supprimer un faux message d'alerte XPRésolu/Fermé

Question

Bonjour, 

mon antivirus a supprimé un virus csrss.exe sans problème. Le PC fonctionne tout à fait normalement maintenant.
Mais à chaque démarrage j'ai le message suivant à l'ouverture :

Windows ne trouve pas "C:\Document and Setting\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe"...

Manifestement cette boite annonce un faux message d'erreur, sans doute générer par le virus, car le fichier csrss.exe ne se situe pas là. Il semble que ce message n'est pas créer par le service du centre de sécurité.

Comment supprimer cette fausse alerte ?

Merci à tous.

Cordialement.

Windows XP Familial
Firefox 3.6.13

Lyonnais92 · Answer

Bonsoir,

c'est le signe que le malware, avant d'être supprimé, a créé une clé de regsitre.

Pour qu'on la trouve et la supprime, fais ceci :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Matotea · Answer

Merci beaucoup pour cette réponse rapide.

Le lien  : http://www.cijoint.fr/cjlink.php?file=cj201012/cijQkAWhHM.txt

Très cordialement

Lyonnais92 · Answer

Bonsoir,

tu habites dans le Pacifique ?

plus de travail qu'attendu.

1 - Désinstalle Ask.com search assistant 1.0.2 par démarrer, Panneau de configuration, Ajout/suppression de programmes.

2 - Mets à jour Acrobat reader (de la v5 à la V10)

https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/

3 - Mets à jour ta console java : 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

4 - 

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)) :
 
Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell]
"Shell"="explorer.exe"

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom modreg.reg


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

REG:modreg.reg
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) --  (.not file.)
O4 - HKCU\..\Run: [mssend] C:\Documents and Settings\Propriétaire\Application Data\mssend2\svcnost.exe (.not file.)
O4 - HKCU\..\Run: [wJjtFlFIvu.exe] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wJjtFlFIvu.exe (.not file.)
O4 - HKCU\..\Run: [14446000] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\14446000.exe (.not file.)
O4 - HKUS\S-1-5-21-1960408961-287218729-725345543-1003\..\Run: [mssend] C:\Documents and Settings\Propriétaire\Application Data\mssend2\svcnost.exe (.not file.)
O4 - HKUS\S-1-5-21-1960408961-287218729-725345543-1003\..\Run: [wJjtFlFIvu.exe] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wJjtFlFIvu.exe (.not file.)
O4 - HKUS\S-1-5-21-1960408961-287218729-725345543-1003\..\Run: [14446000] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\14446000.exe (.not file.)
[HKCU\Software\Install]
[HKLM\Software\ImInstaller]
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IncMail.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --    => Fichier absent  
O47 - AAKE:Key Export SP - "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\0.8844593028035812.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\1693568.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Application Data\mssend2\svcnost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O51 - MPSK:{4df76218-af6e-11dc-bf68-0019211ce888}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\AdobeR.exe (.not file.)
O51 - MPSK:{d326303f-215b-11dd-804b-0019211ce888}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- H:\bittorrent.exe (.not file.)
O51 - MPSK:{4df76218-af6e-11dc-bf68-0019211ce888}\Shell\auto\command - Clé orpheline
O51 - MPSK:{6c3631f8-8fc9-11df-8fd3-40618680492c}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{6c3631f8-8fc9-11df-8fd3-40618680492c}\Shell\auto\command - Clé orpheline
O51 - MPSK:{d326303f-215b-11dd-804b-0019211ce888}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\bittorrent.exe (.not file.)
O51 - MPSK:{d326303f-215b-11dd-804b-0019211ce888}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- H:\bittorrent.exe (.not file.)
O51 - MPSK:{d7049730-b74d-11dd-8164-0019211ce888}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{d7049730-b74d-11dd-8164-0019211ce888}\Shell\auto\command - Clé orpheline
O51 - MPSK:{d7049731-b74d-11dd-8164-0019211ce888}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{d7049731-b74d-11dd-8164-0019211ce888}\Shell\auto\command - Clé orpheline

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.


Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Matotea · Answer

bonsoir si tu es encore là, ou alors bonjour.

Oui j'habite en Polynésie Française à Raiatea aux îles sous le vent.

J'ai loupé l'étape "Effacer les anciennes versions" pour la console Java.

Le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijQ8YUffb.txt

J'ai redémarré le PC et le message apparaît toujours.

Merci beaucoup pour ton soutien.

Cordialement.

Lyonnais92 · Answer

Bonjour,

au vu du rapport de ZHPFix, l'apparition du message est normale (il n'a pas trouvé le fichier de modification).

