Discussion:
Erreur au démarrage avec csrss.exe
(trop ancien pour répondre)
Herser
2010-01-29 13:19:41 UTC
Permalink
Bonjour,
Depuis quelques jours, un message d'erreur concernant l'exécutable
"csrss.exe" (ci-joint) apparaît au démarrage de Windows. Ayant
cherché un peu, j'ai compris que ce dernier est une fonctionnalité de
Windows, d'autre part certaines informations le considèrent comme un
trojan ou virus. Malgré le scan avec mon antivirus Windows Live
Oncare, Spybot et d'autres antimalwares, aucune détection n'a été
trouvé. Pourriez-vous m'aider à résoudre ce problème svp?
Je suis sous Win XP SP3
Merci d'avance,
Cordialement,
Ralph...®
FU: microsoft.public.fr.securite, microsoft.public.fr.windowsxp
Bonjour

Quelques remarques sur les NG :
Tu as multiposté sur securite et sur windowsxp
Tu finis par FU :........
Mais je ne vois pas de Follow Up To (FU2)

Donc je fais un follow up to m.p.f.securite où ce post risuqe d'avoir mieux
sa place.

Suivre le fil là-bas SVP

Herser
Herser
2010-01-29 13:27:49 UTC
Permalink
Bonjour,
Depuis quelques jours, un message d'erreur concernant l'exécutable
"csrss.exe" (ci-joint) apparaît au démarrage de Windows. Ayant
cherché un peu, j'ai compris que ce dernier est une fonctionnalité de
Windows, d'autre part certaines informations le considèrent comme un
trojan ou virus. Malgré le scan avec mon antivirus Windows Live
Oncare, Spybot et d'autres antimalwares, aucune détection n'a été
trouvé. Pourriez-vous m'aider à résoudre ce problème svp?
Je suis sous Win XP SP3
Merci d'avance,
Cordialement,
Ralph...®
FU: microsoft.public.fr.securite, microsoft.public.fr.windowsxp
Re bonjour

Effectivement, cette erreur est souvent associé à un problème viral.

1) Pour en savoir plus, fais un diagnostic de ton PC avec :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ZHPDiag va générer un fichier log
Envoie ce fichier log (pas d'image, ni de doc) directement sur Cijoint
http://www.cijoint.fr/index.php
Et fais suivre ici le lien pour le récupérer

On l'analysera

2) En même temps fais analyser le fichier suivant sur VirusTotal :
C:\WINDOWS\system32\cdrss.exe
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
VirusTotal l'analysera avec une trentaine d'antivirus
Copie/colle les résultats

Herser
Ralph...©
2010-01-29 21:23:42 UTC
Permalink
Merci l'ami,

Voici le résultat de Virus Total (à préciser que le chemin que tu m'avais
indiqué ( C:\WINDOWS\system32\cdrss.exe ) n'existe pas, pensant que c'était
une erreur de frappe de ta part, j'ai fait scanner celui-ci:
C:\WINDOWS\system32\csrss.exe (l'exe en question)

Fichier csrss.exe reçu le 2010.01.24 03:50:14 (UTC)
Situation actuelle: terminé

Résultat: 0/41 (0.00%)
Formaté Impression des résultats
AntivirusVersionDernière mise à jourRésultat
a-squared4.5.0.502010.01.24-
AhnLab-V35.0.0.22010.01.23-
AntiVir7.9.1.1462010.01.22-
Antiy-AVL2.0.3.72010.01.22-
Authentium5.2.0.52010.01.23-
Avast4.8.1351.02010.01.23-
AVG9.0.0.7302010.01.23-
BitDefender7.22010.01.24-
CAT-QuickHeal10.002010.01.22-
ClamAV0.94.12010.01.22-
Comodo36872010.01.24-
DrWeb5.0.1.122222010.01.24-
eSafe7.0.17.02010.01.21-
eTrust-Vet35.2.72552010.01.22-
F-Prot4.5.1.852010.01.23-
F-Secure9.0.15370.02010.01.24-
Fortinet4.0.14.02010.01.24-
GData192010.01.24-
IkarusT3.1.1.80.02010.01.24-
Jiangmin13.0.9002010.01.23-
K7AntiVirus7.10.9522010.01.22-
Kaspersky7.0.0.1252010.01.24-
McAfee58702010.01.23-
McAfee+Artemis58702010.01.23-
McAfee-GW-Edition6.8.52010.01.24-
Microsoft1.54052010.01.24-
NOD3248002010.01.23-
Norman6.04.032010.01.23-
nProtect2009.1.8.02010.01.23-
Panda10.0.2.22010.01.23-
PCTools7.0.3.52010.01.24-
Prevx3.02010.01.24-
Rising22.31.06.012010.01.24-
Sophos4.50.02010.01.24-
Sunbelt3.2.1858.22010.01.23-
Symantec20091.2.0.412010.01.24-
TheHacker6.5.0.9.1602010.01.24-
TrendMicro9.120.0.10042010.01.24-
VBA323.12.12.12010.01.23-
ViRobot2010.1.23.21522010.01.23-
VirusBuster5.0.21.02010.01.23-
Information additionnelle
File size: 6144 bytes
MD5 : e0e8a531cfce1c2e5d79f683282c10c3
SHA1 : 6db829fd9d83a97ee8cf993338b63b2967455ba0
SHA256: de1896fe6096f3fb046b943b1f58590aea850aea7843b55796446d1cbf40fbfd
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4A6811A3
timedatestamp.....: 0x48025221 (Sun Apr 13 20:34:09 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xAA0 0xC00 5.98 44c941c5e503fc57412d62dca644b186
.data 0x2000 0x6C 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x3000 0x3F0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8
.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653

