Demarrage très lent à cause de services.exe
Fermé
LiLou
-
21 févr. 2006 à 09:46
quick157 Messages postés 1456 Date d'inscription samedi 1 octobre 2005 Statut Membre Dernière intervention 18 janvier 2013 - 23 févr. 2006 à 18:19
quick157 Messages postés 1456 Date d'inscription samedi 1 octobre 2005 Statut Membre Dernière intervention 18 janvier 2013 - 23 févr. 2006 à 18:19
A voir également:
- Demarrage très lent à cause de services.exe
- Pc tres lent - Guide
- Forcer demarrage pc - Guide
- Reinitialiser pc au demarrage - Guide
- Problème de demarrage windows 10 - Guide
- Mon mac est lent comment le nettoyer - Guide
6 réponses
bigsat
Messages postés
12
Date d'inscription
jeudi 26 janvier 2006
Statut
Membre
Dernière intervention
23 février 2006
2
21 févr. 2006 à 13:33
21 févr. 2006 à 13:33
Salut,
Perso je pense à un virrus qui charge le services.exe à tu la possibilté de tester un autre anti virus genre en ligne ..?
Perso je pense à un virrus qui charge le services.exe à tu la possibilté de tester un autre anti virus genre en ligne ..?
quick157
Messages postés
1456
Date d'inscription
samedi 1 octobre 2005
Statut
Membre
Dernière intervention
18 janvier 2013
475
21 févr. 2006 à 13:39
21 févr. 2006 à 13:39
Salut,
Je t'invite à lire ceci :
http://www.commentcamarche.net/processus/services-exe.php3
Bien à toi
Je t'invite à lire ceci :
http://www.commentcamarche.net/processus/services-exe.php3
Bien à toi
bigsat
Messages postés
12
Date d'inscription
jeudi 26 janvier 2006
Statut
Membre
Dernière intervention
23 février 2006
2
21 févr. 2006 à 14:26
21 févr. 2006 à 14:26
Effectivement, à la base SERVICE.EXE n'est pas un virus mais un fichier system Mais la il passe le process à 100 %
Voici ce qu'on peut lire sur le site SOPHOS :
*****
W32/Muma-B est un ver qui se propage en se copiant et en s'exécutant sur les partages réseau distants avec des mots de passe triviaux ou sans mot de passe du tout.
Le principal composant du ver est une archive auto-extractible qui injecte une série de fichiers dans le dossier C:\Winnt\System32\drivers\etc. Parmi ces fichiers figurent des fichiers de commandes utilisés pour la propagation, des scripts mirc utilisés pour permettre un accès par porte dérobée et des utilitaires légitimes utilisés par le ver. Les fichiers sont les suivants :
AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (utilitaire pour cacher les fenêtres d'application)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (utilitaire réseau légitime)
Le ver peut injecter une copie de HIDDEN32.EXE et de PSEXEC.EXE dans le dossier C:\Winnt\System32. Les fichiers suivants sont également injectés dans le même dossier :
FIREDAEMON.EXE (utilitaire d'exécution des programmes sous la forme de services)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)
W32/Muma-B exécute NEWUSER.BAT pour réduire les paramètres de sécurité d'un ordinateur fonctionnant sur Win2K ou XP.
W32/Muma-B utilise IPCSCAN.EXE pour identifier les adresses IP de la victime potentielle. Il se copie ensuite sur l'ordinateur distant et utilise PSEXEC.EXE pour s'exécuter à distance. L'intégralité du processus est aini redémarré.
W32/Muma-B utilise SERVICES.EXE pour se connecter à un serveur IRC préconfiguré afin de permettre via des canaux IRC un accès non autorisé à un ordinateur et de le contrôler.
Pour exécuter SERVICES.EXE au démarrage, W32/Muma-B ajoute dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"
où dll.bat est un fichier de commandes qui utilise le fichier HIDDEN32.EXE pour lancer SERVICES.EXE et cacher sa fenêtre d'application.
***
Voici ce qu'on peut lire sur le site SOPHOS :
*****
W32/Muma-B est un ver qui se propage en se copiant et en s'exécutant sur les partages réseau distants avec des mots de passe triviaux ou sans mot de passe du tout.
Le principal composant du ver est une archive auto-extractible qui injecte une série de fichiers dans le dossier C:\Winnt\System32\drivers\etc. Parmi ces fichiers figurent des fichiers de commandes utilisés pour la propagation, des scripts mirc utilisés pour permettre un accès par porte dérobée et des utilitaires légitimes utilisés par le ver. Les fichiers sont les suivants :
AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (utilitaire pour cacher les fenêtres d'application)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (utilitaire réseau légitime)
Le ver peut injecter une copie de HIDDEN32.EXE et de PSEXEC.EXE dans le dossier C:\Winnt\System32. Les fichiers suivants sont également injectés dans le même dossier :
FIREDAEMON.EXE (utilitaire d'exécution des programmes sous la forme de services)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)
W32/Muma-B exécute NEWUSER.BAT pour réduire les paramètres de sécurité d'un ordinateur fonctionnant sur Win2K ou XP.
