Virus ordi / csrss.exe

Résolu/Fermé
Utilisateur anonyme - 1 juin 2020 à 20:13
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 - 2 juin 2020 à 10:31
Bonjour à tous !

J'ai voulu cet après-midi, essayer un logiciel qui était payant (étant donné que je ne voulais l'utiliser que quelques heures je n'avais pas envie de payer). Et bon bah... ce qui devait arriver, arriva: j'ai réussi à récupérer un superbe virus. Le soucis étant que je n'ai aucune idée de comment le (les, je pense qu'il y en a plusieurs) retirer. Certains des programmes lancés ne sont pas stoppables, ils se relancent dans la seconde. De même, windows defender a été neutralisé (c'est pour ça que je ne m'en suis pas rendu compte tout de suite) et avec, ma connexion internet a été trèèès fortement ralentie, si ce n'est arrêtée. J'ai heureusement un second pc qui peut me permettre de transférer les logiciels dont j'ai besoin pour retirer le malware.


Voici du coup une petite capture des processus lancés au démarrage. J'en ai d'ordinaire qu'une toute petite dizaine. Au délà du fait que ça soit bien fait pour moi, il va de soit que je suis preneur d'un petit coup de main pour le virer. L'un des malwares lancés est csrss.exe et j'ai vu qu'il y avait un autre topic (très récent d'ailleurs) mais je ne sais pas si il est valide ou non pour supprimer tout ce qui a été installé.

Ma machine tourne sous Windows 10.

Merci d'avance à toutes celles et ceux qui m'aideront !
A voir également:

5 réponses

bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
1 juin 2020 à 20:40
Bonsoir,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
0
Utilisateur anonyme
1 juin 2020 à 20:48
Très bien, je vois envoie ça tout de suite !
0
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
Modifié le 1 juin 2020 à 22:15

