Csrss

il ne s'agit pas d'un virus

si tu as des doutes vérifie comme suit:

télécharge eScan Antivirus Toolkit Utility
et nettoie ton pc avec
http://www.mwti.net/download/tools/mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
(il faut cocher la case "drive" puis cliquer sur le bouton "scan/clean")

a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.


-----------------------------------
Process File: csrss or csrss.exe
Process Name: Microsoft Client/Server Runtime Server Subsystem

Description:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated.
Author: Microsoft Corp
Part Of: Microsoft Windows Operating System

System Process: Yes
Virus: No
Spyware: No
Background Process: Yes
Uses Network: No
Hardware Related: No

Security Risk (0-5): 0
Common Errors: N/A

Merci du coup de main.

J'ai utilisé l'antivirus. Il a détecté un nombre exhorbitant de virus. ça m'inquiete d'ailleurs car hier j'avais utilisé secuser et il avait tout nettoyé (2ème scan impec).

En revanche le probleme csrss demeure et je viens de constater qu'il y a 2 processus csrss.exe presents. Est-ce normal ?

merci de votre aide

salut
Tufais Démarrer/rechercher csss.exe et tu regardes les propriéés
pour XP le bon est logé en Windows/Sytem32 il fait 4K version 5.1.2600.0
les autres tu effaces en mode sans échec (puisque tourne)
A+

merci beaucoup de ton aide.

En fait, en faisant rechercher j'en trouve 3 !!!

l'un windows/system 32 : 5 ko
l'autre windows/system 32 /dhcp 516 k
le 3ème windows/service pack file :I386 / ( KO

Pour info je ne suis pas en windows XP mais en 2000

ça change ?

Salut
je e connais pas W2K, attendre autre avis s ton antivirus ne détecte rien
A+

hello

pour info, tu peux jeter un coup d'oeil ici si tu as eu ces virus...http://www.sophos.fr/virusinfo/analyses/w32xbotc.htm­l
http://www.sophos.fr/virusinfo/analyses/trojsmallaq.html

Vérifie également l'orthographe exacte du processus ( pas c:\windows\system32\CSRRS.EXE par exemple ?)

Ce que je propose, c'est de télécharger hijackthis ici : http://209.133.47.12/~merijn/files/HijackThis.exe

Tu le poses sur ton bureau, tu lances le scan et tu fais copier/coller le rapport ici pour plus d'infos

merci


soyons désinvolte...

Bjr,

je m'incruste dans le débat, parceque j'ai detecté csrss dans mon processus en recherchant en fait la cause de mon ralentissement de navigation web qui se manifeste par des fenetres de pub délirantes et inutiles, indépendantes des sites que je visite bien sur!

est ce bien la manifestation de ce csrss?

si non ci dessous le resultat de hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 19:58:40, on 12/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Bcpc\bcpc.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Steganos Security Suite 5\spm.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Documents and Settings\Jeff\Mes documents\N° de tel phone book\PhoneTray.exe
D:\Program Files\United Devices\UD.EXE
D:\install progrs\Yzdock\YzDock.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\United Devices\ud_7174683.exe
D:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jeff\Bureau\hijackthis_198\HijackThis.exe
C:\DOCUME~1\Jeff\LOCALS~1\Temp\mwavscan.com
C:\DOCUME~1\Jeff\LOCALS~1\Temp\kavss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.65:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS5SPM] "D:\Program Files\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Raccourci vers PhoneTray.lnk = ?
O4 - Startup: UD Agent.lnk = D:\Program Files\United Devices\UD.EXE
O4 - Startup: Raccourci vers YzDock.lnk = D:\install progrs\Yzdock\YzDock.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


merci pour vos lumières, ma navigation web est un enfer: comme a l'epoque epique du 56k !

salut
Voilà les lignes plus que suspectes
Terminer les processs et effacer ces fichiers en mode sans échec

C:\Program Files\Bcpc\bcpc.exe

FIX de ces lignes
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"

a+

IL FAUT INSTALLER TCP VIEW

http://telechargement.zebulon.fr/104-TCPView.html

Ce petit freeware affiche toutes les connexions en simultané
tu deconnectes ou arrêtes les logitiels espions comme CRSRS ET NON PAS CSRSS et winNET l'affreux et tous les autres que les antispyware n'empeche pas de se réinstaller et ce a chaque nouvelle connexion de ta machine et le surf repart au quart de tour ainsi que la mule qui retrouvent les ports quattés par ces intrus

hello,

merci a vous pour l'aide...
j'ai été virer en mode ss echec les lignes mentionnées...apres 3mns de surf les fameuses fenetres sont revenues..sans contenu! à savoir blanches a l'interieur..délire :)
mais le surf est + rapide a nouveau :) merci

je viens d'install TCP view et voici ce kil dit:

