Demarrage très lent à cause de services.exe
LiLou
-
quick157 Messages postés 1458 Statut Membre -
quick157 Messages postés 1458 Statut Membre -
Bonjour,
j'ai nettoyé mon PC avec antivirus et antispyware quelques jours auparavant. J'ai supprimé quelques fichiers infectés.
Aujourd'dui, mon PC (Win 2000 Pro) "rame" énormément au démarrage : en regardant les processus dans le gestionnaire des tâches, je me suis rendu compte que services.exe prenait 100% des capacités ...
Existe-t-il une solution pour éviter une réinstallation complète ?
Merci d'avance pour les anges gardiens du Net !!!
j'ai nettoyé mon PC avec antivirus et antispyware quelques jours auparavant. J'ai supprimé quelques fichiers infectés.
Aujourd'dui, mon PC (Win 2000 Pro) "rame" énormément au démarrage : en regardant les processus dans le gestionnaire des tâches, je me suis rendu compte que services.exe prenait 100% des capacités ...
Existe-t-il une solution pour éviter une réinstallation complète ?
Merci d'avance pour les anges gardiens du Net !!!
A voir également:
- Demarrage très lent à cause de services.exe
- Pc tres lent - Guide
- Forcer demarrage pc - Guide
- Reinitialiser pc au demarrage - Guide
- Problème démarrage windows 10 - Guide
- Demarrage windows 10 - Guide
6 réponses
Salut,
Perso je pense à un virrus qui charge le services.exe à tu la possibilté de tester un autre anti virus genre en ligne ..?
Perso je pense à un virrus qui charge le services.exe à tu la possibilté de tester un autre anti virus genre en ligne ..?
Salut,
Je t'invite à lire ceci :
http://www.commentcamarche.net/processus/services-exe.php3
Bien à toi
Je t'invite à lire ceci :
http://www.commentcamarche.net/processus/services-exe.php3
Bien à toi
Effectivement, à la base SERVICE.EXE n'est pas un virus mais un fichier system Mais la il passe le process à 100 %
Voici ce qu'on peut lire sur le site SOPHOS :
*****
W32/Muma-B est un ver qui se propage en se copiant et en s'exécutant sur les partages réseau distants avec des mots de passe triviaux ou sans mot de passe du tout.
Le principal composant du ver est une archive auto-extractible qui injecte une série de fichiers dans le dossier C:\Winnt\System32\drivers\etc. Parmi ces fichiers figurent des fichiers de commandes utilisés pour la propagation, des scripts mirc utilisés pour permettre un accès par porte dérobée et des utilitaires légitimes utilisés par le ver. Les fichiers sont les suivants :
AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (utilitaire pour cacher les fenêtres d'application)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (utilitaire réseau légitime)
Le ver peut injecter une copie de HIDDEN32.EXE et de PSEXEC.EXE dans le dossier C:\Winnt\System32. Les fichiers suivants sont également injectés dans le même dossier :
FIREDAEMON.EXE (utilitaire d'exécution des programmes sous la forme de services)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)
W32/Muma-B exécute NEWUSER.BAT pour réduire les paramètres de sécurité d'un ordinateur fonctionnant sur Win2K ou XP.
W32/Muma-B utilise IPCSCAN.EXE pour identifier les adresses IP de la victime potentielle. Il se copie ensuite sur l'ordinateur distant et utilise PSEXEC.EXE pour s'exécuter à distance. L'intégralité du processus est aini redémarré.
W32/Muma-B utilise SERVICES.EXE pour se connecter à un serveur IRC préconfiguré afin de permettre via des canaux IRC un accès non autorisé à un ordinateur et de le contrôler.
Pour exécuter SERVICES.EXE au démarrage, W32/Muma-B ajoute dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"
où dll.bat est un fichier de commandes qui utilise le fichier HIDDEN32.EXE pour lancer SERVICES.EXE et cacher sa fenêtre d'application.
***
Voici ce qu'on peut lire sur le site SOPHOS :
*****
W32/Muma-B est un ver qui se propage en se copiant et en s'exécutant sur les partages réseau distants avec des mots de passe triviaux ou sans mot de passe du tout.