Ton pc est bien infecté, quand la désinfection sera terminée tu devras impérativement changer tous tes mots de passe en ligne sans exception.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Reimage] => C:\Program Files\Reimage\Reimage Protector\ReimageApp.exe [275168 2020-05-18] (Reimage LTD. -> reimage)
HKLM\...\RunOnce: [af1fgpwspmj] => C:\Program Files (x86)\Vxkz\627557203.exe [448000 2020-06-01] () [Fichier non signé]
HKLM\...\RunOnce: [ihnbli55hws] => C:\Program Files (x86)\Vxkz\354488692.exe [448000 2020-06-01] () [Fichier non signé]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [711948] => C:\Users\Admin\AppData\Roaming\mipejgy2ss1\hp42eskrxtq.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [T99WBUKTJEK6EBY] => C:\Program Files\RSJTHBRDOE\RSJTHBRDO.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [4388050] => C:\Users\Admin\AppData\Roaming\rifkvbzcisk\c40palx4st3.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [D7KPYPEWFFII2I6] => C:\Program Files\R06RNE4XY7\R06RNE4XY.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [YoutubeDownloader] => C:\Users\Admin\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95760 2020-05-27] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [ColdCherry] => C:\WINDOWS\rss\csrss.exe [3945472 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7372559] => C:\Users\Admin\AppData\Roaming\oly5aumypk4\ulc2gigjcq0.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [5590495] => C:\Users\Admin\AppData\Roaming\sap2qka5l5h\g20ya4yut30.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [BJ1RT7COD4QKI1O] => C:\Program Files\H1B0Z3XK0L\H1B0Z3XK0.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [LCIF284VYFIZA35] => C:\Program Files\4ZVHMF29YQ\4ZVHMF29Y.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [6400097] => C:\Users\Admin\AppData\Roaming\yk3bzcghoam\gvmehj5hsld.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2031886] => C:\Users\Admin\AppData\Roaming\n3fzocitbv4\cglg3ulidsp.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [3IVXT3DJH96QXAX] => C:\Program Files\32E8MFZOWA\32E8MFZOW.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [24WAS8CIZE0Z90I] => C:\Program Files\UKQ0LG24L0\UKQ0LG24L.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7289453] => C:\Users\Admin\AppData\Roaming\eemszlbhexl\pueoyyrh4x4.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [7394478] => C:\Users\Admin\AppData\Roaming\tbzhh22hl2f\drhrk3ys24a.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [NWERQM3Q292HUP8] => C:\Program Files\OEKMLD95S0\OEKMLD95S.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [0RIVK47KN68PQC4] => C:\Program Files\Q6AEXQC9GY\Q6AEXQC9G.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [fnf0mi] => C:\Program Files (x86)\fnf0mi\fnf0mi.dll [15360 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [3736574] => C:\Users\Admin\AppData\Roaming\eo4w1m1lhzx\s1kco3jnbh5.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2013582] => C:\Users\Admin\AppData\Roaming\xooyvvqqsdr\ubn15m0bv25.exe [1621610 2020-06-01] () [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [2FZ5Y14FUVX52LF] => C:\Program Files\0FL44YRQ51\0FL44YRQ5.exe [4098048 2020-06-01] (8C) [Fichier non signé]
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [F8CRXBVI1VFT1KF] => C:\Program Files\753UUWSL0F\753UUWSL0.exe [4098048 2020-06-01] (8C) [Fichier non signé]
InternetURL: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\drf.url -> URL: "C:\Users\Admin\AppData\Roaming\drf\fWtfFgqkUg.vbs"
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk [2020-06-01]
ShortcutTarget: SmartClock.lnk -> C:\Users\Admin\AppData\Roaming\Smart Clock\SmartClock.exe (Avant Force) [Fichier non signé]
Task: {0D7C65C7-FF0C-4826-9D8C-6121D408AD54} - System32\Tasks\NvNgxUpdateCheckDaily_{A5ECD9C6-D9C6-D9C6-D9C6-A5ECD9C6D9C6} => C:\Users\Admin\AppData\Roaming\jjigrrt [156672 2019-09-12] ( () [Fichier non signé]) [Fichier en cours d'utilisation ]
Task: {12056B14-316F-42BB-9AF0-A8098B4AB4A3} - System32\Tasks\iwtae => C:\ProgramData\shfajew\iwtae.exe [142848 2020-06-01] () [Fichier non signé]
Task: {1A4A7CB8-AD70-4550-A45E-861D73B0B702} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== ATTENTION
Task: {2D0ED2C6-2DAE-493B-AE86-C43E0FC2BD2C} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [3945472 2020-06-01] () [Fichier non signé]
Task: {5211505C-48D3-4D93-AB57-2F5FFBC2BF06} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-04-05] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
Task: {53B097DE-23B8-421F-A7C1-5EED759A1E93} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== ATTENTION
Task: {53BB9905-F1C0-4FF4-9350-966FC0CE1BCE} - System32\Tasks\NvNgxUpdateCheckDaily_{78821544-1544-1544-1544-788215441544} => C:\Users\Admin\AppData\Roaming\tvigrrt [167936 2019-09-12] ( () [Fichier non signé]) [Fichier en cours d'utilisation ]
Task: {6CC862D1-1D4A-4109-A2AF-6815B553CC0B} - System32\Tasks\YoutubeDownloader => C:\Users\Admin\AppData\Roaming\YoutubeDownloader\python\pythonw.exe [95760 2020-05-27] (Python Software Foundation -> Python Software Foundation)
Task: {C0DF149F-B772-4AF2-B27E-47BC66C39FB3} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SysInfo => C:\Users\Admin\AppData\Roaming\\syshost\\sihost.exe [70144 2017-05-20] () [Fichier non signé]
Task: {D82D766B-EA96-4582-BB94-059415D48A3D} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-04-05] (Microsoft Corporation) [Fichier non signé]
Task: {E276A48B-7E65-40C2-8262-ED8E5FA12BA5} - System32\Tasks\Smart Clock => C:\Users\Admin\AppData\Roaming\Smart Clock\SmartClock.exe [933888 2020-06-01] (Avant Force) [Fichier non signé]
Task: C:\WINDOWS\Tasks\iwtae.job => C:\ProgramData\shfajew\iwtae.exe
R2 2172F756; C:\ProgramData\2172F756\B6D13B91.dll [4011008 2020-06-01] () [Fichier non signé]
R2 TermService; C:\WINDOWS\branding\mediasrv.png [55808 2014-11-11] (important) [Fichier non signé] <==== ATTENTION (pas de ServiceDLL)
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [9073504 2020-02-19] (Reimage LTD. -> Reimage®)
C:\Program Files\Reimage
C:\ProgramData\Reimage Protector
C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
C:\Program Files\Reimage
C:\rei
C:\WINDOWS\Reimage.ini
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\WthNoEU1.exe
C:\Users\Admin\AppData\Roaming\xooyvvqqsdr
C:\Users\Admin\AppData\Roaming\eo4w1m1lhzx
C:\Program Files\753UUWSL0F
C:\Program Files\0FL44YRQ51
C:\Users\Admin\AppData\Roaming\tbzhh22hl2f
C:\Users\Admin\AppData\Roaming\eemszlbhexl
C:\Program Files\Q6AEXQC9GY
C:\Program Files\OEKMLD95S0
C:\Users\Admin\AppData\Roaming\n3fzocitbv4
C:\Program Files\UKQ0LG24L0
C:\Program Files\32E8MFZOWA
C:\Users\Admin\AppData\Roaming\yk3bzcghoam
C:\Users\Admin\AppData\Roaming\67b5a00a703c
C:\Program Files\H1B0Z3XK0L
C:\Program Files\4ZVHMF29YQ
C:\Users\Admin\AppData\Roaming\sap2qka5l5h
C:\Users\Admin\AppData\Roaming\oly5aumypk4
C:\WINDOWS\system32\Tasks\NvNgxUpdateCheckDaily_{A5ECD9C6-D9C6-D9C6-D9C6-A5ECD9C6D9C6}
C:\ProgramData\2172F756
C:\Users\Admin\AppData\Roaming\erfddd.exe
C:\WINDOWS\system32\Tasks\Smart Clock
C:\Users\Admin\AppData\Roaming\Smart Clock
C:\Users\Admin\AppData\Roaming\rifkvbzcisk
C:\Users\Admin\AppData\Roaming\mipejgy2ss1
C:\Program Files\RSJTHBRDOE
C:\Program Files\R06RNE4XY7
C:\Program Files (x86)\fnf0mi
C:\Program Files (x86)\Vxkz
C:\WINDOWS\rss\csrss.exe
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


