# Systmes > Windows > Scurit >  csrss.exe un virus   ?

## van-bom

Bonjour , 
j'ai visit un site web ( en passant par google ) et j'ai reue un message de l'extension NoScript de mozilla qui m'indique que ce site essaye d'excuter des actions dangereuse , puis j'ai quitter le site . 
aprs a, quand j'ouvre un navigateur ( Mozilla ou Chrome) je reois une message me disant que : connexion impossible avec avec Proxy . alors que moi j'ai jamais configur un Proxy ! j'ai rgl a avec Mozilla , mais Chrome jusqu' maintenant ne fonctionne pas .  

en plus de a  lors du dmarrage de Windows je reois deux messages conscutives  d'alerte  : 


```

```

et 


```

```

j'utilise AVG free dition. 

merci d'avance pour vos rponses.

----------


## txuku

Bonjour van-bom

Pour moi c est un virus.

As tu fait un scan MalwareBytes ? un scan antivirus en mode sans echec ou au demarrage du pc ?

Jettes un oeil ICI

----------


## van-bom

salut txuku et merci pour ta rponse .

sur mon PC j'ai l'AVG free edition , ile ne dtecte rien .

j'ai suivi le lien que tu m' indiqu , j'ai utilis le  malwarebytes-anti-malware , il  dtecter certains fichier infecter que j'ai supprimer .
mais je reois toujours les mmes messages d'alertes lors du dmarrage.

----------


## txuku

Regardes dans msconfig ce qui est lance au demarrage et fais une recherche csrss.exe dans le registre ( dans ces clef particulierement : _HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce


_csrss.exe se trouve normalement dans System32.

----------


## tigzy

Salut

Tu es infect

* Tlcharge sur le bureau *RogueKiller* (par tigzy)
* Quitte tous tes programmes en cours
* *Sous Vista/Seven* , clique droit -> lancer en tant qu'administrateur
* Sinon, lance simplement *RogueKiller.exe.*
* Lorsque demand, tape *2*  et valide
* Si le programme demande pour un proxy, tape 1
* Un rapport (RKreport.txt) a du se crer  ct de l'excutable, colle son contenu dans la rponse
* Si le programme a t bloqu, ne pas hsiter a essayer plusieurs fois.

----------


## van-bom

Bonjour , merci txuku , merci txuku pour cos rponse .

une chose que je comprends pas c'est que je ne me connecte plus avec  Chrome et Internet Explorer , ils me demandent de changer le Proxy alors que je n'utilise pas.

pour les msconfig  j'ai trouv  a  : 



```

```


pour le scan  : 


```

```

----------


## txuku

\Windows : load = bizarre 

Perso je n ai que des \Run


Pour ton proxy a premiere vue c est configure en local avec un port ouvert - je pense que tu modifier cela dans Options Internet/Connexions/Parametres reseau ( Ie )  : cocher Detecter automatiquement les parametres de connexion.

Mais je laisse la parole ( ecrite  ::):  ) a tigzy.............

----------


## tigzy

Quelque chose relance le proxy




> *Deregistred:*
> HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020


---




> *Found:*
> HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:58020


Tlcharge Malwarebytes, mets le  jour et passe un scan. 
On dirait un *Cybot*.




> HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\admin\Application Data\dwm.exe

----------


## van-bom

Bonjour , et merci tigzy, txuku pour vos  rponses.

j'ai rutilis Malwarebytes , et a l'air bon, je ne reois plus les messages d'alertes lors du dmarrage .

mais,  il y a toujours le soucis de Proxy , pour IE et Chrome , mme si je dsactive les proxy pour ces deux navigateurs  , je ne parviens pas  me connecter avec.

----------


## tigzy

C'est normal, car MBAM ne vire pas les proxy.
Envoie le rapport MBAM, puis relance RogueKiller en mode 2 ,n'oublie pas de taper 1 pour supprimer le proxy.

Maintenant que l'infection est partie, le proxy ne devrait pas se remettre. ::ccool::

----------


## van-bom

j'ai re excute RogueKiller en mode 2 et j'ai rpondue 1 , a a march pour IE ( j'ai re configur sans proxy ) mais pour chrome je l'ai dsinstaller /installer .

merci tigzy , txuku pour votre suivie .

le rapport MBAM  : 


```

```

si t'as le temps tigzy  tu peux me donner des explications sur ces infectations ? o t'as un Blog qui traite a .

----------


## tigzy

Tu aurais le dernier rapport de RogueKiller?

Pour ton infection, jai mis le lien plus haut  ::aie::

----------


## van-bom

oui tigzy j'ai pas fait attention  ::mouarf:: 

merci encore une fois pour ton suivie .

voici le dernier rapport RK:





```

```

----------


## tigzy

ok,

Supprime ta version de RogueKiller, tlcharge la nouvelle et relance *le mode 2 (REMOVE)* (sur le rapport c'est le mode 1 que tu as fait)

Il me semble que le proxy est toujours l

----------


## van-bom

oui j'ai tlcharger une autre version qui contient des options  : 


```

```

j'ai choisi le mode 2 
j'ai a  : 


```

```

----------


## tigzy

Tu me confirmes tre au maroc?