Le principal composant du ver est une archive auto-extractible qui injecte une série de fichiers dans le dossier C:\Winnt\System32\drivers\etc. Parmi ces fichiers figurent des fichiers de commandes utilisés pour la propagation, des scripts mirc utilisés pour permettre un accès par porte dérobée et des utilitaires légitimes utilisés par le ver. Les fichiers sont les suivants :
AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (utilitaire pour cacher les fenêtres d'application)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (utilitaire réseau légitime)
Le ver peut injecter une copie de HIDDEN32.EXE et de PSEXEC.EXE dans le dossier C:\Winnt\System32. Les fichiers suivants sont également injectés dans le même dossier :
FIREDAEMON.EXE (utilitaire d'exécution des programmes sous la forme de services)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)
W32/Muma-B exécute NEWUSER.BAT pour réduire les paramètres de sécurité d'un ordinateur fonctionnant sur Win2K ou XP.
W32/Muma-B utilise IPCSCAN.EXE pour identifier les adresses IP de la victime potentielle. Il se copie ensuite sur l'ordinateur distant et utilise PSEXEC.EXE pour s'exécuter à distance. L'intégralité du processus est aini redémarré.
W32/Muma-B utilise SERVICES.EXE pour se connecter à un serveur IRC préconfiguré afin de permettre via des canaux IRC un accès non autorisé à un ordinateur et de le contrôler.
Pour exécuter SERVICES.EXE au démarrage, W32/Muma-B ajoute dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"
où dll.bat est un fichier de commandes qui utilise le fichier HIDDEN32.EXE pour lancer SERVICES.EXE et cacher sa fenêtre d'application.
***
Salut Bigsat,
Je ne contestais pas ton analyse. Mon message s'adressait à Lilou afin qu'il sache à quoi correspondait service.exe et ne pas causer des dommages en le supprimant.
Bien à toi
Je ne contestais pas ton analyse. Mon message s'adressait à Lilou afin qu'il sache à quoi correspondait service.exe et ne pas causer des dommages en le supprimant.
Bien à toi
Merci à tous pour vos conseils.
En mode normal, je ne peux rien faire ;-((.
En mode sans échec, j'ai pu lancer spy bot qui a sorti 2 3 fichiers, ..., mais au redémmarage rien n'a changé ...
Ca ressemble très fort effectviement à un virus ... (éventuellement une suppression de fichier un peu rapide, mais je ne pense pas ... )
Connaissez-vous un utilitaire pour ce cas ?
En mode normal, je ne peux rien faire ;-((.
En mode sans échec, j'ai pu lancer spy bot qui a sorti 2 3 fichiers, ..., mais au redémmarage rien n'a changé ...
Ca ressemble très fort effectviement à un virus ... (éventuellement une suppression de fichier un peu rapide, mais je ne pense pas ... )
Connaissez-vous un utilitaire pour ce cas ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Quand les Boots de Windows commencent a se faire long, (si il y a effectivement un ralentissement dut a des chgt frequent de config ou trucs dans le genre, ca resout pas les problemes dut aux malwares ou autres)
un utilitaire bien pratique a passer est BOOTVIS...
il optimise le demarrage de facon spectaculaire ;)
un utilitaire bien pratique a passer est BOOTVIS...
il optimise le demarrage de facon spectaculaire ;)
http://www.clubic.com/telecharger-fiche10598-bootvis.html
Bonsoir Lilou,
Vu le problème, je te propose de poster un log Hijackthis sur le forum virus/securité en y réexpliquant l'origine de ton problème. C'est dans ce forum que les pros de l'analyse Hijackthis se trouvent, ce sera donc préférable.
Tu peux télécharger Hijackthis ici :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
Il faut l'installer dans son propre dossier (par exemple c:\hijackthis).
La démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
Ne fixe aucune ligne avant d'avoir reçu un avis sur le forum.
Bien à toi
Vu le problème, je te propose de poster un log Hijackthis sur le forum virus/securité en y réexpliquant l'origine de ton problème. C'est dans ce forum que les pros de l'analyse Hijackthis se trouvent, ce sera donc préférable.
Tu peux télécharger Hijackthis ici :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
Il faut l'installer dans son propre dossier (par exemple c:\hijackthis).
La démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
Ne fixe aucune ligne avant d'avoir reçu un avis sur le forum.
Bien à toi
