CSRSS386

jean-michel · le 28 novembre 2004

Bonjour,

Voila une journée que je bataille avec ma base de registre qui comportait un certain nombre de problèmes.

j'ai utilisé : ad-aware se, spybot s&d, hijckthis.

ci-dessous le dernier log d'hjt

remarque : certains fichiers apparaissent avec une extension supplémentaire .bak ce qui me permet de tester avant d'enlever la ligne

Logfile of HijackThis v1.98.2

Scan saved at 08:18:16, on 28/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\PROGRA~1\EasyPHP\Apache\apache.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBAgent.exe

C:\Program Files\HP Web Jetadmin\hpwebjetd.exe

C:\PROGRA~1\EasyPHP\MySql\bin\mysqld-nt.exe

C:\PROGRA~1\EasyPHP\Apache\apache.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\HP Web Jetadmin\hpwebjetd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\WINDOWS\System32\wfxsnt40.exe

C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe

C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Program Files\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\csrss386.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\RMClient\PMClient.exe

C:\Program Files\Bluetooth Software\BTTray.exe

C:\Program Files\Symantec\DelFax\WFXCTL32.EXE

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Bluetooth Software\BTStackServer.exe

C:\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Download\logiciels\AntiSpyware\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.manutan-cd.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [WG511WLU] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [sbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE.bak

O4 - HKLM\..\Run: [dO61sm] C:\documents and settings\jmg.acf\local settings\temp\dO61sm.exe.bak

O4 - HKLM\..\Run: [x2PMAHR] C:\documents and settings\jmg.acf\local settings\temp\x2PMAHR.exe.bak

O4 - HKLM\..\Run: [X0] C:\documents and settings\jmg.acf\local settings\temp\X0.exe.bak

O4 - HKLM\..\Run: [q34P3FU] bwcsaps.exe.bak

O4 - HKLM\..\Run: [y] c:\documents and settings\jmg.acf\local settings\temp\y.exe.bak

O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [b0vFRPYEQ] cmucp60.exe.bak

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Aficio Manager 3.5 for Client.lnk = C:\Program Files\RMClient\PMClient.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Contrôleur.LNK = C:\Program Files\Symantec\DelFax\WFXCTL32.EXE

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\2\E_SRCV03.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ScanRouter Client Software.lnk = C:\Program Files\ScanRouter\Client\icsl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O15 - Trusted Zone: http://*.windowsupdate.com

Le principal problème qui me reste est : CSRSS386

Je n'arrive pas à l'enlever et il se trouve à plusieurs endroits de ma base :

HKCU\Software\Microsoft\Windows\CurrentVersion\run

HKLM\Software\Microsoft\Windows\CurrentVersion\run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

hkUsers\S-1-5-21-XXX/Software\Microsoft\Windows\CurrentVersion\run

Quelqu'un peut-il m'aider.

Merci d'avance.

Jean-Michel

PS au passage à quoi sert la clé hkUsers\S-1-5-21-XXX

Phengizy · le 28 novembre 2004

Bonjour Jean-Michel,

J'ai trouvé sur le site dernièrement:

http://hijackthis.de/index.php?langselect=french

En attente de réponses plus complètes

Quoique, j'en ai déjà fait 3 et j'ai de moins en moins de pb

MOA aussi g 5 lignes que je n'arrive pas à en lever, mais en faisant des recherches j'ai appris que ce n'était vraiment pas grave de les laisser, bien qu'elles reviennent à chaque scans en rouge. :-(

Espèrant t'avoir éd

@ +

L@urendo · le 28 novembre 2004

Salut,

CSRSS386 est un cheval de Troie.

http://www.computing.net/windowsxp/wwwboar...rum/121393.html

Pour l'éliminer, télécharge AD-aware ou spybot.

Connexion

Pas encore inscrit ?

CSRSS386

Messages recommandés

jean-michel

Lien vers le commentaire

Partager sur d’autres sites

Phengizy

Lien vers le commentaire

Partager sur d’autres sites

L@urendo

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer