Présence de csrss.exeRésolu/Fermé

Question

Bonjour,   


J'avais fait un premier post, car j'ai récupéré un PC, qui est assez lent, et un des membres m'aidait pour enlever les programmes de démarrage obsolètes et autres.  

Dans le gestionnaire des tâches, j'ai découvert que j'avais entre autre csrss.exe, qui peut être signe d'un ver.  

Si l'un d'entre vous veut bien m'aider pour voir si le PC est infecté ou non.  

Merci pour votre aide  



Configuration: Windows XP / Firefox 14.0.1

Ajout du lien de la première discussion.

coniii · Answer

Bonjour,


&#9654 Télécharge l'outil de diagnostic ZHPDiag (de Nicolas Coolman).

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Clique sur l'icône en forme de loupe en haut à gauche pour lancer le diagnostic.

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Donne le lien en résultat.

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

dom2332 · Answer

Merci pour ta réponse.

Voici le lien:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120813_f6k6x14o5b9

coniii · Answer

Ok pas mal de PUP et Toolbars, fais attention lorsque tu navigues sur internet 

tu peux lire ça : https://www.malekal.com/adwares-pup-protection/ 

fais ceci :  

&#9654 Télécharge et lance AdwCleaner (merci à Xplode). 

&#9654 Clique sur Suppression, l'outil agira et l'ordinateur demandera le redémarrage pour finir la suppression. 

&#9654 Au démarrage suivant, le rapport s'affichera. Copie/colle son contenu sur le forum. 
Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[S_].txt.

dom2332 · Answer

Ok. Voilà le rapport:

# AdwCleaner v1.800 - Rapport créé le 13/08/2012 à 13:52:52
# Mis à jour le 01/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : paul - PAOLO
# Exécuté depuis : C:\Documents and Settings\paul\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\paul\Application Data\Viewpoint
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Viewpoint
Dossier Supprimé : C:\Program Files\Viewpoint

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Clé Supprimée : HKLM\SOFTWARE\Viewpoint

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\paul\Application Data\Mozilla\Firefox\Profiles\52f0mt9u.default\prefs.js

C:\Documents and Settings\paul\Application Data\Mozilla\Firefox\Profiles\52f0mt9u.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\paul\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3056 octets] - [13/08/2012 13:52:52]

########## EOF - C:\AdwCleaner[S1].txt - [3184 octets] ##########


Merci.

dom2332 · Answer

Voici le nouveau rapport:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120813_u8u6e12p6t15

dna.factory · Answer

https://www.commentcamarche.net/faq/48978-csrss-exe-c-est-quoi

coniii · Answer

Désinstalle Spybot S&D il est obsolète désormais ;-)

puis :

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

[HKCU\Software\Prodiff]    => Infection Diverse (Adware.Locator)
[HKCU\Software\Prodiff]    => Infection Diverse (Adware.Locator)
O47 - AAKE:Key Export SP - "C:\Program Files\Pinnacle\Studio 9\programs\studio.exe" [Enabled] .(...) -- C:\Program Files\Pinnacle\Studio 9\programs\studio.exe (.not file.)
O51 - MPSK:{b9b04c25-300c-11dd-b56a-00038a000015}\AutoRun\command - Clé orpheline
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Galerie de photos Windows Live.lnk - Clé orpheline
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Galerie de photos Windows Live.lnk - Clé orpheline
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}]    => Pando P2P Toolbar
O47 - AAKE:Key Export SP - "C:\Program Files\LimeWire\LimeWire.exe" [Enabled] .(...) -- C:\Program Files\LimeWire\LimeWire.exe (.not file.)    => LimeWire%Java PeerToPeer
O53 - SMSR:HKLM\...\startupreg\avgnt  [Key] . (...) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (.not file.)    => Avira AntiVir PersonalEdition/Desktop

FirewallRAZ
EmptyTemp
EmptyFlash
EmptyCLSID 


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

dom2332 · Answer

Voilà le rapport:

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : 
Run by paul at 13/08/2012 14:41:20
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKCU\Software\Prodiff
SUPPRIME CLSID MPSK: {b9b04c25-300c-11dd-b56a-00038a000015}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}
SUPPRIME Key*:  StartupReg: avgnt

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\Program Files\Pinnacle\Studio 9\programs\studio.exe
SUPPRIME AAKE KeyValue: C:\Program Files\LimeWire\LimeWire.exe
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Maxthon2\Maxthon.exe
SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Samsung\Samsung New PC Studio
psasvr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Samsung\Samsung New PC Studio
psvsvr.exe
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========

========== Fichier(s) ==========
ABSENT File: c:\program files\pinnacle\studio 9\programs\studio.exe
SUPPRIME File: c:\documents and settings\all users\menu démarrer\programmes\galerie de photos windows live.lnk
ABSENT File: c:\program files\limewire\limewire.exe
ABSENT File: c:\program files\avira\antivir desktop\avgnt.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
4 : Clé(s) du Registre
11 : Valeur(s) du Registre
6 : Fichier(s)


End of clean in 00mn 08s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/08/2012 14:41:20 [2059]

dom2332 · Answer

Je te remercie.

Non ce que je vais faire maintenant c'est essayer d'enlever quelques processus à l'aide du gestionnaire des tâches.

Une petite question à ce sujet stp: quand j'allume le pc, j'ai environ 31 processus d'ouvert, dont pas mal d'inutiles. Je les arrête 1 à 1 , et le pc tourne mieux.

Pb: à chaque fois que j'éteins le pc, la manip disparait, et je dois recommencer.

Y a t-il une solution pour terminer un processus inutile sur du long terme?

