trojan: csrss

j'ai pas trouve de rapport pour le USBfix mais je vais faire un scan avec rsit

Salut


Regarde bien, le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)


@++

j'ai fai le scan mais j'ai pa trouve de rapport deja que ca redemarrea l machine automatiquement.

Salut wildwoolfy


- Télécharge GenProc (de narco4 et jean-chretien1) sur ton bureau.

http://www.genproc.com/GenProc.exe

- Double clique sur GenProc.exe télécharger

- Poste le contenu du rapport qui s'ouvre.

Tutoriel : http://www.genproc.com/tutorial_genproc/tutorial_genproc.html


@++

salut dedetraque
jai lance genproc mais avant de lancer j'ai vu un message d'erreur je vous l'envoi

http://cjoint.com/?fErrXbskx7

et le rapport
http://cjoint.com/?fErtSNvRmj

Salut wildwoolfy


Télécharge MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip extraie la totalité de cette archive sur le bureau


- ouvre le dossier MSNFix qui est sur le bureau
- Double clic sur MSNFix.bat
- Appuie sur R pour lancer la recherche

- Si une infection est trouvée, un message l'indiquera, appuie sur une touche pour lancer le nettoyage

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

- Poste le rapport de MSNFix


Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement


@++

salut dedetraque j'ai tout essaye mais msn fix ne veux pas fonctionner
que faire?

Salut wildwoolfy


Télécharge OTMoveIt3 (de Old_Timer) sur le bureau :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe sur le bureau

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved



- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTMoveIt3

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.


@++

salut dedetraque voila le rapport de Omoveit
http://cjoint.com/?gckVzktN74

Salut wildwoolfy


Bizarre, whitelisted, faire un scan de ce fichier explorer.exe ici :

http://www.virustotal.com/fr/


Clique sur Parcourir et copie/colle ceci :
C:\Windows\System32\explorer.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.


Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++

Salut dedetraque je suis pour tout ce silence j'avais vrainment pas de temps acause d'un projet d'architecture. on dirait que le traitement n'etait pas fini alors j'envoi le rappport de virustotal mais jy arriv pas et mamachine est super lent je sais plus quoi faire....

Salut wildwoolfy


As-tu regarder le tuto donner?


@++

oui j'ai suivi le tuto et voila ce ke sa me donne a chaque fois


Exception

Please report failure as: ErrorTime= "Jun 07 03:15:14"


que faire dans ce cas

bonjour
j'ai eu le même problème et je l'ai résolu.
si vous n'êtes pas parvenu à vous débarrasser de ce torjan, voici l'astuce que j'ai utilisée:
- Démarrer en mode sans échèques ( win XP , F8 au démarrage )
- Choisir la session Administrateur
- clic sur Demarrer - executer
- taper regedit valider
- se positionner au début du fichier
- clic sur editer puis sur chercher
- taper stcvhost puis valider
- attendre le résultat de la recherche
- si une entréee contenant stcvhost est trouvée appuyer sur supprimer
- appuyer sur F3 pour poursuivre la recherche
- répéter la même action jusqu'à la fin
- quitter regedit
- formatter la ou les clés usb infectée ou effacer le fichier autorun.inf et le répartoire recycler ( ceux-ci sont cachés s'ils ne sont pas visibles utiliser totalcommander )
- supprimer le sous répertoire qui se trouve dans recycler du répertoire racine c:\
- relancer l'ordinateur
- pour éviter que le problème se répète éviter d'utiliser les clés infectées
bonne chance

bonjour
j'ai eu le même problème et je l'ai résolu.
si vous n'êtes pas parvenu à vous débarrasser de ce torjan, voici l'astuce que j'ai utilisée:
- Démarrer en mode sans échèques ( win XP , F8 au démarrage )
- Choisir la session Administrateur
- clic sur Demarrer - executer
- taper regedit valider
- se positionner au début du fichier
- clic sur editer puis sur chercher
- taper stcvhost puis valider
- attendre le résultat de la recherche
- si une entréee contenant stcvhost est trouvée appuyer sur supprimer
- appuyer sur F3 pour poursuivre la recherche
- répéter la même action jusqu'à la fin
- quitter regedit
- formatter la ou les clés usb infectée ou effacer le fichier autorun.inf et le répartoire recycler ( ceux-ci sont cachés s'ils ne sont pas visibles utiliser totalcommander )
- supprimer le sous répertoire qui se trouve dans recycler du répertoire racine c:\
- relancer l'ordinateur
- pour éviter que le problème se répète éviter d'utiliser les clés infectées
bonne chance

Salut wildwoolfy


Supprime ce dossier C:\rsit

Refais un scan avec RSIT et poste les rapports log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++

bonjour dedetraque et lazioual merci pour ta reponse

voila les rapports de RSIT


info
http://cjoint.com/?ghsw3oQLLn

logs

http://cjoint.com/?ghsyLSMoEG

merci

Salut wildwoolfy


Te sert tu des toolbars? Les toolbars c'est pas obligatoire!

