problème avec le fichier csrss.exe sous winsock

[banko]

Bonjour à tous,

mon probléme c'est quand je démarre mon pc sous XP sp1, j'ai une fenêtre qui s'affiche "fichier c:\windows\winsock\csrss.exe introuvable. comment faire pour supprimer ce message s'il vous plait, merci.

ps: j'ai mis les 2 logs en pièces jointes d'aprés l'explicatif "Un malware ? Premiers gestes..."

[synthexe]

Bonjour banko et bienvenue sur Futura-Sciences

Tu es infecté, ce fichier n'a rien a faire la, je n'ai pas le temps de te rédiger une procédure tout de suite, si Igor ou Cyrrus ne sont pas passé d'ici ce soir, je te la rédigerais ...
Fais peut-etre une recherche sur le forum, ton probleme a deja été traité plusieurs fois, cela te donnera des pistes ...

@ plus tard

[synthexe]

Bonsoir

On est parti pour une tite procédure :

Télécharge CCleaner et installe le (attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

Citation:

(WinXP, Win2K)
Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézippe la totalité de l'archive smitfraudfix.zip

Utilisation ----- option 1 - Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Citation:

Utilisation ----- option 2 -Nettoyage :
Redémarre l'ordinateur en mode sans échec (tapote F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).
Double cliquer sur smitfraudfix.cmd
Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répond O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répond O (oui) pour remplacer le fichier corrompu.
Redémarre en mode normal et poster le rapport sur le forum.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Citation:

• Cliques sur Démarrer --> Exécuter
• Saisis : Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant:

Code:

svch0sts

• Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
  puis déroule le Type de Démarrage pour le modifier en Désactivé
• Clique sur Appliquer puis OK

Effectue la meme opération pour :

Code:

Windows Update 32
Windows TCP/IP Socket Driver

• Lance Hijackthis, choisir Open the Misc.Tools section
  la fenêtre "Configuration" va s'ouvrir
• Clique sur Delete a NT service...
  la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entre dans la zone de dialogue :
  
  svch0st
  
  Note : assures-toi de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
  
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  Clique NO

Fais la meme opération pour :
Win32x
winsck

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

Citation:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\u serinit.exe,C:\WINDOWS\winsock \csrss.exe
O4 - HKLM\..\RunServices: [Windows Update 32] lssax.exe
O4 - HKLM\..\RunServices: [Registry Value Name] tnojqtq.exe
O23 - Service: svch0sts (svch0st) - Unknown owner - C:\WINDOWS\svch0st.exe (file missing)
O23 - Service: Windows Update 32 (Win32x) - Unknown owner - C:\WINDOWS\System32\lssax.exe" -netsvcs (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)

Fermes tous les programmes et cliques sur Fix Checked

Cherche et supprime les fichiers suivants (en gras), si présents :

Code:

C:\WINDOWS\winsock\csrss.exe <-- le fichier (attention a bien enlever le fichier du dossier winsock)
C:\WINDOWS\svch0st.exe <-- le fichier (ATTENTION A L'ORTHOGRAPHE)
C:\WINDOWS\System32\lssax.exe <-- le fichier
C:\Program Files\Virus-Burst <-- le dossier

Lance CCleaner en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Redémarre en mode normal et poste moi les rapports smitfraudfix (1 et 2) et un nouveau rapport hijackthis.

Bonne nuitée, c'est l'heure de se coucher, demain, c'est debout a 7h ...

[banko]

Salut et merci Synthexe pour ton aide. Je ferais la procédure demain en fin de journée. Je te tiendrais au courant.

@+++

[banko]

un grand merci à toi Synthexe.

Je n'ai plus ce fameux message au démarrage. j'ai joins au message les rapport 1 et 2 de SmitfraudFix et le nouveau rapport de hijackthis.

super ce forum

[banko]

oups désolé les voici ces rapports joins

[synthexe]

Bonsoir banko

Super, le rapport est impeccable, tu as super bien bossé ... je te félicite.

Je te conseille de lire le tres bon dossier de Futura sur la protection d'un ordinateur personnel, il y a beaucoup a apprendre ... c'est important ...

Tu peux effacer smitfraudfix, par contre, garde CCleaner pour un nettoyage de temps a autre (1 a 4 fois par mois par exemple).

Bonne nuitée

[banko]

Bravo pour votre rapidité et bonne continuation à toutes l'équipe