Merci

coniii · Answer

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\MSN.lnk . (.Microsoft Corporation.)  -- C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Messenger.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Messenger\msmsgs.exe 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Movie Maker.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Movie Maker\moviemk.exe 
O4 - Global Startup: C:\Documents And Settings\paul\Menu Démarrer\Programmes\Windows Media Player.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Windows Media Player\wmplayer.exe 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\MSN.lnk . (.Microsoft Corporation.)  -- C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe 




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

dom2332 · Answer

Bonsoir,

Voici le rapport:

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : 
Run by paul at 13/08/2012 23:18:00
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Fichier(s) ==========
SUPPRIME File: c:\documents and settings\all users\menu démarrer\programmes\msn.lnk
SUPPRIME File: c:\program files\msn\msncorefiles\install\msnsusii.exe
SUPPRIME File: c:\documents and settings\all users\menu démarrer\programmes\windows messenger.lnk
SUPPRIME File: c:\program files\messenger\msmsgs.exe
SUPPRIME File: c:\documents and settings\all users\menu démarrer\programmes\windows movie maker.lnk
SUPPRIME File: c:\program files\movie maker\moviemk.exe
SUPPRIME File: c:\documents and settings\paul\menu démarrer\programmes\windows media player.lnk
SUPPRIME File: c:\program files\windows media player\wmplayer.exe
ABSENT File: c:\documents and settings\all users\menu démarrer\programmes\msn.lnk
ABSENT File: c:\program files\msn\msncorefiles\install\msnsusii.exe


========== Récapitulatif ==========
10 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/08/2012 13:41:20 [2111]
C:\ZHP\ZHPFix[R2].txt - 13/08/2012 23:18:00 [1314]


Par contre, j'ai obtenu ce message juste après que le fix soit terminé:

Protection de fichiers windows:
"Des fichiers nécessaires au fonctionnement de windows ont été remplacés par des fichiers d'une version non reconnue. Pour maintenir la stabilité du système, windows doit restaurer la version originale de ces fichiers."

Je dois faire quoi?

Merci

dom2332 · Answer

Bonjour,

Je n'ai aucune dates de restauration antérieures à ce matin. Or le problème est apparu hier soir. Comment faire?

Merci

dom2332 · Answer

Salut!

Quand j'ai rallumé le pc ce matin, pas de message d'erreur.

Je tente quand même le F8?  (c'est vrai que le PC tourne un peu moins bien depuis hier soir).

dom2332 · Answer

ça marche.

Il y a quelques erreurs du registre que ccleaner n'arrive pas à supprimer:

Extension de fichiers inutilisée	.awb	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.awb
Extension de fichiers inutilisée	.mp1	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp1
Extension de fichiers inutilisée	.mpga	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpga
Extension de fichiers inutilisée	.ra	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ra
Extension de fichiers inutilisée	.ram	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ram
Extension de fichiers inutilisée	.rax	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rax
Extension de fichiers inutilisée	.rm	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rm
Extension de fichiers inutilisée	.rmj	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rmj
Extension de fichiers inutilisée	.rms	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rms
Extension de fichiers inutilisée	.rmx	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rmx
Extension de fichiers inutilisée	.rsml	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rsml
Extension de fichiers inutilisée	.rv	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rv
Extension de fichiers inutilisée	.rvx	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rvx
Extension de fichiers inutilisée	.ssm	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ssm
Extension de fichiers inutilisée	.wm	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wm
Extension de fichiers inutilisée	.xpl	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xpl


Merci beaucoup!

dom2332 · Answer

Bonjour,

Désolé mais le message de l'autre jour est apparu de nouveau, et le pc ne tourne pas très bien depuis (alors qu'avec tous les changements que tu avais fait c''était nettement mieux) 

Quand je fais F8 au démarrage, ça ne donne pas grand chose, on me demande juste de choisir entre hard disk, flop... Quand je clique sur hard disk, le pc se lance normalement.

Bref, un peu la galère là lol!

Merci pour ton aide

dom2332 · Answer

Re,

Là j'ai des messages d'erreurs de explorer.exe, j'ai aussi un message récurent d'erreur de Connection Tray.

Peut-être qu'il y avait un virus qui changeait mes entrées, et qu'en le supprimant, ça a causé ça non? Ou bien il y a encore un virus peut-être, qui n'est plus masqué grâce aux modifications faites?

Qu'en dis tu?

Je vais refaire un diag et le poster, pour que tu jettes un oeil quand tu auras le temps.

Merci!

dom2332 · Answer

Voilà le rapport. Désolé encore.

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120815_11j6q5w10v10

dom2332 · Answer

Alors, restauration du système, je n'ai toujours aucunes dates avant hier.

F5 a marché, j'ai sélectionné dernière bonne configuration connue.

dom2332 · Answer

Nouveau diag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120815_u14s12b11e6g9

dom2332 · Answer

ça marche. Donc plus de virus? Si non parfait. De toute façon, depuis que le démarrage de tout à l'heure en dernière configuration correcte a réussi, c'est redevenu comme avant le dernier ZHPfix, donc nettement mieux qu'au départ.

Là c'est pas mal du tout.

Pour libérer de la RAM, ça veut dire que trop de choses sont lancées, c'est bien ça?

Y a t-il des solutions qui vaillent que je fasse un nouveau post?

dom2332 · Answer

Oui j'ai désinstallé tout ce que je pouvais au démarrage grâce à msconfig.

Ok je vais voir en partie HARDWARE. 

Un grand merci pour ton aide et ton temps.

Bonne soirée

Dom2332

PS: je passe ce post en résolu ou non?

Présence de csrss.exe

21 réponses

Discussions similaires

Newsletters