- . (...) -- C:\WINDOWS\system32\drivers\tczelrny.sys [23424] O64 - Services: CurCS - (.not file.) - 44d88120 (44d88120) .(...) - LEGACY_44D88120 O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe - Application Policy Service (Application Policy Service) .(...) - LEGACY_APPLICATION_POLICY_SERVICE O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS O64 - Services: CurCS - C:\Windows\System32\drivers\tczelrny.sys - tczelrny (tczelrny) .(...) - LEGACY_TCZELRNY [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}] [HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}] [HKCR\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}] [HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] SS - | Auto 2/05/2011 1024 | (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe EmptyTemp
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
On va contrôler un fichier.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\nmabck.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
===
Ensuite, tu mets à jour MBAM et tu fais un scan rapide.
Tu postes le rapport.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
4 mai 2011 à 20:43
4 mai 2011 à 20:43
1) le rapport que voici,
Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-4-05-2011-20-12-07.txt
Run by Utilisateur at 4/05/2011 20:12:07
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé supprimée avec succès
HKCU\Software\2SPI9KEA4C => Clé supprimée avec succès
HKCU\Software\A9YA3MI1CF => Clé supprimée avec succès
HKLM\Software\AskBarDis => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 44d88120 (44d88120) .(...) - LEGACY_44D88120 => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe - Application Policy Service (Application Policy Service) .(...) - LEGACY_APPLICATION_POLICY_SERVICE => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\System32\drivers\tczelrny.sys - tczelrny (tczelrny) .(...) - LEGACY_TCZELRNY => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1 => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98} => Clé supprimée avec succès
HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente
HKCR\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} => Clé supprimée avec succès
SS - | Auto 2/05/2011 1024 | (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé absente
========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 => Donnée supprimée avec succès
========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 373
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1526
========== Récapitulatif ==========
22 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
End of the scan
2) je ne trouve pas dans C:\WINDOWS le fichier nmabck.dll
3) voici le rapport MBAM
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6506
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
4/05/2011 20:43:34
mbam-log-2011-05-04 (20-43-28).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 183576
Temps écoulé: 4 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tczelrny (Rootkit.Agent.BO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\windows\system32\drivers\tczelrny.sys (Rootkit.Agent.BO) -> No action taken.
Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-4-05-2011-20-12-07.txt
Run by Utilisateur at 4/05/2011 20:12:07
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé supprimée avec succès
HKCU\Software\2SPI9KEA4C => Clé supprimée avec succès
HKCU\Software\A9YA3MI1CF => Clé supprimée avec succès
HKLM\Software\AskBarDis => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 44d88120 (44d88120) .(...) - LEGACY_44D88120 => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe - Application Policy Service (Application Policy Service) .(...) - LEGACY_APPLICATION_POLICY_SERVICE => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\System32\drivers\tczelrny.sys - tczelrny (tczelrny) .(...) - LEGACY_TCZELRNY => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1 => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98} => Clé supprimée avec succès
HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente
HKCR\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} => Clé supprimée avec succès
SS - | Auto 2/05/2011 1024 | (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé absente
========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 => Donnée supprimée avec succès
========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 373
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1526
========== Récapitulatif ==========
22 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
End of the scan
2) je ne trouve pas dans C:\WINDOWS le fichier nmabck.dll
3) voici le rapport MBAM
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6506
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
4/05/2011 20:43:34
mbam-log-2011-05-04 (20-43-28).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 183576
Temps écoulé: 4 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tczelrny (Rootkit.Agent.BO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\windows\system32\drivers\tczelrny.sys (Rootkit.Agent.BO) -> No action taken.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
4 mai 2011 à 21:54
4 mai 2011 à 21:54
Re,
tu as mis en quarantaine ce que MBAM a trouvé ?
Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
tu as mis en quarantaine ce que MBAM a trouvé ?
Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
4 mai 2011 à 22:33
4 mai 2011 à 22:33
oui, mis en quarantaine
Reboot : plus de pop up d'erreur, accès direct au net
voilà le rapport
http://www.cijoint.fr/cjlink.php?file=cj201105/cijvek5h9C.txt
Reboot : plus de pop up d'erreur, accès direct au net
voilà le rapport
http://www.cijoint.fr/cjlink.php?file=cj201105/cijvek5h9C.txt
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
4 mai 2011 à 22:51
4 mai 2011 à 22:51
Re,
encore des soucis avec le proxy.
Relance ZHPFix avec ces lignes :
Dans la liste des O43, tu as des logiciels que tu ne connais pas ?
encore des soucis avec le proxy.
Relance ZHPFix avec ces lignes :
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1 R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 [HKLM\Software\Pcodxtyv] O53 - SMSR:HKLM\...\startupreg\Acikivagoxoyi [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\nmabck.dll O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(...) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946}
Dans la liste des O43, tu as des logiciels que tu ne connais pas ?
suis au boulot et n'ai donc pas encore pu relancer ZHPFix.
Pour ce qui est des prog "inconnus" en O43:
C:\Program Files\ComPlus Applications
C:\Program Files\DIFX (mais apparemment ça vient de microsoft)
C:\Program Files\DNA
C:\Program Files\FreeTime (mais je crois que ça va avec format factory que j'ai dû utiliser une fois ou 2)
C:\Program Files\Messenger et C:\Program Files\MSN
et C:\Program Files\MSN Gaming Zone
: je n'utilise aucun prog de tchat style messenger ou hotmail
C:\Program Files\MSXML 4.0 et C:\Program Files\MSXML 6.0 : mais ça a l'air d'être lié aux SP de microsoft, non?
C:\Program Files\NetMeeting
C:\Program Files\Online Services
C:\Program Files\Outlook Express : j'utilise microsoft outlook
C:\Program Files\Zero G Registry
Pour ce qui est des prog "inconnus" en O43:
C:\Program Files\ComPlus Applications
C:\Program Files\DIFX (mais apparemment ça vient de microsoft)
C:\Program Files\DNA
C:\Program Files\FreeTime (mais je crois que ça va avec format factory que j'ai dû utiliser une fois ou 2)
C:\Program Files\Messenger et C:\Program Files\MSN
et C:\Program Files\MSN Gaming Zone
: je n'utilise aucun prog de tchat style messenger ou hotmail
C:\Program Files\MSXML 4.0 et C:\Program Files\MSXML 6.0 : mais ça a l'air d'être lié aux SP de microsoft, non?
C:\Program Files\NetMeeting
C:\Program Files\Online Services
C:\Program Files\Outlook Express : j'utilise microsoft outlook
C:\Program Files\Zero G Registry
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
5 mai 2011 à 18:32
5 mai 2011 à 18:32
Voilà le rapport
Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011
Fichier d'export Registre :
Run by Utilisateur at 5/05/2011 18:29:23
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Pcodxtyv => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Acikivagoxoyi [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\nmabck.dll => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(...) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946} => Clé supprimée avec succès
========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1 => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\windows\nmabck.dll => Fichier absent
========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011
Fichier d'export Registre :
Run by Utilisateur at 5/05/2011 18:29:23
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Pcodxtyv => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Acikivagoxoyi [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\nmabck.dll => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(...) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946} => Clé supprimée avec succès
========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:51980 => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1 => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\windows\nmabck.dll => Fichier absent
========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
5 mai 2011 à 19:08
5 mai 2011 à 19:08
Bonsoir,
est ce que tu peux désinstaller Zero G Registry par le Panneau de configuration, Ajout/suppression de programme ? Si oui, tu le fais.
Sinon, par l'explorateur Windows, clic droit sur le répertoire
C:\Program Files\Zero G Registry et Supprimer (tu videras ta Corbeille ensuite)
===
Tu fais redémarrer l'ordi et on vérifie que tout est OK.
est ce que tu peux désinstaller Zero G Registry par le Panneau de configuration, Ajout/suppression de programme ? Si oui, tu le fais.
