Pour tibiouze

Résolu
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

J'ouvre ce topic car je préfère "un topic un cas"".

Ton rapport ZHPDiag :

http://www.cijoint.fr/cj201105/cijXsXgCBr.txt

===
On commence comme ça :

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52808 
[HKCU\Software\Grand Virtual]    => Infection PUP (PUP.GrandVirtual) 
O43 - CFD: 14/03/2010 - 04:40:56 - [0] ----D- C:\Program Files\freeTVRadio 
O43 - CFD: 14/03/2010 - 04:37:54 - [76] ----D- C:\Users\tibo\AppData\Roaming\freeTVRadio 
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\Grand Virtual] 
C:\Program Files\freeTVRadio 
C:\Users\tibo\AppData\Roaming\freeTVRadio 
C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\Conduit 
C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\ConduitEngine 
C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\conduit 
C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\engine@conduit.com 
C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\engine@conduit.com 
O4 - Global Startup: C:\Users\tibo\Desktop\Corbeille.lnk - Clé orpheline 
M2 - MFEP: prefs.js [tibo - k6j01c8t.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..) 
O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/ 
O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050</code> 


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
===
Tu fais redémarrer l'ordi et tu me dis ce qui te reste comme symptôme.

@+
Science sans conscience n'est que ruine de l'âme. Rabelais

22 réponses

  • 1
  • 2
  1. tibiouze
     
    Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-19-05-2011-08-32-15.txt
    Run by tibo at 19/05/2011 08:32:15
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    HKCU\Software\Grand Virtual => Clé supprimée avec succès
    HKLM\Software\Classes\AppID\SoftwareUpdate.exe => Clé supprimée avec succès
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080 => Donnée supprimée avec succès

    ========== Préférences navigateur ==========
    O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/Results.aspx? => Valeur supprimée avec succès
    O69 - SBI: prefs.js [tibo - k6j01c8t.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050 => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    C:\Users\tibo\AppData\Roaming\freeTVRadio => Supprimé et mis en quarantaine
    C:\Program Files\freeTVRadio => Supprimé et mis en quarantaine
    C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\Conduit => Supprimé et mis en quarantaine
    C:\Users\tibo\AppData\Roaming\Mozilla\Firefox\Profiles\k6j01c8t.default\ConduitEngine => Supprimé et mis en quarantaine
    C:\Documents and Settings\tibo\Application Data\Mozilla\Firefox\Profiles\k6j01c8t.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files\freetvradio => Fichier absent
    c:\users\tibo\appdata\roaming\freetvradio => Fichier absent
    c:\users\tibo\appdata\roaming\mozilla\firefox\profiles\k6j01c8t.default\conduit => Fichier absent
    c:\users\tibo\desktop\corbeille.lnk => Supprimé et mis en quarantaine
    0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    fais redémarrer l'ordi.

    Tu as encore des problèmes ?
    0
  3. tibiouze
     
    J'ai redémarré l'ordi.. Et toujours le même pop-up "impossible d'executer ou charger le csrss......" à l'ouverture de windows.. :-(
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    relance ZHPDiag, clique sur les jumelles pour lancer ZHPsearch.

    Tape csrss.exe dans la fenêtre, clique sur /s /md5 et vérifie que les 4 cases de la colonne Mode de recherche soient cochées.

    Clique sur la loupe pour lancer la recherche.

    Poste le rapport.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tibiouze
     
    Rapport de ZHPSearch 1.23.19 par Nicolas Coolman, Update du 25/02/2011
    Run by tibo at 21/05/2011 12:19:36
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

    ---\\ Elément(s) de recherche
    csrss.exe /s /md5

    ---\\ Liste des Fichiers & Dossiers:
    [MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:24:54 | ---A- | -- C:\Windows\System32\csrss.exe [6144] => Fichier sain
    [MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:26:59 | ---A- | -- C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c_csrss.exe_06529458 [6144] => Fichier sain
    [MD5.ABCA209EBA02CB59233614DB83B4F50D] - (.Microsoft Corporation.) 21/01/2008 03:24:54 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c\csrss.exe [6144] => Fichier sain

    ---\\ Bilan de la recherche
    Mode de recherche : Fichiers, Dossiers, Registre
    Elément(s) trouvé(s) : 3
    Nombre de fichiers analysés : 151972
    Nombre de clés, valeurs ou données analysées : 400079
    Mode : Recherche complète
    End of the scan (03mn 53s)
    0
  7. tibiouze
     
    Merci encore pour ton aide.. J'ai fait également une recherche MBAM histoire de nettoyer également...
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Ok pour MBAM.

    Je pourrais avoir le message exact au démarrage ?
    0
  9. tibiouze
     
    Bah du coup depuis que j'ai nettoyé avec mbam. J'ai plus le pop-up concernant le csrss. Windows se lance normalement mis à part une petite fenêtre qui m'explique que windows a bloqué certains programmes au démarrage.
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    poste moi le dernier rapport de MBAM.

    C'est Windows qui bloque des programmes ?

    Il te dit lesquels ?
    0
    1. tibiouze
       
      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 6633

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.19048

      21/05/2011 12:14:18
      mbam-log-2011-05-21 (12-14-18).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 151059
      Temps écoulé: 2 minute(s), 35 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\$Recycle.Bin\s-1-5-21-1491090591-2335587967-3947183032-1000\$RA9P33D.exe (HackTool.Craggle) -> Quarantined and deleted successfully.
      c:\Users\tibo\downloads\everest poker.fr.exe (PUP.Casino) -> Not selected for removal.
      0
  11. tibiouze
     
    Windows ne précise les programmes bloqués..
    0
  12. tibiouze
     
    j'arrive pas à poster le rapport mbam... :-(
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pourquoi ?

    ===

    Refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.
    0
  14. tibiouze
     
    Bah je sais pas pourquoi. Je fais un copier/coller mais ça le prend pas en compte au niveau du forum.

    oki pour ZHPDiag.
    0
  15. tibiouze
     
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijIu34vDh.txt
    0
  16. tibiouze
     
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6633

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19048

    21/05/2011 12:14:18
    mbam-log-2011-05-21 (12-14-18).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 151059
    Temps écoulé: 2 minute(s), 35 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\$Recycle.Bin\s-1-5-21-1491090591-2335587967-3947183032-1000\$RA9P33D.exe (HackTool.Craggle) -> Quarantined and deleted successfully.
    c:\Users\tibo\downloads\everest poker.fr.exe (PUP.Casino) -> Not selected for removal.
    0
  17. tibiouze
     
    En fait c'est bon, je t'ai posté le rapport mcam en commentaire un peu plus haut.
    0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un petit nettoyage de fin.

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy =
    [HKCU\Software\Grand Virtual]


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
  19. tibiouze
     
    Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-21-05-2011-14-22-08.txt
    Run by tibo at 21/05/2011 14:22:08
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    HKCU\Software\Grand Virtual => Clé absente

    ========== Elément(s) de donnée du Registre ==========
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:8080 => Donnée supprimée avec succès
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    2 : Elément(s) de donnée du Registre

    End of the scan
    0
  20. tibiouze
     
    Bah écoute.. Après redémarrage de l'ordi, ça a l'air de fonctionner normalement.
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors on nettoie les outils et c'est terminé.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.
    0
  • 1
  • 2