( 0 imports )


( 0 exports )

TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert:
http://www.threatexpert.com/report.aspx?md5=e0e8a531cfce1c2e5d79f683282c10c3
ssdeep: 96:1JXAN1CnotgbZm4vU/93SqYs5lEW5RtnWwG:1JXANooygp/ZSq/5+W5RtnW
PEiD : -
RDS : NSRL Reference Data Set

______________________________________________________________

En ce qui concerne ZHPDiag, voici le log sur cjoint :

http://www.cijoint.fr/cjlink.php?file=cj201001/cijlrsWuTX.txt


Te remerciant d'avance pour ta gentillesse,
Très cordialement,
Ralph


-
Bonjour,
Depuis quelques jours, un message d'erreur concernant l'exécutable
"csrss.exe" (ci-joint) apparaît au démarrage de Windows. Ayant
cherché un peu, j'ai compris que ce dernier est une fonctionnalité de
Windows, d'autre part certaines informations le considèrent comme un
trojan ou virus. Malgré le scan avec mon antivirus Windows Live
Oncare, Spybot et d'autres antimalwares, aucune détection n'a été
trouvé. Pourriez-vous m'aider à résoudre ce problème svp?
Je suis sous Win XP SP3
Merci d'avance,
Cordialement,
Ralph...®
FU: microsoft.public.fr.securite, microsoft.public.fr.windowsxp
Re bonjour

Effectivement, cette erreur est souvent associé à un problème viral.

1) Pour en savoir plus, fais un diagnostic de ton PC avec :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ZHPDiag va générer un fichier log
Envoie ce fichier log (pas d'image, ni de doc) directement sur Cijoint
http://www.cijoint.fr/index.php
Et fais suivre ici le lien pour le récupérer

On l'analysera

2) En même temps fais analyser le fichier suivant sur VirusTotal :
C:\WINDOWS\system32\cdrss.exe
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
VirusTotal l'analysera avec une trentaine d'antivirus
Copie/colle les résultats