Microsoft Live Search Toolbar
ToggleEN Toolbar
ArchiBar Toolbar
Adobe PDF
Contribute Toolbar


-----


Connais-tu ce programme?
C:\Program Files (x86)\P2Pcontrol\p2control.exe


Sinon faire un scan de ce fichier p2control.exe ici :

http://www.virustotal.com/fr/


Clique sur Parcourir et copie/colle ceci :
C:\Program Files (x86)\P2Pcontrol\p2control.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.


Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++

voila le raport de virus total

http://cjoint.com/?ghtBWkNS40

merci

Salut wildwoolfy


Pas le bon rapport, le fichier est pas le même :

Fichier DPTJDPETBL-890.pms.exe.SVD reçu le 2009.05.24 16:17:44 (UTC)

Refais le


@++

voila jai refait et le resultat est

http://cjoint.com/?ghvisrK1n0

merci

Salut wildwoolfy


Via Programmes et fonctionnalités désinstalle p2control.exe

Supprime si encore présent : C:\Program Files (x86)\P2Pcontrol


Important Désactive ton Antivirus avant le scan en ligne :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
http://www.eset-nod32.fr/scanner.html

Dans le bas de la page clique sur Scanner en ligne >




Dans la nouvelle page, coche la case devant OUI, j'accepte les termes du contrat de licence et clique sur Start pour débuter.




Dans la nouvelle page(qui est assez longue a charger) tu auras une alerte pour la barre d'information, clique sur Fermé.

Maintenant faire un clique droit dans la barre d'information en jaune dans le haut de la page, et clique sur Installer le contrôle ActiveX.




Une boite d'information va s'ouvrir, clique sur Installer




Dans la nouvelle page clique en bas sur Démarrer, le téléchargement de la base des signatures de virus va débuter.
Après le scan du PC va débuter, patience le temps du scan, ne pas faire de navigation durant le scan, on a désactivé l'Antivirus.


Une fois le scan fini, cliqué sur Terminé et fermé la page.

Ouvrir l'explorateur Windows et retrouver le rapport qui est dans ce répertoire :

C:\Program Files\ESET\ESET Online Scanner\log.txt

Copie/colle le contenue de ce rapport log.txt


@++

voila le rapport

http://cjoint.com/?gia0zT

merci

Salut wildwoolfy


Cela me dit que le lien n'est pas disponible, faire un copier/coller sur le forum du rapport.


@++

C:\Users\ROLF\Desktop\MSNFix\incl\Hostsclean.exe Win32/Packed.Autoit.Gen application supprimé - mis en quarantaine
C:\Users\ROLF\Downloads\DivX Pro 7.1.0.74 + with Keygen 2009\DivXInstaller 2009.EXE une variante de Win32/TrojanDownloader.Small.OPN cheval de troie supprimé - mis en quarantaine

Salut wildwoolfy


Bon, pas complet comme rapport, as-tu d'autre souci?


@++

non pas vraiment merci beaucoup


vous mavez ete d'une grande aide merci encore

Salut wildwoolfy


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/TC/ToolsCleaner2.exe


- Faire un clique droit sur ToolsCleaner2.exe sur le bureau, et choisi exécuter en tant qu'administrateur
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
http://www.malekal.com/scan_vulnerabilite.php

Faire un ménage des fichiers inutiles et de la base de registre :
http://www.malekal.com/tutorial_CCleaner.html

Donne des nouvelles si tu as des soucis et on passe à la résolution du sujet par la suite.


@++

salut dedetrauqe voila le raport de toolscleaner


[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\lopR.txt: trouvé !
C:\Combofix: trouvé !
C:\Lop SD: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc

.html: trouvé !

