[Résolu] Explorer.exe ne se lance pas à l'ouverture de la session Windows

[ticlou]

Salut Antho02

Je ne suis pas un expert avec ce genre de rapport mais il semble ok du moins pour les infections.

Je te donne l'image du rapport

Amicalement

Ticlou

[Antho02]

merci de l'info, je continue a chercher

[ph1ph1l0u]

merci de l'info, je continue a chercher

 

 

salut Antho02,

 

je suis pas spécialiste de HJT mais il y a une chose ou 2 qui me semblent suspectes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe

F2 - REG:system.ini: UserInit=

surtout la 1ère ligne

 

regarde ici, ça été résolu, péniblement, mais finalement résolu!

 

Ou, peut-être autre solution:

msconfig => onglet System.ini:

chercher la ligne "Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe"

la décocher

nettoyer le registre avec CCleaner

rebooter

voir si ça le fait?

 

Et il y a aussi peut-être cela de problématique

O10 - Unknown file in Winsock LSP: d:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\napinsp.dll

O10 - Broken Internet access because of LSP provider 'd:\windows\system32\pnrpnsp.dll' missing

*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***

+ 2 - 3 autres valeurs concernant la Yahoo Toolbar ou FlashXP ou MSN. A voir.

Modifié le 29 février 2008 par philipped94

[Antho02]

salut!

 

 

je suis pas spécialiste de HJT mais il y a une chose ou 2 qui me semblent suspectes:

 

CITATION

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe

F2 - REG:system.ini: UserInit=

surtout la 1ère ligne

 

 

moi aussi je trouve ca bizare, meme la deuxieme ligne car tous ceux que j'ai vu avais quelquechose apres le "=" ...

 

regarde ici, ça été résolu, péniblement, mais finalement résolu!

merci, je connaissais pas ce forum, je vais chercher dessus aussi en meme temps meme si ca me parait bien compliqué lol

 

 

Ou, peut-être autre solution:

msconfig => onglet System.ini:

chercher la ligne "Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe"

la décocher

nettoyer le registre avec CCleaner

rebooter

voir si ça le fait?

 

par contre là impossible, il n'y a pas d'onglet SYSTEM.INI dans le msconfig vista

j'ai juste Démarrer, Général, Services, Démarrage et Outils

[ph1ph1l0u]

Dans HJT, coche et fixe les lignes

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe

F2 - REG:system.ini: UserInit=

 

installe CCleaner

et fais un nettoyage du registre (sauvegarde la BDR quand il te le demande)

Modifié le 29 février 2008 par philipped94

[Antho02]

c'est fait, mais rien ne change

[ph1ph1l0u]

OK ,

 

va dans C:\Windows

ouvre le fichier System.ini dans le Bloc-notes

copie-colle ce qu'il y a dedans ici-même

 

exemple (pris sur mon Vista):

; for 16-bit app support

[386Enh]

woafont=dosapp.fon

EGA80WOA.FON=EGA80WOA.FON

EGA40WOA.FON=EGA40WOA.FON

CGA80WOA.FON=CGA80WOA.FON

CGA40WOA.FON=CGA40WOA.FON

 

[drivers]

wave=mmdrv.dll

timer=timer.drv

 

[mci]

[ph1ph1l0u]

Autre chose, que je n'avais pas vu:

C:\WINDOWS\Config\csrss.exe

 

y a pas de dossier C:\WINDOWS\Config sur mon Vista

Normalement, csrss.exe, qui est 1 processus sain de Windows se trouve dans C:\Windows\System32

Le tien C:\WINDOWS\Config\csrss.exe est un virus.

W32.Deletemusic est un nouveau virus informatique qui se propage sur les systèmes de Windows 95 à Windows Vista ! Celui-ci a la facheuse tendance à effacer l’ensemble des fichiers MP3 qui se trouvent sur les disques durs et supports amovibles connectés à votre ordinateur infecté. Le fichier contenant ce ver porte le nom csrss.exe, il se copie automatiquement sur tous les disques reliés au système, y compris les disques partagés en réseau et créer un fichier autorun.inf sur chaque disque pour s’exécuter à chaque connexion du support… Celui-ci modifie également la base de registre pour être exécuté à chaque démarrage de Windows. Lorsque le ver est exécuté, il copie les fichiers suivants :

 

* %System%\config\csrss.exe

* %Windir%\media\arena.exe

* %System%\logon.bat

* %System%\config\autorun.inf

 

Avec le Gestionnaire des tâches, stoppe le processus C:\WINDOWS\Config\csrss.exe

Regarde dans msconfig => Démarrage si tu n'as pas cela: C:\WINDOWS\Config\csrss.exe -ou quelque chose y ressemblant) => si oui, à décocher

Regarde sur dans C:\WINDOWS\Config si tu as csrss.exe, si oui supprime-le.

 

Si ça marche pas, essaye avec KillBox (exécute-le en mode administrateur)

Cherche C:\WINDOWS\Config\csrss.exe

Coche Delete on Reboot

Puis appuie sur le bouton rouge.

(peut-être plus évident en Mode Sans Echec).

Modifié le 1 mars 2008 par philipped94

[Antho02]

edit, pardon ce message est une erreur lol

Modifié le 1 mars 2008 par Antho02

[Antho02]

je reprends, encore dsl pour le message.

 

donc ici mon systeme.ini de vista

 

; for 16-bit app support
[386Enh]
woafont=dosapp.fon
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]

 

 

pour le csrss.exe dans le C, apparement c'est un fichier de XP

car jai un XP sur mon C et Vista sur le D en dual boot.

dois-je le supprimer quand meme? je l'ai scanné avec les AV, aucun ne le décèle comme virus...

 

 

 

EDIT : quand je kill le process, ecran erreur tout bleu et le PC redémarre...

et il n'est pas dans le msconfig

Modifié le 1 mars 2008 par Antho02