ALG.EXE:1848 TCP chauffeteappart:1027 chauffeteappart:0 LIST­ENING
ALG.EXE:1848 TCP chauffeteappart:1027 chauffeteappart.noos.f­r:1133 ESTABLISHED
ALG.EXE:1848 TCP chauffeteappart.noos.fr:1135 ns2520.ovh.net­:ftp ESTABLISHED
IEXPLORE.EXE:1120 TCP chauffeteappart.noos.fr:1133 ns2520.ov­h.net:ftp ESTABLISHED
IEXPLORE.EXE:1120 TCP chauffeteappart.noos.fr:1136 ns2520.ov­h.net:44599 CLOSE_WAIT
IEXPLORE.EXE:1120 UDP chauffeteappart:1031 *:*
IEXPLORE.EXE:2896 UDP chauffeteappart:1143 *:*
LSASS.EXE:556 UDP chauffeteappart:isakmp *:*
LSASS.EXE:556 UDP chauffeteappart:4500 *:*
SVCHOST.EXE:768 TCP chauffeteappart:epmap chauffeteappart:0 ­LISTENING
SVCHOST.EXE:808 UDP chauffeteappart:ntp *:*
SVCHOST.EXE:808 UDP chauffeteappart.noos.fr:ntp *:*
SVCHOST.EXE:856 UDP chauffeteappart:1032 *:*
SVCHOST.EXE:932 UDP chauffeteappart:1900 *:*
SVCHOST.EXE:932 UDP chauffeteappart.noos.fr:1900 *:*
System:4 TCP chauffeteappart:microsoft-ds chauffeteappart:0 ­LISTENING
System:4 TCP chauffeteappart.noos.fr:netbios-ssn chauffeteap­part:0 LISTENING
System:4 UDP chauffeteappart:microsoft-ds *:*
System:4 UDP chauffeteappart.noos.fr:netbios-ns *:*
System:4 UDP chauffeteappart.noos.fr:netbios-dgm *:*


merci pour vos lumières
et dites moi aussi par la meme occasion les dangers que peuvent représenter pour mon micro d'exposer ttes ces infos sur 1 forum fréquenté par des pros et des potentiellemnt mal intentionnés :)..
a+

me revoilà 2 h + tard...
g viré ces p*t*** de fenetre grace a spy sweeper, qui pour info fctionne très bien.
et g trouvé la reponse sur ce forum dans une discussion relative a ADS flash track.
voilà
merci a tous pour la participation
:/)

Jeff

Oh ben je me sens moins seule d'un coup. Bonjour tout le monde,
Crsss truc bidule s'est mis en route hier soir sur mon ordi.
En effet, gros bouffeur de mémoire. Meme rechercher un fichier ou autre, ca ne voulait plus le faire non plus.
Ca m'a également bloqué norton système notworks, qui a été complètement déconfigurer. Analyse de l'ordi donc impossible à faire.
J'ai donc lancé l'antivirus en ligne de securer.com qui m'a trouvé 17 worm, dont un se nommant "worm agobot ye" et d'autres variantes.
L'ordi a complètement planté et je n'ai pas pu aller jusqu'au bout, et j'avoue il était trop tard pour aller plus lon dans mes recherches.

En moyen de protection j'ai donc norton, spyboy search and destroy, ad aware SE personnal, et zone alarm en parefeu. Ca sert à grand chose tiens lol

Si je réussi à allumer mon ordi ce soir, je vais essayer ce qui est dis plus haut.
Est-ce que vous auriez un complètement d'information à m'apporter?

HELPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPP

:p

salut,
récemment j'ai commencé a avoir des problèmes de connection avec mon pc. en effet, au debut quand le pc demarre tout se passe bien, je peux naviquer sur le net normalement, cependant, au bout d'un moment ma connection deconne a fond. je me suis aperçu de la présence d'un processus actif qui n'était pas la avant. Il s'agit de csrss.exe... bon en fait il y en a 2 dont un que je connais (utilisateur: SYSTEM) mais le 2eme est louche, il apparait sous le nom d'utilisateur Administrateur (j'ai alluciné, le compte administrateur est sous un autre nom sur mon pc et apparais egalement sous son nom normal dans les processus).
après avoir effectué une recherche de csrss.exe, jen trouve 2 aux emplacement suivants:
D:\WINDOWS\system32
D:\WINDOWS\system32\drivers

et oui ma partition win est sous D et non sous C enfin bref...

je sais que celui du system32 est normal mais pour celui de sytem32\drivers j'ai un doute et je pense que le csrss.exe sous le nom Administrateur vient de la.

Je suis un peu perdu la et j'esite a le supprime en mode sans echec.... c'est bien une saloperie ou c'est normal ?

merci d'avance de m'aider a éclaircir cela ^^

1) Fais un nouveau topic.
2)Donne l'adresse de ce topic
3) Poste un rapport HijackThis sur ce topic

pour répondre à dlvt, coche les cases suivantes :

C:\Program Files\Bcpc\bcpc.exe
O2 - BHO: Flash Enhancer - {7CD20E91-1F31-41da-8379-479EA31DF969} - c:\Program Files\XML\XML.dll
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"
(; )