Merci, Antivir ! ...

Le
Rollain Bernard
21:03 03/08/2007

Bonjour,

Mon antivirus ANTIVIR vient de détecter et erradiquer 40 attaques d'un
fichier d'execution "csrss.exe" (intitulé Worm/Sdbot.245760.7) que j'ai
placé en quarantaine.

En recherchant ce fichier sur mon disque dur, je l'ai trouvé 2 fois dans
mes fichiers système.

D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.

==> Le virus sournois s'est habillé du même nom. Donc, attention !

Merci de votre lecture.

Bernard ROLLAIN
E-mail : rollainNOSPAM@free.Fr
-
Vu sur -> http://www.commentcamarche.net/processus/csrss-exe.php3
csrss - csrss.exe

Le processus csrss.exe (csrss signifiant Client/Server Runtime
Subsystem) est un processus générique de Windows NT/2000/XP servant à
gérer les fenêtres et les éléments graphiques de Windows.

Le processus CSRSS n'est en aucun cas un Virus résident, un ver, un
cheval de Troie, un spyware, ni un AdWare.

Il s'agit d'un processus système critique ne pouvant pas être arrêté.
-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
houba
Le #1675420
Bonjour ° Bonsoir, le Sat, 04 Aug 2007 12:26:21 +0200, Rollain Bernard

Mon antivirus ANTIVIR vient de détecter et erradiquer 40 attaques d'un
fichier d'execution "csrss.exe" (intitulé Worm/Sdbot.245760.7) que j'ai
placé en quarantaine.

D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.


Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un
fichier systeme...donc supprimable sans sommations !

--
VaN.

Rollain Bernard
Le #1675416
Attention, le virus se sert du nom d'un fichier système.
Si j'ai bien compris, on peut penser supprimer le virus, mais on risque
fort de supprimer le fichier système.
J'ai préféré faire confiance à Antivir, mis à jour, c'est plus sûr et
après un scan, ca a l'air d'aller ...
Règle d'or : " Quand on ne sais pas, on ne touche pas ..." Et ...

" .... C'est vous qui voyez !(Chevalier-Laspales)
Bernard.
------------------------------------------------------------------------

Bonjour ° Bonsoir, le Sat, 04 Aug 2007 12:26:21 +0200, Rollain Bernard

Mon antivirus ANTIVIR vient de détecter et erradiquer 40 attaques d'un
fichier d'execution "csrss.exe" (intitulé Worm/Sdbot.245760.7) que j'ai
placé en quarantaine.

D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.


Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un
fichier systeme...donc supprimable sans sommations !

--
VaN.



houba
Le #1675415
Bonjour ° Bonsoir, le Sun, 05 Aug 2007 00:09:05 +0200, Rollain Bernard


Attention, le virus se sert du nom d'un fichier système.
Tu l'as déjà dit dans ton post originel.


Si j'ai bien compris, on peut penser supprimer le virus, mais on risque
fort de supprimer le fichier système.
Oui, tu as très bien compris sauf que le fichier systeme en question

"csrss.exe" est à l'emplacement que j'avais désigné pour XP et
probablement w2k, soit:

C:WINNTsystem32

En dehors de ce sous répertoire c'est supprimable sans sommations
(par ex. C:WINNTsystem32drivers).

J'ai préféré faire confiance à Antivir, mis à jour, c'est plus sûr et
après un scan, ca a l'air d'aller ...
Essaie de faire confiance au bon sens car l'emplacement *originel* de

"csrss.exe" ne peut être ailleurs que : C:WINNTsystem32.
Et la date systeme est un autre moyen de vérification.
En vers EN, elle reste inchangée malgré les màj depuis le sp2, soit
04/08/2004.
Et s'il y a duplication, mais pas pour ce fichier, il se retrouverait
dans C:WINNTsystem32dllcache.

Règle d'or : " Quand on ne sais pas, on ne touche pas ..." Et ...
Approfondis avant de paniquer pour rien et faire de la pub gratuite

pour Antivir.

------------------------------------------------------------------------
Bonjour ° Bonsoir, le Sat, 04 Aug 2007 12:26:21 +0200, Rollain Bernard

Mon antivirus ANTIVIR vient de détecter et erradiquer 40 attaques d'un
fichier d'execution "csrss.exe" (intitulé Worm/Sdbot.245760.7) que j'ai
placé en quarantaine.

D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.


Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un
fichier systeme...donc supprimable sans sommations !

--
VaN.



--
VaN.



Rollain Bernard
Le #1675414
... Mais, cher Monsieur houba, je réfléchi très bien, et je fais
l'effort d'essayer de comprendre ce qui se passe.

D'accord pour l'emplacement : C:WINNTsystem32
Alors, je le trouve aussi là : C:WINNTServicePackFilei386

Si j'ai bien compris votre point de vue, à ma place, vous suppprimeriez
le second ?

Si j'ai attiré l'attention sur ce problème dans cette news, c'est que je
pense que d'autre personnes profanes pourraient être tentés comme moi de
supprimer ce fichier et de "planter" leur système. Je me rend compte que
j'ai bien failli faire une erreur ...

On ne peut pas dire qu'il s'agisse de pub quand je dis qu'Antivir m'a
erradiqué ce virus ... Il s'agit d'indication positive révélée à
d'autres internautes avides de certitudes, de réflexions, et de
comparaisons sur le sujet.

Il ne s'agit pas de paniquer pour rien, mais de marquer une pause et
regarder où l'on met les pieds.

Tout le monde n'est pas aussi "calé" que vous pour résoudre ces
problèmes ... Vous m'excuserez !

Quand les utilisateurs en auront assez des embrouillades, ils passeront
à d'autres systèmes d'exploitation ... (... Si vous saisissez le
sous-entendu ...)

Excellente continuation Monsieur houba ! :-)

Bernard.

=======================================================================
Bonjour ° Bonsoir, le Sun, 05 Aug 2007 00:09:05 +0200, Rollain Bernard

Attention, le virus se sert du nom d'un fichier système.
Tu l'as déjà dit dans ton post originel.


Si j'ai bien compris, on peut penser supprimer le virus, mais on risque
fort de supprimer le fichier système.
Oui, tu as très bien compris sauf que le fichier systeme en question

"csrss.exe" est à l'emplacement que j'avais désigné pour XP et
probablement w2k, soit:

C:WINNTsystem32

En dehors de ce sous répertoire c'est supprimable sans sommations
(par ex. C:WINNTsystem32drivers).

J'ai préféré faire confiance à Antivir, mis à jour, c'est plus sûr et
après un scan, ca a l'air d'aller ...
Essaie de faire confiance au bon sens car l'emplacement *originel* de

"csrss.exe" ne peut être ailleurs que : C:WINNTsystem32.
Et la date systeme est un autre moyen de vérification.
En vers EN, elle reste inchangée malgré les màj depuis le sp2, soit
04/08/2004.
Et s'il y a duplication, mais pas pour ce fichier, il se retrouverait
dans C:WINNTsystem32dllcache.

Règle d'or : " Quand on ne sais pas, on ne touche pas ..." Et ...
Approfondis avant de paniquer pour rien et faire de la pub gratuite

pour Antivir.

------------------------------------------------------------------------
Bonjour ° Bonsoir, le Sat, 04 Aug 2007 12:26:21 +0200, Rollain Bernard

Mon antivirus ANTIVIR vient de détecter et erradiquer 40 attaques d'un
fichier d'execution "csrss.exe" (intitulé Worm/Sdbot.245760.7) que j'ai
placé en quarantaine.
D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.
Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un

fichier systeme...donc supprimable sans sommations !

--
VaN.



--
VaN.





Nina Popravka
Le #1675413
On Sun, 05 Aug 2007 12:41:17 +0200, Rollain Bernard

... Mais, cher Monsieur houba, je réfléchi très bien, et je fais
l'effort d'essayer de comprendre ce qui se passe.
Un peu plus d'efforts... :-)


D'accord pour l'emplacement : C:WINNTsystem32
Alors, je le trouve aussi là : C:WINNTServicePackFilei386
Comme son nom l'indique, le second concerne les fichiers du service

pack.
Et vous avez aussi csrss.exe dans C:WINDOWSsystem32dllcache, ce qui
a son importance.

Si j'ai attiré l'attention sur ce problème dans cette news, c'est que je
pense que d'autre personnes profanes pourraient être tentés comme moi de
supprimer ce fichier et de "planter" leur système.
Vous pouvez essayer de supprimer le csrss.exe légitime (dans system32)

tant que vous voulez, il reviendra instantanément. Parce qu'il fait
partie des fichiers protégés de windows, et qu'il le remet
instantanément en allant le chercher dans dllcache.
XP se fait pas facilement piquer ou altérer ses fichiers système...

On ne peut pas dire qu'il s'agisse de pub quand je dis qu'Antivir m'a
erradiqué ce virus ... Il s'agit d'indication positive révélée à
d'autres internautes avides de certitudes, de réflexions, et de
comparaisons sur le sujet.
La seule et unique certitude que vous puissiez avoir sur un antivirus,

c'est que vous vous ferez véroler un jour ou l'autre si vous ne
comptez que sur lui.
--
Nina

houba
Le #1675412
Bonjour ° Bonsoir, le Sun, 05 Aug 2007 12:41:17 +0200, Rollain Bernard

... Mais, cher Monsieur houba, je réfléchi très bien, et je fais
l'effort d'essayer de comprendre ce qui se passe.
Tu devrais persévérer car si tu comptes réellement vouloir rendre

services à d'autres...Monsieur Rollain.

D'accord pour l'emplacement : C:WINNTsystem32
C'est bien celui là "csrss.exe" et *dans* ce sous répertoire là qui

est utilisé et chargé en mémoire par xp. Tu comprends ca, ou pas ?

Alors, je le trouve aussi là : C:WINNTServicePackFilei386
Si j'ai bien compris votre point de vue, à ma place, vous suppprimeriez
le second ?
Ca vient de la màj des SP (sp1, sp2) qui a crée ce sous répertoire

pour t'indiquer en clair les fic concernés.
Supprime le si tu veux mais cela n'a *aucune* incidence dans le
fonctionnement de xp.
Sauf que si tu le perds dans C:WINNTsystem32 par une fausse manip
(mais une très bonne grosse) car pour le perdre il faut faire exprès
du fait qu'il est chargé en mémoire dès le démarrage avec xp, donc
utilisé et...verrouillé.

Si j'ai attiré l'attention sur ce problème dans cette news, c'est que je
pense que d'autre personnes profanes pourraient être tentés comme moi de
supprimer ce fichier et de "planter" leur système.
Non ! Il est utilisé et verrouillé par le SE et en aucun cas tu peux

le supprimer, ni le déplacer en utilisation normale (sans
bidouillage). Donc tu ne pourras pas planter la bécane dans ce cas de
figure précis.

Je me rend compte que j'ai bien failli faire une erreur ...
Non ! Tu as balancé une fausse-bonne nouvelle dans un forum pour faire

paniquer les profanes, pour rien !

On ne peut pas dire qu'il s'agisse de pub quand je dis qu'Antivir m'a
erradiqué ce virus ... Il s'agit d'indication positive révélée à
d'autres internautes avides de certitudes, de réflexions, et de
comparaisons sur le sujet.
Exact pour Antivir, mais *faire croire* que le fic "csrss.exe" que tu

avais mis en quarantaine/quarantine (donc dans un sous dossier de
Antivir) est un fic systeme, c'est faux.
Déjà quand tu mets un fic en quarantaine, il est déplacé, disparait de
son emplacement originel.

D'ailleurs, qu'indique la colonne 'source' (tu dois avoir
l'arborescence) de ce fic section quarantaine sous Antivir ?

C'est juste un fic qui *porte* le même nom qu'un fic systeme mais ce
n'est pas un fic system. D'ailleurs tu peux très aisément
vérifier/comparer celui de system32 et celui dans quarantaine: déjà
par son emplacement comme je tentais vainement de te faire comprendre
depuis le début de ce fil:

------
Message-ID: D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.
Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un
fichier systeme...donc supprimable sans sommations !
------


ou encore par un click droit sur le fic et propriétés (taille, date
systeme, éditeur,...).

C'est déjà plus clair pour toi ou pas ?

Tout le monde n'est pas aussi "calé" que vous pour résoudre ces
problèmes ... Vous m'excuserez !
Allons allons, pas de défaitisme ou de sous valorisation inutiles. Pas

besoin d'^tre calé pour faire la diff entre le vrai du faux, avec les
possibilités que j'avais décrites ci dessous. Au pire et par
précaution une visite par Google t'éclairera encore mieux.

Quand les utilisateurs en auront assez des embrouillades, ils passeront
à d'autres systèmes d'exploitation ... (... Si vous saisissez le
sous-entendu ...)
Ils font ce qu'ils veulent et cela ne me regarde aucunement. La vie

privée des utilisateurs n'intéressent que ...les utilisateurs.