7- Fait une nouvelle analyse FRST et poste les nouveaux rapports dans ta réponse

0
Utilisateur anonyme
1 juin 2020 à 22:10
Je vais faire ça de suite et reviens vers vous dès que tout ça est terminé.
0
Utilisateur anonyme
Modifié le 1 juin 2020 à 22:30
Voilà pour les fichiers après correction:


Fixlog - https://pjjoint.malekal.com/files.php?id=20200601_d6o6f5u7v6

Addition - https://pjjoint.malekal.com/files.php?id=20200601_r12i6o13n7s10

FRST - https://pjjoint.malekal.com/files.php?id=FRST_20200601_d15i10h11u9m6

Shortcut - https://pjjoint.malekal.com/files.php?id=20200601_i7w13y13s14z14



Les malwares ont l'air d'avoir disparu (en tous cas je ne les vois plus sur mon gestionnaire des tâches). Néanmoins, la section "Securité Windows" n'a pas été rétablie et ne marche toujours pas.
0
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Utilisateur anonyme
1 juin 2020 à 22:41
Bizarre les taches planifiées n'apparaissent pas dans le rapport.

Procédure à faire dans l'ordre indiqué :
ATTENTION pour que la désinfection fonctionne il faut démarrer ton pc en mode sans échec avec "prise en charge du réseau".

Pour le démarrage en mode sans échec il suffit de lire attentivement cette page et faire ce qui est indiqué au paragraphe Démarrer en mode sans échec depuis Windows.
Tu peux imprimer les pages ou prendre des notes car à partir du paragraphe Les options de récupération tu ne seras plus sous Windows tu n'y reviendras qu'une fois en mode sans échec.

Une fois Windows démarré en mode sans échec avec prise en charge du réseau

1- Ouvre FRST
2- Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [CloudNet] => "C:\Users\Admin\AppData\Roaming\67b5a00a703c\67b5a00a703c.exe"
C:\Users\Admin\AppData\Roaming\67b5a00a703c
R2 WinDefender; C:\WINDOWS\windefender.exe [1986560 2020-06-01] () [Fichier non signé]
C:\Windows\windefender.exe
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
6- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

7- Fait une nouvelle analyse FRST et poste les nouveaux rapports dans ta réponse.

0
Utilisateur anonyme > bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024
1 juin 2020 à 22:48
Sans doute m'y suis-je mal pris concernant la correction.

Concernant l'étape 2
"2- Copie l'intégralité du script qui est dans l'encadré qui suit :"

Où dois-je copier le code exactement ?
0
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Utilisateur anonyme
Modifié le 1 juin 2020 à 22:50
Oui comme la première fois tu dois copier le code indiqué:
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-1723510311-4252272878-3066841640-1001\...\Run: [CloudNet] => "C:\Users\Admin\AppData\Roaming\67b5a00a703c\67b5a00a703c.exe"
C:\Users\Admin\AppData\Roaming\67b5a00a703c
R2 WinDefender; C:\WINDOWS\windefender.exe [1986560 2020-06-01] () [Fichier non signé]
C:\Windows\windefender.exe
RemoveProxy:
EmptyTemp:
End::
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
1 juin 2020 à 23:50
Ton pc est désinfecté, l'infection a endommagé le centre de sécurité de Windows, fait une réparation de Windows sans perte de données VOIR CETTE PAGE à partir du paragraphe Avec Media Creation Tool, cela aura aussi l'avantage de mettre à jour ta version de Windows qui ne l'est pas, attention cette réparation dure un certain temps.
0
Utilisateur anonyme > bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024
1 juin 2020 à 23:53
Je vais aller faire ça et vous recontacterai une fois la tâche terminée. Merci du temps que vous m'avez accordé. Je vous répondrai probablement demain. Encore merci et bonne journée/soirée !
0
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Utilisateur anonyme
1 juin 2020 à 23:58
Bonne nuit.
0
Utilisateur anonyme > bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024
2 juin 2020 à 10:24
Bonjour,
Le centre de sécurité a bien été réparé. Merci encore du temps accordé et d'avoir résolu mon problème.
Bonne journée à vous.
0
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Utilisateur anonyme
Modifié le 2 juin 2020 à 10:43

Surtout n'oublie pas de changer tous tes mots de passe en ligne ils ont pu être dérobés.

Tu as désormais la nouvelle version de Windows 10 voir CETTE PAGE
Il n'y a plus d'infection active sur ton pc, mais pour terminer tu peux faire un scan du disque C avec ESET NOD32 Online Scanner il terminera de supprimer d'éventuels restes d'infection inactifs.

Bonne journée.
0