EDIT: plus de proxy, tu as rcupr internet sur IE?

----------


## van-bom

bonjour , merci tigzy pour ton suivie  ::ccool:: 

oui confirmer . pourquoi ?

je me connecte trs bien avec  IE et chrome , il y  a plus de problme de proxy server .

----------


## tigzy

ok, 

c'tait pour le serveur DNS, savoir s'il tait lgitime ou pas.
 ::ccool:: 

on peut faire un petit diag pour vrifier que tout va bien

 Tlcharge *ZHPDiag* sur le bureau, et lance le

 Laisse toi guider lors de l'installation, il se lancera automatiquement  la fin.
 Sous vista/seven, si un message d'erreur apparait , clique droit => excuter en tant qu'admin
 Clique sur l'icne reprsentant une loupe (* Lancer le diagnostic* )
*Enregistre le rapport sur ton Bureau*  l'aide de l'icne reprsentant une disquette
 Hberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine rponse sur le forum.

----------


## van-bom

bonjour , 
voici le rapport  : MBRCheck_02.03.11_16.45.30.txt

 vrai dire je n'ai pas arriver  ce niveau d'analyse  de mon systme  ::mrgreen::  
tu peux STP m'expliquer .

----------


## tigzy

Tu m'as fait un rapport avec MBRCheck ,c'tait un ZHPdiag qu'a jattendais  ::aie::

----------


## van-bom

ZHPDiag.txt  ::ccool::

----------


## tigzy

ok, quelques petits trucs:


Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix. 
Ensuite clique sur le H "Coller les lignes Helper" 
Copie colle ces lignes dans la fentre

*
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:58020
*

Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer" 
ZHPFix va gnrer un rapport, envoie le pour vrification.

------

Tlcharger sur le bureau 
*AD-Remover*
= Double-Clic * AD-R* pour l'installer
= Double-Clic* AD-Remover*, raccourci qui vient de se crer sur le bureau
= Faire* Nettoyer*
= En fin de scan donner le rapport

----------


## van-bom

ok voici le rapport  : 

Rapport de ZHPFix 1.12.3248 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-02-2011-11-33-00.txt
Run by admin at 04/02/2011 11:33:00
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Cl(s) du Registre ==========
O63 - Logiciel: HiJackThis - (.Trend Micro.) [HKLM] -- {45A66726-69BC-466B-A7A4-12FCBA4883D7}  => Cl supprime avec succs

========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) [HKLM] -- Ad-Remover  => Logiciel supprim avec succs
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  => Logiciel supprim avec succs


========== Rcapitulatif ==========
1 : Cl(s) du Registre
2 : Logiciel(s)


End of the scan

----------


## tigzy

Tu t'est tromp dans le copier/coller  ::aie::

----------


## van-bom

::oops:: 

j'ai effectuer le nettoyage avec  Ad-Remover : 



```

```

----------


## tigzy

ok, tu peux refaire le ZHPfix?

----------


## van-bom

j'ai pas bien saisi : 


```

```

----------


## tigzy

Aprs avoir cliqu sur le H, tu doit pouvoir mettre des choses dans la fentre de ZHPfix, Et bien dedans tu copie/colles la ligne suivante (avec CTRL+V):

*R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:58020*

Ensuite tu fais la suite

----------


## blue2

titre d'info.
Le clique sur [H], a pour effet de "Coller" dans la fentre de ZHPFix, ce qui a dj t "Copi".
..Donc, "Copier d'abord" la/les ligne propose et appuyer sur [H] !


Aussi ..
L'tape *Hosts Fix* devrait tre  considrer.

----------


## tigzy

Sauf qu'on peut toujousr virer les lignes qui sont dedans  :8-): 

Pour le HOSTSFix, je sais pas trop, l'auteur va nous renseigner sur la ligne: 

_127.0.0.2   persov2.localhost_, c'est peut tre lui qui l'as rajout...

----------


## van-bom

effectivement blue2 le H a pour effect de coller .



> 127.0.0.2 persov2.localhost, c'est peut tre lui qui l'as rajout...


oui c'est moi qui a cre des virtuels hosts dans  : 

```
C:\WINDOWS\system32\drivers\etc\hosts
```

rapport ZHPFix : 


```

```

----------


## tigzy

Ok, on est bon  ::ccool::

----------


## ChesterCat

Bonjour!
J'ai exactement le mme problme, avec cette histoire de proxy je ne peut plus aller sur internet avec Mozilla et IE, et j'ai ce message qui s'affiche  chaque dmarrage  propos du ficher csrss.exe
Je n'ai pas russi  suivre votre dmarche, quelqu'un peut-il m'aider s'il vous plait ?

Merci d'avoir lu, 
bonne soire!

----------


## tigzy

La dmarche n'est pas complique, il faut passer RogueKiller et poster le rapport

----------

