arsboub Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 Comment le supprimer ??? BitDefender, A carré Free ad aware et spybot ne l'on pas détécter ! ! ! Comment faire pour le suprimer ??? Merci Bonne année... . Lien vers le commentaire Partager sur d’autres sites More sharing options...
Space Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 Un scan en ligne avec Kasperskey peut etre . Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 http://www.generation-nt.com/processus/w32...rm-crssexe/219/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
arsboub Posté(e) le 2 janvier 2006 Auteur Partager Posté(e) le 2 janvier 2006 bah il ne trouve rien trojan remover... . Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 T'est sur du nom de ton .exe ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 Poste un rapport Hijackthis dans la centralisation. Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 Poste un rapport Hijackthis dans la centralisation. fais ce qu'il te dit... pour info (source: Sophos): W32/Rbot-PX est un ver de réseau et un cheval de Troie de porte dérobée IRC pour la plate-forme Windows. Le ver se copie dans un fichier nommé crss.exe présent dans le dossier système Windows et crée les entrées suivantes du registre : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Sygate Personal Port = "crss.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Sygate Personal Port = "crss.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ Sygate Personal Port = "crss.exe" W32/Rbot-PX peut aussi paramétrer ou modifier les entrées suivantes du registre : HKLM\SOFTWARE\Microsoft\Ole\ EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ restrictanonymous = "dword:00000001" HKLM\SYSTEM\ControlSet\Control\Lsa\ restrictanonymous = "dword:00000001" W32/Rbot-PX se propage en utilisant un certain nombre de techniques comme l'exploitation des mots de passe faibles sur les ordinateurs et les serveurs SQL, l'exploitation des failles de systèmes d'exploitation (comme DCOM-RPC, LSASS, WebDAV et UPNP) et l'utilisation des portes dérobées ouvertes par d'autres vers ou chevaux de Troie. W32/Rbot-PX peut être commandé par un attaquant distant via des canaux IRC. Un utilisant distant peut ordonner au composant de porte dérobée de W32/Rbot-PX d'exécuter les fonctions suivantes : lancer un serveur FTP lancer un serveur Proxy lancer un serveur Web participer à des attaques par déni de service distribué (DDoS) enregistrer des frappes de touches capturer des images écran/webcam renifler des paquets contrôler des ports télécharger/exécuter des fichiers arbitraires lancer un shell distant (RLOGIN) Les correctifs des failles de systèmes d'exploitation exploitées par W32/Rbot-PX sont disponibles auprès de Microsoft aux adresses suivantes : http://www.microsoft.com/technet/security/...n/ms04-011.mspx http://www.microsoft.com/technet/security/...n/ms03-039.mspx http://www.microsoft.com/technet/security/...n/ms03-007.mspx http://www.microsoft.com/technet/security/...n/ms01-059.mspx et aussi: 1. Téléchargez une copie d'urgence de SAV32CLI (le lien se trouve sur leur site). Sur un ordinateur Windows non infecté, exécutez ce fichier pour en extraire le contenu dans un dossier SAV32CLI sur un support protégé en écriture. Copiez le dossier SAV32CLI sur un support qui peut être protégé en écriture. Ajoutez tous les fichiers IDE correspondants dans ce dossier et protégez la disquette en écriture (sur un CD/R ou un CD/RW, fermez la session). 2. Redémarrez l'ordinateur en mode sans échec. Choisissez Démarrer|Arrêter. Sélectionnez 'Redémarrer' dans la liste déroulante et cliquez sur OK. Windows redémarre alors. Lorsque le texte "Pressez F8 pour la résolution des problèmes et les options de démarrage avancées" apparaît en bas de l'écran, appuyez sur F8. Dans le menu des options avancées de Windows 2000, sélectionnez la troisième option 'Invite de commandes en mode sans échec'. 3. Sur l'ordinateur infecté, placez le CD-ROM dans le lecteur approprié (D: dans cet exemple). A l'invite de commande, saisissez : D: pour accéder au lecteur de CD-ROM. Saisissez : CD SAV32CLI Puis saisissez : SAV32CLI -REMOVE -P=C:\LOGFILE.TXT pour supprimer le ver. 4. Avant de quitter le mode sans échec, éditez toutes les entrées de registre mentionnées dans les instructions de récupération après une infection par un ver. Si les problèmes persistent, contactez le support technique. bon courage Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 Outre les précieux conseils prodigués par les respectables intervenants (voir ci-dessus), saches que: "crss.exe" est un ver W32.AGOBOT.GH type trojan à éradiquer le plus rapidement possible, il s'installe, en général, à partir d'une pièce jointe attachée à un courriel. Il existe un moyen de l'éliminer en cliquant:ICI Ceci dit, suis également les conseils des autres de nos membres (HijackThis,etc.) Bien à toi Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 T'est sur du nom de ton .exe ? ce que voulait dire Krapace, c'est sans doute qu'il ne faut pas confondre csrss.exe ("vital") avec crss.exe ou encore csrs.exe, qui sont d'ignobles choses qu'est-ce qui t'as mis sur la piste de cet exe d'ailleurs ? tente ce lien: http://virusscan.jotti.org/ (merci Snooky) en mode F8 avec prise en charge réseau sans garantie de résultat, ton ver désactivant un max d'antivirus. tiens au courant et bon courage Lien vers le commentaire Partager sur d’autres sites More sharing options...
.BöD. Posté(e) le 2 janvier 2006 Partager Posté(e) le 2 janvier 2006 A mon avis il a lu trop vite et il a lu crss.exe au lieu de csrss.exe qui lui n'est pas un virus : http://www.generation-nt.com/processus/cli...ime-process/10/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bobby6Killer37 Posté(e) le 3 janvier 2006 Partager Posté(e) le 3 janvier 2006 Ouai je pense aussi vu que c'est l'erreur que je viens de faire Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.