W32/Muma-B utilise IPCSCAN.EXE pour identifier les adresses IP de la victime potentielle. Il se copie ensuite sur l'ordinateur distant et utilise PSEXEC.EXE pour s'exécuter à distance. L'intégralité du processus est aini redémarré.
W32/Muma-B utilise SERVICES.EXE pour se connecter à un serveur IRC préconfiguré afin de permettre via des canaux IRC un accès non autorisé à un ordinateur et de le contrôler.
Pour exécuter SERVICES.EXE au démarrage, W32/Muma-B ajoute dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"
où dll.bat est un fichier de commandes qui utilise le fichier HIDDEN32.EXE pour lancer SERVICES.EXE et cacher sa fenêtre d'application.
***
quick157
Messages postés
1456
Date d'inscription
samedi 1 octobre 2005
Statut
Membre
Dernière intervention
18 janvier 2013
475
21 févr. 2006 à 18:16
21 févr. 2006 à 18:16
Salut Bigsat,
Je ne contestais pas ton analyse. Mon message s'adressait à Lilou afin qu'il sache à quoi correspondait service.exe et ne pas causer des dommages en le supprimant.
Bien à toi
Je ne contestais pas ton analyse. Mon message s'adressait à Lilou afin qu'il sache à quoi correspondait service.exe et ne pas causer des dommages en le supprimant.
Bien à toi
bigsat
Messages postés
12
Date d'inscription
jeudi 26 janvier 2006
Statut
Membre
Dernière intervention
23 février 2006
2
22 févr. 2006 à 08:31
22 févr. 2006 à 08:31
Salut Quick
pas de probléme pour moi ;)
tu à raison il ne faut surtout pas le supprimer !!
pas de probléme pour moi ;)
tu à raison il ne faut surtout pas le supprimer !!
Merci à tous pour vos conseils.
En mode normal, je ne peux rien faire ;-((.
En mode sans échec, j'ai pu lancer spy bot qui a sorti 2 3 fichiers, ..., mais au redémmarage rien n'a changé ...
Ca ressemble très fort effectviement à un virus ... (éventuellement une suppression de fichier un peu rapide, mais je ne pense pas ... )
Connaissez-vous un utilitaire pour ce cas ?
En mode normal, je ne peux rien faire ;-((.
En mode sans échec, j'ai pu lancer spy bot qui a sorti 2 3 fichiers, ..., mais au redémmarage rien n'a changé ...
Ca ressemble très fort effectviement à un virus ... (éventuellement une suppression de fichier un peu rapide, mais je ne pense pas ... )
Connaissez-vous un utilitaire pour ce cas ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
stad
Messages postés
8
Date d'inscription
mardi 14 février 2006
Statut
Membre
Dernière intervention
18 avril 2006
23 févr. 2006 à 17:54
23 févr. 2006 à 17:54
Quand les Boots de Windows commencent a se faire long, (si il y a effectivement un ralentissement dut a des chgt frequent de config ou trucs dans le genre, ca resout pas les problemes dut aux malwares ou autres)
un utilitaire bien pratique a passer est BOOTVIS...
il optimise le demarrage de facon spectaculaire ;)
un utilitaire bien pratique a passer est BOOTVIS...
il optimise le demarrage de facon spectaculaire ;)
http://www.clubic.com/telecharger-fiche10598-bootvis.html
quick157
Messages postés
1456
Date d'inscription
samedi 1 octobre 2005
Statut
Membre
Dernière intervention
18 janvier 2013
475
23 févr. 2006 à 18:19
23 févr. 2006 à 18:19
Bonsoir Lilou,
Vu le problème, je te propose de poster un log Hijackthis sur le forum virus/securité en y réexpliquant l'origine de ton problème. C'est dans ce forum que les pros de l'analyse Hijackthis se trouvent, ce sera donc préférable.
Tu peux télécharger Hijackthis ici :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
Il faut l'installer dans son propre dossier (par exemple c:\hijackthis).
La démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
Ne fixe aucune ligne avant d'avoir reçu un avis sur le forum.
Bien à toi
Vu le problème, je te propose de poster un log Hijackthis sur le forum virus/securité en y réexpliquant l'origine de ton problème. C'est dans ce forum que les pros de l'analyse Hijackthis se trouvent, ce sera donc préférable.
Tu peux télécharger Hijackthis ici :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
Il faut l'installer dans son propre dossier (par exemple c:\hijackthis).
La démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
Ne fixe aucune ligne avant d'avoir reçu un avis sur le forum.
Bien à toi