Sinon, par l'explorateur Windows, clic droit sur le répertoire
C:\Program Files\Zero G Registry et Supprimer (tu videras ta Corbeille ensuite)
===
Tu fais redémarrer l'ordi et on vérifie que tout est OK.
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
5 mai 2011 à 23:03
5 mai 2011 à 23:03
voilà
J'ai dû le supprimer à l'arrache par l'explorateur windows car il n'apparaissait pas dans la liste des programmes par le panneau de config, ni dans la liste de CCleaner.
J'ai redémarré et ça a l'ai OK.
Si c'est bon comme ça, un tout grand merci pour ton aide!
J'ai dû le supprimer à l'arrache par l'explorateur windows car il n'apparaissait pas dans la liste des programmes par le panneau de config, ni dans la liste de CCleaner.
J'ai redémarré et ça a l'ai OK.
Si c'est bon comme ça, un tout grand merci pour ton aide!
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
5 mai 2011 à 23:08
5 mai 2011 à 23:08
Re,
pas tout à fait fini.
Remets moi un rapport ZHPDiag dans un lien Cijoint.
(vérification des mises à jour, mise des programmes de désinfection à supprimer).
pas tout à fait fini.
Remets moi un rapport ZHPDiag dans un lien Cijoint.
(vérification des mises à jour, mise des programmes de désinfection à supprimer).
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
6 mai 2011 à 17:56
6 mai 2011 à 17:56
Voilà le rapport
http://www.cijoint.fr/cjlink.php?file=cj201105/cijNp7kksU.txt
http://www.cijoint.fr/cjlink.php?file=cj201105/cijNp7kksU.txt
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
6 mai 2011 à 18:16
6 mai 2011 à 18:16
Bonsoir,
il faut que tu mettes à jour Adobe Reader (tu vas le trouver sur CCM) et ta console java :
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
http://raproducts.org/click/click.php?id=1
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
Je pense que Ad-aware est dépassé et ne te protège pas efficacement.
il faut que tu mettes à jour Adobe Reader (tu vas le trouver sur CCM) et ta console java :
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
http://raproducts.org/click/click.php?id=1
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
Je pense que Ad-aware est dépassé et ne te protège pas efficacement.
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
6 mai 2011 à 23:21
6 mai 2011 à 23:21
voilà le rapport (j'ai renommé le .log en .txt pour passer par cijoint)
J'ai MAJ adobe reader après
http://www.cijoint.fr/cjlink.php?file=cj201105/cijW4hyHF2.txt
J'ai MAJ adobe reader après
http://www.cijoint.fr/cjlink.php?file=cj201105/cijW4hyHF2.txt
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
6 mai 2011 à 23:24
6 mai 2011 à 23:24
Bonsoir,
dernière manip :
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
Bon surf.
dernière manip :
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
Bon surf.
vdmvdm
Messages postés
16
Date d'inscription
jeudi 17 août 2006
Statut
Membre
Dernière intervention
7 mai 2011
7 mai 2011 à 07:45
7 mai 2011 à 07:45
Voilà c'est fait
Encore merci pour le temps consacré.
Encore merci pour le temps consacré.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 mai 2011 à 08:27
7 mai 2011 à 08:27
Bonjour,
de rien pour l'aide, ce fut avec plaisir.
j'ai mis le topic en résolu mais tu le réouvres si tu as un souci.
N'oublie pas de faire les mises à jour de Windows et de tous tes logiciels pour combler les failles de sécurité, antivirus et parefeu sont nécessaires, MBAM utilisé de temps en temps (après mise à jour), pas de crack, pas de keygen. Ca ne supprime pas totalement le risque de se retrouvé infecté. Mais ça le limite fortement.
de rien pour l'aide, ce fut avec plaisir.
j'ai mis le topic en résolu mais tu le réouvres si tu as un souci.
N'oublie pas de faire les mises à jour de Windows et de tous tes logiciels pour combler les failles de sécurité, antivirus et parefeu sont nécessaires, MBAM utilisé de temps en temps (après mise à jour), pas de crack, pas de keygen. Ca ne supprime pas totalement le risque de se retrouvé infecté. Mais ça le limite fortement.