C:\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\ROLF\Desktop\HijackThis.lnk: trouvé !
C:\Users\ROLF\Desktop\LopSD.exe: trouvé !
C:\Users\ROLF\Desktop\Msnfix.zip: trouvé !
C:\Users\ROLF\Desktop\ComboFix.exe: trouvé !
C:\Users\ROLF\Desktop\UsbFix.exe: trouvé !
C:\Users\ROLF\Desktop\OTMoveIt3.exe: trouvé !
C:\Users\ROLF\Desktop\Genproc - Raccourci.lnk: trouvé !
C:\Users\ROLF\Desktop\MsnFix: trouvé !
C:\Users\ROLF\Documents\HJTInstall.exe: trouvé !
C:\Users\ROLF\Documents\hijackthis.log: trouvé !
C:\Users\ROLF\Documents\Rsit.exe: trouvé !
C:\Windows\msnfix.txt: trouvé !

---------------------------------
--> Suppression:

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\ROLF\Desktop\HijackThis.lnk: supprimé !
C:\Users\ROLF\Desktop\LopSD.exe: supprimé !
C:\Users\ROLF\Desktop\Msnfix.zip: supprimé !
C:\Users\ROLF\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\ROLF\Documents\HJTInstall.exe: supprimé !
C:\lopR.txt: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc

.html: ERREUR DE SUPPRESSION !!

C:\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\ROLF\Desktop\UsbFix.exe: supprimé !
C:\Users\ROLF\Desktop\OTMoveIt3.exe: supprimé !
C:\Users\ROLF\Desktop\Genproc - Raccourci.lnk: supprimé !
C:\Users\ROLF\Documents\hijackthis.log: supprimé !
C:\Users\ROLF\Documents\Rsit.exe: supprimé !
C:\Windows\msnfix.txt: supprimé !
C:\Combofix: supprimé !
C:\Lop SD: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files (x86)\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !
C:\Users\ROLF\Desktop\MsnFix: supprimé !

Salut wildwoolfy


N'oublie pas les mises à jour.


@++

salut dedetraque je suis j'ai ete dans un grand silence car ma machine fonctionnait bien et voila que la maintenant je suis réinfecte. que dois je faire.? jai essaye de faire tout ce Que tu m'as dit de faire la première fois mais les log je ne sais pas comment les interprete. merci davance

Salut wildwoolfy


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++

salut dedetraque tu es la bienvenue.
voila les resultats.

info
http://cjoint.com/?htrKS80jXh
log
http://cjoint.com/?htrKXyPxk2

merci.
j'aimerais que tu me dises comment faire pour eviter les virus. comme sa je viendrai pas te casser les pieds tout le temps lol..

Salut wildwoolfy


Commence par arrêter le téléchargement illégale, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..) Le danger des cracks !

Via Programmes et fonctionnalités désinstalle ArchiBar Toolbar et ToggleEN Toolbar


Fais un scan en ligne ici :
Important Désactive ton Antivirus avant le scan en ligne :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm


Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :
http://www.eset-nod32.fr/scanner.html

Dans le bas de la page clique sur Scanner en ligne >




Dans la nouvelle page, coche la case devant OUI, j'accepte les termes du contrat de licence et clique sur Start pour débuter.




Dans la nouvelle page(qui est assez longue a charger) tu auras une alerte pour la barre d'information, clique sur Fermé.

Maintenant faire un clique droit dans la barre d'information en jaune dans le haut de la page, et clique sur Installer le contrôle ActiveX.




Une boite d'information va s'ouvrir, clique sur Installer




Dans la nouvelle page clique en bas sur Démarrer, le téléchargement de la base des signatures de virus va débuter.
Après le scan du PC va débuter, patience le temps du scan, ne pas faire de navigation durant le scan, on a désactivé l'Antivirus.


Une fois le scan fini, cliqué sur Terminé et fermé la page.

Ouvrir l'explorateur Windows et retrouver le rapport qui est dans ce répertoire :

C:\Program Files\ESET\ESET Online Scanner\log.txt

Copie/colle le contenue de ce rapport log.txt


@++

voila le resultat jai fait un print screen car le processus a echoue.
http://cjoint.com/?httRgFN14o

Salut wildwoolfy


Fais un scan en ligne ici :
http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

Désactive ton Antivirus avant le scan en ligne
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Sur la page du scan en bas à droite clique sur Démarrer Online-scanner et dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

Accepte les Contrôle ActivX

Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)

Poste le contenue du rapport

Aide pour l'utilisation du scan en ligne :
http://forum.pcastuces.com/kaspersky_online_scanner___tutoriel-f31s10.htm

P.S. : Si tu as un problème pour l'installation du Contrôle ActivX lis ceci :
http://www.inoculer.com/activex.php3

NOTE : Si tu reçoit le message "La licence de Kaspersky On-line Scanner est périmée"
Via Ajout/Suppression de programmes supprime Kaspersky Online Scanner et refaire l’installation.


@++