Excellente continuation Monsieur houba ! :-)
De rien et pareillement Monsieur Rollain. ;)


--
VaN.

Rollain Bernard
Le #1675411
01:57 06/08/2007

J'ai eu donc, à l'allumage du PC 40 alertes Antivir
(c:WINNTsystem32driverscsrss.exe -> que j'ai placé 40 fois en
quarantaine), et parallèlement 40 Alertes Firewall qui me demandaient
l'autorisation d'accéder au réseau pour ce fichier, je lui ai refusé,
bien évidemment. J'ai lancé un scan Antivir qui m'a indiqué de rebooter
en fin d'action ce que j'ai fait.
J'ai bien cru ne pas pouvoir me sortir de cette situation, maintenant,
ca va.

Celui qui rigole, c'est le "piticon" qui a balancé cette saleté ...

Pour reprendre vos dires, je ne balance pas de fausse-bonne nouvelle,
j'émet une idée, un point de vue, je peux me tromper et m'expose à être
contre-dit.

Si je fais fausse route merci de me remettre dans le droit chemin et ...
C'est le but recherché des discussions de ces news.

Peut-être que d'autres se posent les mêmes questions que moi, allez
savoir ...

Vous êtes peut-être bon en informatique, Monsieur houba, mais ca ne vous
donne pas le droit de prendre les autres pour des idiots, Monsieur houba ...

Je vous remercie quand-même de d'avoir pris le temps de formuler vos
réponses.

Au plaisir de lire de vous un verbiage courtois et non belliqueux.

Mais d'autres penseront qu'il n'est pas péjoratif d'avoir la "grosse
tête" en informatique, normal, avec tout ce qu'il faut lire ici et là
... Ca fait enfler la matière grise !

Bonsoir, Monsieur houba.

Bernard.
--------

Bonjour ° Bonsoir, le Sun, 05 Aug 2007 12:41:17 +0200, Rollain Bernard

... Mais, cher Monsieur houba, je réfléchi très bien, et je fais
l'effort d'essayer de comprendre ce qui se passe.
Tu devrais persévérer car si tu comptes réellement vouloir rendre

services à d'autres...Monsieur Rollain.

D'accord pour l'emplacement : C:WINNTsystem32
C'est bien celui là "csrss.exe" et *dans* ce sous répertoire là qui

est utilisé et chargé en mémoire par xp. Tu comprends ca, ou pas ?

Alors, je le trouve aussi là : C:WINNTServicePackFilei386
Si j'ai bien compris votre point de vue, à ma place, vous suppprimeriez
le second ?
Ca vient de la màj des SP (sp1, sp2) qui a crée ce sous répertoire

pour t'indiquer en clair les fic concernés.
Supprime le si tu veux mais cela n'a *aucune* incidence dans le
fonctionnement de xp.
Sauf que si tu le perds dans C:WINNTsystem32 par une fausse manip
(mais une très bonne grosse) car pour le perdre il faut faire exprès
du fait qu'il est chargé en mémoire dès le démarrage avec xp, donc
utilisé et...verrouillé.

Si j'ai attiré l'attention sur ce problème dans cette news, c'est que je
pense que d'autre personnes profanes pourraient être tentés comme moi de
supprimer ce fichier et de "planter" leur système.
Non ! Il est utilisé et verrouillé par le SE et en aucun cas tu peux

le supprimer, ni le déplacer en utilisation normale (sans
bidouillage). Donc tu ne pourras pas planter la bécane dans ce cas de
figure précis.

Je me rend compte que j'ai bien failli faire une erreur ...
Non ! Tu as balancé une fausse-bonne nouvelle dans un forum pour faire

paniquer les profanes, pour rien !

On ne peut pas dire qu'il s'agisse de pub quand je dis qu'Antivir m'a
erradiqué ce virus ... Il s'agit d'indication positive révélée à
d'autres internautes avides de certitudes, de réflexions, et de
comparaisons sur le sujet.
Exact pour Antivir, mais *faire croire* que le fic "csrss.exe" que tu

avais mis en quarantaine/quarantine (donc dans un sous dossier de
Antivir) est un fic systeme, c'est faux.
Déjà quand tu mets un fic en quarantaine, il est déplacé, disparait de
son emplacement originel.

D'ailleurs, qu'indique la colonne 'source' (tu dois avoir
l'arborescence) de ce fic section quarantaine sous Antivir ?

C'est juste un fic qui *porte* le même nom qu'un fic systeme mais ce
n'est pas un fic system. D'ailleurs tu peux très aisément
vérifier/comparer celui de system32 et celui dans quarantaine: déjà
par son emplacement comme je tentais vainement de te faire comprendre
depuis le début de ce fil:

------
Message-ID: D'après ce que j'ai lu à droite et à gauche sur le web, il s'agit d'un
fichier système a ne surtout pas supprimer.
Hum, s'il est placé ailleurs que C:WINNTsystem32 ce n'est plus un
fichier systeme...donc supprimable sans sommations !
------


ou encore par un click droit sur le fic et propriétés (taille, date
systeme, éditeur,...).

C'est déjà plus clair pour toi ou pas ?

Tout le monde n'est pas aussi "calé" que vous pour résoudre ces
problèmes ... Vous m'excuserez !
Allons allons, pas de défaitisme ou de sous valorisation inutiles. Pas

besoin d'^tre calé pour faire la diff entre le vrai du faux, avec les
possibilités que j'avais décrites ci dessous. Au pire et par
précaution une visite par Google t'éclairera encore mieux.

Quand les utilisateurs en auront assez des embrouillades, ils passeront
à d'autres systèmes d'exploitation ... (... Si vous saisissez le
sous-entendu ...)
Ils font ce qu'ils veulent et cela ne me regarde aucunement. La vie

privée des utilisateurs n'intéressent que ...les utilisateurs.

Excellente continuation Monsieur houba ! :-)
De rien et pareillement Monsieur Rollain. ;)


--
VaN.



Rollain Bernard
Le #1675410
Bonjour Mme Nina Popravka,

je vous remercie pour vos explications, et d'avoir eu l'amabilité de me
répondre.
Bernard.
--------

On Sun, 05 Aug 2007 12:41:17 +0200, Rollain Bernard

... Mais, cher Monsieur houba, je réfléchi très bien, et je fais
l'effort d'essayer de comprendre ce qui se passe.
Un peu plus d'efforts... :-)


D'accord pour l'emplacement : C:WINNTsystem32
Alors, je le trouve aussi là : C:WINNTServicePackFilei386
Comme son nom l'indique, le second concerne les fichiers du service

pack.
Et vous avez aussi csrss.exe dans C:WINDOWSsystem32dllcache, ce qui
a son importance.

Si j'ai attiré l'attention sur ce problème dans cette news, c'est que je
pense que d'autre personnes profanes pourraient être tentés comme moi de
supprimer ce fichier et de "planter" leur système.
Vous pouvez essayer de supprimer le csrss.exe légitime (dans system32)

tant que vous voulez, il reviendra instantanément. Parce qu'il fait
partie des fichiers protégés de windows, et qu'il le remet
instantanément en allant le chercher dans dllcache.
XP se fait pas facilement piquer ou altérer ses fichiers système...

On ne peut pas dire qu'il s'agisse de pub quand je dis qu'Antivir m'a
erradiqué ce virus ... Il s'agit d'indication positive révélée à
d'autres internautes avides de certitudes, de réflexions, et de
comparaisons sur le sujet.
La seule et unique certitude que vous puissiez avoir sur un antivirus,

c'est que vous vous ferez véroler un jour ou l'autre si vous ne
comptez que sur lui.



P
Le #1676806
Rollain Bernard
01:57 06/08/2007

J'ai eu donc, à l'allumage du PC 40 alertes Antivir
(c:WINNTsystem32driverscsrss.exe -> que j'ai placé 40 fois en
quarantaine), et parallèlement 40 Alertes Firewall qui me demandaient
l'autorisation d'accéder au réseau pour ce fichier, je lui ai refusé,
bien évidemment. J'ai lancé un scan Antivir qui m'a indiqué de rebooter
en fin d'action ce que j'ai fait.
J'ai bien cru ne pas pouvoir me sortir de cette situation, maintenant,
ca va.


Bjr Bernard,
Certain que le monstre soit vaincu ??
Comme j'ai la très gde flemme de développer, j'inviterai à lire la Faq:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part1.txt
http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part2.txt

Pis tant qu'on y est:
http://sebsauvage.net/safehex.html

Bonsoir, Monsieur houba.


Fichtre y'a un marsu su'le forum

--

Eleveur de Caribous Arboricoles

Publicité
Poster une réponse
Anonyme