Pour tibiouze Résolu/Fermé

Question

Bonjour, J'ouvre ce topic car je préfère "un topic un cas"". Ton rapport ZHPDiag : http://www.cijoint.fr/cj201105/cijXsXgCBr.txt === On commence comme ça : Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52808 [HKCU\Software\Grand Virtual] => Infection PUP (PUP.GrandVirtual) O43 - CFD: 14/03/2010 - 04:40:56 - [0] ----D- C:\Program Files\freeTVRadio O43 - CFD: 14/03/2010 - 04:37:54 - [76] ----D- C:\Users ibo\AppData\Roaming\freeTVRadio [HKLM\Software\Classes\AppID\SoftwareUpdate.exe [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] [HKCU\Software\Grand Virtual] C:\Program Files\freeTVRadio C:\Users ibo\AppData\Roaming\freeTVRadio C:\Users ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\Conduit C:\Users ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\ConduitEngine C:\Users ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\conduit C:\Users ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\engine@conduit.com C:\Users ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\engine@conduit.com O4 - Global Startup: C:\Users ibo\Desktop\Corbeille.lnk - Clé orpheline M2 - MFEP: prefs.js [tibo - k6j01c8t.default\engine@conduit.com] [] Conduit Engine v3.3.3.2 (.Conduit Ltd..) O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/ O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050 Déconnecte toi d'Internet et ferme toutes les applications ouvertes. Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau. Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau, puis sélectionne 'Exécuter en tant qu'administrateur'. Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne. Clique sur "Tous" puis sur "Nettoyer". Laisse l'outil travailler. Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement. Le rapport d'exécution va apparaître dans la fenêtre. Copie le dans ta réponse. === Tu fais redémarrer l'ordi et tu me dis ce qui te reste comme symptôme. @+ Science sans conscience n'est que ruine de l'âme. Rabelais

tibiouze · Answer

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-19-05-2011-08-32-15.txt
Run by tibo at 19/05/2011 08:32:15
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Grand Virtual  => Clé supprimée avec succès
HKLM\Software\Classes\AppID\SoftwareUpdate.exe  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080  => Donnée supprimée avec succès

========== Préférences navigateur ==========
O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/Results.aspx?  => Valeur supprimée avec succès
O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Users	ibo\AppData\Roaming\freeTVRadio  => Supprimé et mis en quarantaine
C:\Program Files\freeTVRadio  => Supprimé et mis en quarantaine
C:\Users	ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\Conduit  => Supprimé et mis en quarantaine
C:\Users	ibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\ConduitEngine  => Supprimé et mis en quarantaine
C:\Documents and Settings	ibo\Application Data\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\freetvradio  => Fichier absent
c:\users	ibo\appdataoaming\freetvradio  => Fichier absent
c:\users	ibo\appdataoaming\mozilla\firefox\profiles\k6j01c8t.default\conduit  => Fichier absent
c:\users	ibo\desktop\corbeille.lnk  => Supprimé et mis en quarantaine

Lyonnais92 · Answer

Bonjour,

fais redémarrer l'ordi.

Tu as encore des problèmes ?

tibiouze · Answer

J'ai redémarré l'ordi.. Et toujours le même pop-up "impossible d'executer ou charger le csrss......" à l'ouverture de windows.. :-(

Lyonnais92 · Answer

Bonsoir,

relance ZHPDiag, clique sur les jumelles pour lancer ZHPsearch.

Tape csrss.exe dans la fenêtre, clique sur /s /md5  et vérifie que les 4 cases de la colonne Mode de recherche soient cochées.

Clique sur la loupe pour lancer la recherche.

Poste le rapport.

tibiouze · Answer

Rapport de ZHPSearch 1.23.19 par Nicolas Coolman, Update du 25/02/2011
Run by tibo at 21/05/2011 12:19:36
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

---\ Elément(s) de recherche
csrss.exe /s /md5

---\ Liste des Fichiers & Dossiers:
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:24:54 | ---A- | -- C:\Windows\System32\csrss.exe [6144]   => Fichier sain
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:26:59 | ---A- | -- C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c_csrss.exe_06529458 [6144]   => Fichier sain
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:24:54 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c\csrss.exe [6144]   => Fichier sain

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers, Registre
Elément(s) trouvé(s) : 3
Nombre de fichiers analysés : 151972
Nombre de clés, valeurs ou données analysées : 400079
Mode : Recherche complète
End of the scan (03mn 53s)

tibiouze · Answer

Merci encore pour ton aide.. J'ai fait également une recherche MBAM histoire de nettoyer également...

Lyonnais92 · Answer

Bonjour,

Ok pour MBAM.

Je pourrais avoir le message exact au démarrage ?

tibiouze · Answer

Bah du coup depuis que j'ai nettoyé avec mbam. J'ai plus le pop-up concernant le csrss. Windows se lance normalement mis à part une petite fenêtre qui m'explique que windows a bloqué certains programmes au démarrage.

Lyonnais92 · Answer

Re,

poste moi le dernier rapport de MBAM.

C'est Windows qui bloque des programmes ?

Il te dit lesquels ?

tibiouze · Answer

Windows ne précise les programmes bloqués..

tibiouze · Answer

j'arrive pas à poster le rapport mbam... :-(

Lyonnais92 · Answer

Re,

pourquoi ?

===

Refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

tibiouze · Answer

Bah je sais pas pourquoi. Je fais un copier/coller mais ça le prend pas en compte au niveau du forum. 

oki pour ZHPDiag.

tibiouze · Answer

http://www.cijoint.fr/cjlink.php?file=cj201105/cijIu34vDh.txt

tibiouze · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6633

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

21/05/2011 12:14:18
mbam-log-2011-05-21 (12-14-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 151059
Temps écoulé: 2 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\$Recycle.Bin\s-1-5-21-1491090591-2335587967-3947183032-1000\$RA9P33D.exe (HackTool.Craggle) -> Quarantined and deleted successfully.
c:\Users	ibo\downloads\everest poker.fr.exe (PUP.Casino) -> Not selected for removal.

tibiouze · Answer

En fait c'est bon, je t'ai posté le rapport mcam en commentaire un peu plus haut.

Lyonnais92 · Answer

Re,

un petit nettoyage de fin.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy =
[HKCU\Software\Grand Virtual]


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

tibiouze · Answer

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-05-2011-14-22-08.txt
Run by tibo at 21/05/2011 14:22:08
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Grand Virtual  => Clé absente

========== Elément(s) de donnée du Registre ==========
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080  => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Elément(s) de donnée du Registre


End of the scan

tibiouze · Answer

Bah écoute.. Après redémarrage de l'ordi, ça a l'air de fonctionner normalement.

Lyonnais92 · Answer

Re,

alors on nettoie les outils et c'est terminé.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

tibiouze · Answer

Et bien tout est nickel je pense... J'étais vraiment perdu avec ce problème. Merci pour ta patience. Sans toi j'étais foutu.. ;-)
Merci encore.

Lyonnais92 · Answer

Re,

de rien pour l'aide, ce fut avec plaisir.

N'oublie pas de faire les mises à jour (Windows, navigateurs, console java, Adobe Reader, tous les logiciels).

Bon surf.