Herser
Herser
2010-01-29 23:09:01 UTC
Permalink
Post by Ralph...©
Merci l'ami,
Voici le résultat de Virus Total (à préciser que le chemin que tu
m'avais indiqué ( C:\WINDOWS\system32\cdrss.exe ) n'existe pas,
pensant que c'était une erreur de frappe de ta part, j'ai fait
scanner celui-ci: C:\WINDOWS\system32\csrss.exe (l'exe en question)
Fichier csrss.exe reçu le 2010.01.24 03:50:14 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Impression des résultats
AntivirusVersionDernière mise à jourRésultat
a-squared4.5.0.502010.01.24-
AhnLab-V35.0.0.22010.01.23-
AntiVir7.9.1.1462010.01.22-
Antiy-AVL2.0.3.72010.01.22-
Authentium5.2.0.52010.01.23-
Avast4.8.1351.02010.01.23-
AVG9.0.0.7302010.01.23-
BitDefender7.22010.01.24-
CAT-QuickHeal10.002010.01.22-
ClamAV0.94.12010.01.22-
Comodo36872010.01.24-
DrWeb5.0.1.122222010.01.24-
eSafe7.0.17.02010.01.21-
eTrust-Vet35.2.72552010.01.22-
F-Prot4.5.1.852010.01.23-
F-Secure9.0.15370.02010.01.24-
Fortinet4.0.14.02010.01.24-
GData192010.01.24-
IkarusT3.1.1.80.02010.01.24-
Jiangmin13.0.9002010.01.23-
K7AntiVirus7.10.9522010.01.22-
Kaspersky7.0.0.1252010.01.24-
McAfee58702010.01.23-
McAfee+Artemis58702010.01.23-
McAfee-GW-Edition6.8.52010.01.24-
Microsoft1.54052010.01.24-
NOD3248002010.01.23-
Norman6.04.032010.01.23-
nProtect2009.1.8.02010.01.23-
Panda10.0.2.22010.01.23-
PCTools7.0.3.52010.01.24-
Prevx3.02010.01.24-
Rising22.31.06.012010.01.24-
Sophos4.50.02010.01.24-
Sunbelt3.2.1858.22010.01.23-
Symantec20091.2.0.412010.01.24-
TheHacker6.5.0.9.1602010.01.24-
TrendMicro9.120.0.10042010.01.24-
VBA323.12.12.12010.01.23-
ViRobot2010.1.23.21522010.01.23-
VirusBuster5.0.21.02010.01.23-
Information additionnelle
File size: 6144 bytes
MD5 : e0e8a531cfce1c2e5d79f683282c10c3
SHA1 : 6db829fd9d83a97ee8cf993338b63b2967455ba0
de1896fe6096f3fb046b943b1f58590aea850aea7843b55796446d1cbf40fbfd
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4A6811A3
timedatestamp.....: 0x48025221 (Sun Apr 13 20:34:09 2008)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xAA0 0xC00 5.98 44c941c5e503fc57412d62dca644b186
.data 0x2000 0x6C 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x3000 0x3F0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8
.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653
( 0 imports )
( 0 exports )
TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
http://www.threatexpert.com/report.aspx?md5=e0e8a531cfce1c2e5d79f683282c10c3
ssdeep: 96:1JXAN1CnotgbZm4vU/93SqYs5lEW5RtnWwG:1JXANooygp/ZSq/5+W5RtnW
PEiD : -
RDS : NSRL Reference Data Set
______________________________________________________________
http://www.cijoint.fr/cjlink.php?file=cj201001/cijlrsWuTX.txt
Te remerciant d'avance pour ta gentillesse,
Très cordialement,
Ralph
Re !

STP : essaie de répondre en dessous, ou mieux dans mon texte, pour une
meilleure lecture.

Vu pour le fichier csrss (et non cdrss qui est un virus)

Par contre mauvaise nouvelle pour le rapport ZHPDiag
Tu as attrapé un rootkit TDSS pas facile à éradiquer
Ainsi qu'un rogue eorezo, + facile à enlever.

On ne voit pas de trace d'antivirus dans le diagnostic.
C'est volontaire ou il a été supprimé ?

1) Désactiver Tea Timer de Spybot
Spybot, peu efficace possède un résident qui gêne la désinfection
Ouvrir Spybot (si possible)
Mode / Mode avancé
Outils / Résident
Décocher la case devant Tea Timer


2) MBAM
Essaie d'abord de scanner avec MalwareBytes AntiMalware (=MBAM)
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Il est possible que le virus bloque le téléchargement, essaie alors d'un
autre PC puis tranferts avec une clé.
Lis bien le tuto, pour suivre la procédure correctement

Si tu arrives à l'installer, change le nom de mbam.exe en Ralph.exe par
exemple
Scanne ton PC et récupère le log en fin d'analyse
Envoie le sur Cijoint et donne ici le lien pour le récupérer
http://www.cijoint.fr/index.php

MBAM te nettoiera eorezo et devrait faire un 1° nettoyage du TDSS.

3) TDSS Killer de Kaspersky
Télécharge ce dossier sur le bureau
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
Créer un dossier sur le bureau (Virus par ex) et y décompresser le zip
Exécuter TDSSKiller.exe
Cocher ensuite Delete/Repair
Il faudra peut-être redémarrer (taper Y) pour compléter la désinfection

4) Refaire ZHPDiag et envoyer le log sur Cijoint

Il se fait tard
Suite demain (ou ce matin plutôt)

Herser
Ralph...©
2010-01-31 14:48:00 UTC
Permalink
Re !
Re et merci l'ami

STP : essaie de répondre en dessous, ou mieux dans mon texte, pour une
meilleure lecture.

Vu pour le fichier csrss (et non cdrss qui est un virus)

Par contre mauvaise nouvelle pour le rapport ZHPDiag
Tu as attrapé un rootkit TDSS pas facile à éradiquer
Ainsi qu'un rogue eorezo, + facile à enlever.

On ne voit pas de trace d'antivirus dans le diagnostic.
C'est volontaire ou il a été supprimé ?

1) Désactiver Tea Timer de Spybot Il était déjà desactivé
Spybot, peu efficace possède un résident qui gêne la désinfection
Ouvrir Spybot (si possible)
Mode / Mode avancé
Outils / Résident
Décocher la case devant Tea Timer


2) MBAM Je ne le connaissais pas, installé et exécuté, apparemment il a du éradiquer pas mal de malwares, puisqu'au redémarrega plus aucun problème
Essaie d'abord de scanner avec MalwareBytes AntiMalware (=MBAM)
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Il est possible que le virus bloque le téléchargement, essaie alors d'un
autre PC puis tranferts avec une clé.
Lis bien le tuto, pour suivre la procédure correctement

Si tu arrives à l'installer, change le nom de mbam.exe en Ralph.exe par sans le changer tout a fonctionné correctement
exemple
Scanne ton PC et récupère le log en fin d'analyse
Envoie le sur Cijoint et donne ici le lien pour le récupérer
http://www.cijoint.fr/index.php

MBAM te nettoiera eorezo et devrait faire un 1° nettoyage du TDSS.

3) TDSS Killer de Kaspersky Téléchargé et installé, à l'exécution la commande, il n'a trouvé aucun, tout était à "0"
Télécharge ce dossier sur le bureau
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
Créer un dossier sur le bureau (Virus par ex) et y décompresser le zip
Exécuter TDSSKiller.exe
Cocher ensuite Delete/Repair
Il faudra peut-être redémarrer (taper Y) pour compléter la désinfection

4) Refaire ZHPDiag et envoyer le log sur Cijoint Je pense que ce n'est plus la peine

Il se fait tard
Suite demain (ou ce matin plutôt)

Herser
Te remerciant pour ta gentillesse,
Bonne fin de weekend et une excellente semaine
Très cordialement,
Ralph
Herser
2010-01-31 15:34:37 UTC
Permalink
Post by Ralph...©
Re !
Re et merci l'ami
STP : essaie de répondre en dessous, ou mieux dans mon texte, pour une
meilleure lecture.
Vu pour le fichier csrss (et non cdrss qui est un virus)
Par contre mauvaise nouvelle pour le rapport ZHPDiag
Tu as attrapé un rootkit TDSS pas facile à éradiquer
Ainsi qu'un rogue eorezo, + facile à enlever.
On ne voit pas de trace d'antivirus dans le diagnostic.
C'est volontaire ou il a été supprimé ?
1) Désactiver Tea Timer de Spybot Il était déjà desactivé
Spybot, peu efficace possède un résident qui gêne la désinfection
Ouvrir Spybot (si possible)
Mode / Mode avancé
Outils / Résident
Décocher la case devant Tea Timer
2) MBAM Je ne le connaissais pas, installé et exécuté, apparemment il
a du éradiquer pas mal de malwares, puisqu'au redémarrega plus aucun
problème
Essaie d'abord de scanner avec MalwareBytes AntiMalware (=MBAM)
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Il est possible que le virus bloque le téléchargement, essaie alors d'un
autre PC puis tranferts avec une clé.
Lis bien le tuto, pour suivre la procédure correctement
Si tu arrives à l'installer, change le nom de mbam.exe en Ralph.exe
par sans le changer tout a fonctionné correctement
exemple
Scanne ton PC et récupère le log en fin d'analyse
Envoie le sur Cijoint et donne ici le lien pour le récupérer
http://www.cijoint.fr/index.php
MBAM te nettoiera eorezo et devrait faire un 1° nettoyage du TDSS.
3) TDSS Killer de Kaspersky Téléchargé et installé, à l'exécution la
commande, il n'a trouvé aucun, tout était à "0"
Télécharge ce dossier sur le bureau
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
Créer un dossier sur le bureau (Virus par ex) et y décompresser le zip
Exécuter TDSSKiller.exe
Cocher ensuite Delete/Repair
Il faudra peut-être redémarrer (taper Y) pour compléter la
désinfection
4) Refaire ZHPDiag et envoyer le log sur Cijoint Je pense que ce n'est plus la peine
Il se fait tard
Suite demain (ou ce matin plutôt)
Herser
Te remerciant pour ta gentillesse,
Bonne fin de weekend et une excellente semaine
Très cordialement,
Ralph
Bien ! MBAM a suffi semble-t-il.

Remarque : pour répondre dans le texte, il vaut mieux sauter 1 ou 2 lignes.
Plutôt que répondre sur la même ligne.
Sinon, on ne sait plus qui dit quoi.

Bon dimanche toi aussi
Herser

Continuer la lecture sur narkive:
Loading...