virus csrss.exe et winlogonRésolu/Fermé

Question

Bonjour, 

J'ai ouvert un mail d'un célèbre site de e-commerce et quelques minutes après mon pc subit un ralentissement soudain 
J'ai fouillé un peu et j'ai vu un csrss.exe et winlogon inconnu dans mon gestionnaire des tâches qui causerait semble-il ce ralentissement

Voici un rapport ZHP si quelqu'un veut bien jeter un oeil voir s'il n y a pas une vacherie qui traîne

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120703_8n6t15p10h12

Merci d'avance


Configuration: PC de bureau packard bell istart XP media center 2005 
Processeur : 2,8ghz, RAM: 1go
Carte graphique: NVIDIA 8600GT
----------------------------------------------------------------------------------------
PC portable acer aspire 5315 VISTA premium 32-bits
Processeur: 1,73ghz  RAM 2go

bubull97 · Answer

Salut,

Personnellement, j'ai toujours eu ses 2 fichiers dans mon gestionnaire des tâches.
Peut être que c'est vraiment un virus, je sais pas.

Si tu en sais un peu plus par après, merci de me tenir au courant :)

g3n-h@ckm@n · Answer

salut heureusement que tu as ces processus sinon ton pc tournerait pas

============
par contre :

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Utilisateur anonyme · Answer

Oui je suis d'accord mais dans mon gestionnaire des tâches il n'y a pas marqué system à côté du fichier csrss.exe, il semblerait que ça soit un virus d'après ce que j'ai vu.

g3n-h@ckm@n · Answer

ok fais ce que je t'ai demandé deja

Utilisateur anonyme · Answer

Oui merci voici pour le rapport

https://pjjoint.malekal.com/files.php?id=20120704_h6v6z12p15h7

g3n-h@ckm@n · Answer

ca sert à rien de lancer les outils 10 fois , une seule fois suffit

=================

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

Utilisateur anonyme · Answer

Merci pour ta réponse rapide voici le rapport

https://pjjoint.malekal.com/files.php?id=20120704_i15r13q6n9z14

g3n-h@ckm@n · Answer

je peux savoir où tu as telechargé cette version d'usbfix ?

Utilisateur anonyme · Answer

J'ai suivi un lien d'un contributeur sur le forum pourquoi? c'est pas la bonne?

g3n-h@ckm@n · Answer

pourquoi tu suis pas MES liens ??

Utilisateur anonyme · Answer

Oui j'aurai pu, alors le rapport est-il normal ou pas?

Merci d'avance.

g3n-h@ckm@n · Answer

non ca veut dire que je voudrais que tu suives ce que je te demande cette version a 1000 ans

les outils sont mis à jour tous les jours

donc tu le prends de mon lien , et tu relances un suppression rapport à l appui

Utilisateur anonyme · Answer

Oui la version est très ancienne en effet désolé..

Voici le lien https://pjjoint.malekal.com/files.php?id=20120705_o13n9s14m14f12

g3n-h@ckm@n · Answer

re

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

Utilisateur anonyme · Answer

Merci voici le lien

https://pjjoint.malekal.com/files.php?id=20120706_l6j7w15l7o12

g3n-h@ckm@n · Answer

pourquoi t'as pas desactivé antivir ? c'est ecrit pourtant...
fin bon si ta machine plante pendant la desinfection , ne t'etonnes pas...

========================


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGhj6vgmbU4

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=20120707_r14y13b8n9v6

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Pre_Scan\MBR.bin

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Utilisateur anonyme · Answer

https://www.virustotal.com/gui/file/e352a328b02c4859ac12443704adbe5a015b5ce40d508b4a5809c22b96f4c674

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Utilisateur anonyme · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.07.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
tony :: PC-DE-TONY [administrateur]

07/07/2012 12:02:25
mbam-log-2012-07-07 (12-02-25).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288885
Temps écoulé: 56 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users	ony\Documents\MICROSOFT.OFFICE.2010.VF.32.BIT.FRENCH.RETAIL.FINAL.BY.PARISIEN99.SMS\mini-KMS_Activator_v1.052\mini-KMS_Activator_v1.052.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
C:\Users	ony\Downloads\SoftonicDownloader_pour_free-youtube-download.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users	ony\Downloads\youtubevideodownloader_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ne telecharge plus chez softonic ni 01Net 'c/f : rapport de malwarebytes)

on peut faire le menage je pense :

https://gen-hackman.kanak.fr/

Utilisateur anonyme · Answer

Rapport 0

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 07/07/2012 14:50:17 [Normal Mode]
Machine : PC-DE-TONY (1 CPUs) [tony : NOT ADMIN]
OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
OUTDATED [Adobe Flash] Current : 11.2.202.235 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash ActiveX] Current : 11.2.202.235 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.262 -- Latest : 11.3.300.262

Finished
<C:\Users\tony\Desktop\WIGIReport[0].txt>
WIGIReport[0].txt

rapport 1

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 07/07/2012 14:56:51 [Normal Mode]
Machine : PC-DE-TONY (1 CPUs) [tony : NOT ADMIN]
OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.262 -- Latest : 11.3.300.262

Finished
<C:\Users\tony\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt

g3n-h@ckm@n · Answer

tu peux mettre en resolu au premier post que tu as posté

Virus csrss.exe et winlogon

24 réponses

Discussions similaires

Newsletters