 
Ouvre le Bloc Notes.
Copie le texte ci-dessous dans la fenêtre :

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell]
"Shell"="explorer.exe"

Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides. 

Fais redémarrer l'ordi, refais tourner ZHPDiag et mets le rapport dans un lien Cijoint.

Matotea · Answer

Bonjour,

je te demande de m'excuser pour ce long silence... J'ai été très pris hier jusque tard...
Je n'ai pas pu faire la manipe car le problème est sur le PC d'une amie... Elle travaille dans le tourisme et est très occupée en cette période...Nos îles perdues sont très touchées par la crise, alors elle profite d'un léger regain d'activité...

Dès que je peux mettre la main dessus.... Sur le PC, pas sur l'amie... Je t'envoie tout çà...

Cordialement.

Lyonnais92 · Answer

Bonjour,

pas de souci, tu fais à ton rythme.

mais c'est sympa d'avoir prévenu.

Matotea · Answer

Bonjour,

désolé pour ces contres-temps, on ne fait pas toujours ce que l'on veut, plus le décalage horaire... Bref !

le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijP0I7c6J.txt

Très cordialement.

Lyonnais92 · Answer

Bonjour,

il ne reste pratiquement plus que .... ton problème de départ.

===

Il faut choisir entre McAfee et Avast.

Si les 2 sont gratuits, ma préférence est Avast.

Si l'un est payant, tu désinstalles l'autre.

===

Désinstalle, via le Panneau de configuration, Ajout/suppression de programmes :

Acrobat Reader 5.0
Java 6 Update 3  
Java 6 Update 5 
Java 6 Update 7

===
On recommence ça (ma faute, ma clé était fausse) :

Ouvre le Bloc Notes.
Copie le texte ci-dessous dans la fenêtre du Bloc-notes :

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"



Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides. 

===
Fais redémarrer l'ordi, refais tourner ZHPDiag et mets le rapport dans un lien Cijoint.

Matotea · Answer

Voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijbelCM7Z.txt

Merci.

Lyonnais92 · Answer

Re,

Désinstalle, via le Panneau de configuration, Ajout/suppression de programmes :

Acrobat Reader 5.0
Java 6 Update 3
Java 6 Update 5
Java 6 Update 7

===
Recommence ça  :

Ouvre le Bloc Notes.
Copie le texte ci-dessous dans la fenêtre du Bloc-notes :

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\explorer.exe"





Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

Tu as eu le message ?

    Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.)  et navigue avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

===
Fais redémarrer l'ordi, refais tourner ZHPDiag et mets le rapport dans un lien Cijoint.

Matotea · Answer

Oui j'ai eu le message, mais j'ai été dérangé et j'ai sauté la désinstallation des update Java. C'est fait maintenant.

La clé :

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\explorer.exe"

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.) et navigue avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.

Matotea · Answer

Plutôt çà :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="PROPRI-9DDB2673"
"DefaultUserName"="Propriétaire"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="explorer.exe \"C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe\""
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
  00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000000
"AltDefaultUserName"="Propriétaire"
"AltDefaultDomainName"="PROPRI-9DDB2673"
"ChangePasswordUseKerberos"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Quota du disque Microsoft"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@="Internet Explorer Zonemapping"
"DllName"="C:\WINDOWS\system32\iedkcs32.dll"
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"="@C:\WINDOWS\system32\iedkcs32.dll.mui,-3051"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7B849a69-220F-451E-B3FE-2CB811AF94AE}]
@="Internet Explorer User Accelerators"
"DisplayName"="@C:\WINDOWS\system32\iedkcs32.dll.mui,-3051"
"DllName"="C:\WINDOWS\system32\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="C:\WINDOWS\system32\iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"="@C:\WINDOWS\system32\iedkcs32.dll.mui,-3014"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@="802.3 Group Policy"
"DisplayName"=hex(2):40,00,64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,\
  00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=hex(2):64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,00,74,00,\
  2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
  00,73,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,00,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Installation de logiciel"
"DllName"=hex(2):61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=hex(7):28,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,20,00,4d,00,61,00,6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,\
  74,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,\
  00,29,00,00,00,28,00,4d,00,73,00,69,00,49,00,6e,00,73,00,74,00,61,00,6c,00,\
  6c,00,65,00,72,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,29,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}]
@="Internet Explorer Machine Accelerators"
"DisplayName"="@C:\WINDOWS\system32\iedkcs32.dll.mui,-3051"
"DllName"="C:\WINDOWS\system32\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
  00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxdev.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"HelpAssistant"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000

Lyonnais92 · Answer

Re,

il faut que tu fasses exactement comme ça (pour que je puisse distinguer si le fix ne fonctionne pas ou si l'infection revient au redémarrage).

===

1) Ouvre le Bloc Notes.
Copie le texte ci-dessous dans la fenêtre du Bloc-notes :

Windows Registry Editor Version 5.00

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\explorer.exe"





Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

Tu me dis si tu as eu le message.

===
2)  Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.) et navigue avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Clique successivement sur Fichier puis sur Exporter et choisis un nom (aaaaa par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse. 

Tu ne donnes que le début, jusqu'à 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]


===

3) Tu fais redémarrer l'ordi.

Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.) et navigue avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Clique successivement sur Fichier puis sur Exporter et choisis un nom (bbbbb par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse. 

Tu ne donnes que le début, jusqu'à 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

Matotea · Answer

Ok :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="PROPRI-9DDB2673"
"DefaultUserName"="Propriétaire"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="explorer.exe \"C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe\""
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
  00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000000
"AltDefaultUserName"="Propriétaire"
"AltDefaultDomainName"="PROPRI-9DDB2673"
"ChangePasswordUseKerberos"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

Je me re-concentre... @+

Matotea · Answer

J'ai supprimé dans Winlogon :

"Shell"="explorer.exe \"C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe\"" 

Le message a disparu au redémarrage.

Merci beaucoup pour ta précieuse aide...

Si ça recommence je te fais signe...

Bonne soirée.

Très cordialement

Lyonnais92 · Answer

Re,

si ce que tu as répondu ci-dessus est le point 2 de mon post, alors ça ne se passe pas comme prévu dès l'étape 1.

On change de méthode.

0) tu supprimes les fichiers précédents (fix.reg, aaaaa.reg, bbbbb.reg)

1) tu fais une copie de la clé HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.) et navigue avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Clique successivement sur Fichier puis sur Exporter et tu choisis comme nom

Sauv_winlogon et tu l'enregistres sur le Bureau.

2) tu vérifies le fichier "à l'oeil"

3) tu réouvres le registre. Tu navigues avec les + et les - jusqu'à la clé

HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Clic droit sur le mot Shell dans la fenêtre de droite.

Une fenêtre s'ouvre. Clique sur Modifier.

Une autre fenêtre s'ouvre où tu peux lire 

explorer.exe \"C:\Documents and Settings\Propriétaire\Application Data\dvkmmllmugsfdcrsdvnhyqh3xq2wtxd2\csrss.exe\"

Tu remplaces ce texte par 

explorer.exe

(pas de guillemets).

Tu cliques sur OK.

Tu fermes le registre.

4) tu réouvres le registre.

Tu vérifies que la modification est encore présente.

5) tu fais redémarrer l'ordi.

Tu réouvres le registre.

Tu continues à voir seulement explorer.exe à la suite de Shell ?

Masterdrift · Answer

BOnjour,
Moi je vous propose de telecharger ROGUEKILLER.
il est trés utile

Matotea · Answer

Merci pour ta réponse mais obligé t'écourter (travail), il doit être très tard pour toi, mais on pourra "peut-être" reprendre mercredi soir si tu n'es pas trop pris...

Encore merci...

Bonne nuit...

@+

Lyonnais92 · Answer

Bonjour,

on reprend quand tu es disponible (jusqu'à jeudi soir, pour moi, après, une semaine d'absence).

Tu fais directement le post 18.

Matotea · Answer

Bonjour,

je n'ai pas été clair dans la précipitation du départ au travail la dernière fois, mais c'est bien explorer.exe que j'avais laissé comme valeur du Shell... J'avais supprimé tout ce qu'il y avait derrière... La situation est redevenue normale, le faux message n'apparaît plus au démarrage.

Merci beaucoup pour ton aide, sans toi je ne serai jamais arrivé à identifier la source du problème...

Merci beaucoup aussi pour ta gentillesse, ta disponibilité et ta patience....

Je te souhaite de bonnes et joyeuses fêtes de fin d'année et mes meilleurs voeux pour 2011....

Très cordialement.

Lyonnais92 · Answer

Bonjour,

alors c'est impeccable.

Un peu de nettoyage :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

===

De rien pour l'aide, ce fut avec plaisir.

Bonnes fêtes à toi aussi.

Matotea · Answer

Ok, ce sera fait.

Encore merci pour tout.

Bonne continuation.

Supprimer un faux message d'alerte XP

24 réponses

Discussions similaires

Newsletters