Trojan services.exe Résolu/Fermé

Question

Bonjour, 
Depuis hier mon antivirus Avira Free Antivirus me reporte le message suivant :

Dans le fichier 'C:\Windows\System32\services.exe'
un virus ou un programme indésirable 'W32/Patched.UA' [virus] a été détecté.
Action exécutée : Refuser l'accès


Je m'explique depuis le début; au départ c'était 3 fichiers qui n'arrêtaient pas d'être bloqué par mon antivirus :


Dans le fichier 'C:\Windows\Installer\{bb71f352-0047-ed19-c339-52f74ba618cf}\U\80000000.@'
un virus ou un programme indésirable 'TR/ATRAPS.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{bb71f352-0047-ed19-c339-52f74ba618cf}\U\800000cb.@'
un virus ou un programme indésirable 'TR/ATRAPS.Gen2' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{bb71f352-0047-ed19-c339-52f74ba618cf}\U\00000001.@'
un virus ou un programme indésirable 'TR/Small.FI' [trojan] a été détecté.
Action exécutée : Refuser l'accès


En passant en mode sans échec j'ai réussi a supprimer ces fichiers et aussi une sorte de fichier qui relancer leur "création" en permanence. Le nom du fichier en question était "@".

Après avoir supprimer ces 3 fichiers, je me retrouve avec le virus services.exe.

Après avoir fait de multiple recherche sur internet, il se trouve que la seule solution est de passer par combofix ou autre logiciel "puissant", or je n'y connais absolument rien.

Je me demandais s'il était possible que l'on m'aide à me débarrasser de ce virus.

Je vous remercie,
Pictousse



Configuration: Windows 7 / Firefox 12.0

kalimusic · Answer

Bonjour,

Tu es infecté par la dernière variante de Sirefef.

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.

&#9656; &#9656; Accepte d'installer la console de récupération si tu es sous XP &#9666; &#9666;

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

!! Réactive les protections résidentes de ton PC !!   

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.


Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

Pictousse · Answer

Bonsoir, et merci beaucoup pour ta réponse.

J'ai passé un scan de combofix et j'ai hébergé le fichier Combofix.txt

L'adresse est la suivante : https://www.cjoint.com/?0FstQtXDDSi


Encore une fois merci.

kalimusic · Answer

re,

Est ce toi qui a installé un proxy sur Firefox  ?

Il reste un dossier relatif à l'infection, regarde si tu peux le supprimer manuellement :

c:\windows\system32\%APPDATA%

A +

hblove · Answer

bonjour,
j'ai le même problème avec mon ordinateur mais chez moi, a chaque fois que je démarre l'ordinateur il est ecrit sur mon bureau que "windows rencontre un probleme et doit redemarrer dans une minute" puis mon anti virus microsoft essential security me montre 'C:\Windows\System32\services.exe' comme menace, mais je n'ai jamais le temps de le supprimer, et depuis a chaque fois ma machine se redemarre encore et encore, je ne sais quoi faire, aidez moi svp.

kalimusic · Answer

Bonjour,

Merci de créer ton propre sujet :https://forums.commentcamarche.net/forum/virus-securite-7/new

ps : ne supprime pas services.exe c'est un processus légitime de windows utilisé par l'infection.

Pictousse · Answer

Pendant un temps je devais me connecter a un réseau via un proxy pour avoir internet. Je réglais les paramètres du proxy dans les options de firefox, ca peut peut-être venir de là.


Quand a %APPDATA%, certains éléments ont été supprimés d'autres sont utilisés par windows et peuvent altérer le fonctionnement de mon ordinateur en cas de suppression, dois-je les supprimer quand même?

Merci pour ton aide.

kalimusic · Answer

Je voulais vérifier que c'était bien toi qui avait installé ce proxy et pas une infection.

Tu as un message d'erreur quand tu veux supprimer de dossier ?
Attention je parle bien de celui situé dans c:\windows\system32

A +

Pictousse · Answer

Hmm le chemin que j'ai est le suivant :
C:\Windows\System32\%APPDATA%

Donc je pense que oui, tu penses que ca ne devrait pas être le cas?

J'utilise Windows 7 (je ne sais pas si le fait de le dire apporte quelque chose de pertinent).

Après tentative de suppression il ne me reste que ce fichier :

C:\Windows\System32\%APPDATA%\Microsoft\Windows\IETldCache\index.dat

kalimusic · Answer

re,

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restant et supprimer les résidus de l'infection.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

Pictousse · Answer

Voici le premier lien OTL.txt :
https://www.cjoint.com/?BFsvRLAp23X

Et le second Extras.txt
https://www.cjoint.com/?BFsvStWNcz3



Voila.

kalimusic · Answer

ok,

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O16:[b]64bit:[/b] - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Reg Error: Key error.)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Reg Error: Key error.)
[2012/06/17 08:22:45 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
Effectue un examen rapide avec ce logiciel.
Tuto :

Pictousse · Answer

Hmm petit probleme, en pensant que le programme avait planté j'ai appuyé sur la croix fermant ainsi le programme (il arrêtait de bouger depuis a peu pres 3 minutes). 

Je t'envoie le rapport, dis moi s'il faudrait que je refasse la derniere manipulation sur OTL. 


https://www.cjoint.com/?BFswj0HXI7K 

Je lance MBAM en ce moment même


Voici le rapport de MBAM :

https://www.cjoint.com/?BFswtzhFTXN

kalimusic · Answer

Non, c'est bon :)

A +

Pictousse · Answer

(oh c'est fini?)

Si c'est le cas, je vous remercie beaucoup et je vous souhaite une très bonne soirée (du moins ce qu'il en reste, désolé pour cela).

Et si ce n'est pas fini, eh bien mon PC va déjà beaucoup mieux!


Merci!

kalimusic · Answer

oui,

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

3. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 


== == == == == == == == MISES A JOUR == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne soirée

fifty50 · Answer

Bonsoir, et merci beaucoup pour ta réponse.

J'ai passé un scan de combofix et j'ai hébergé le fichier Combofix.txt

L'adresse est la suivante :https://www.cjoint.com/index.php

kalimusic · Answer

Bonjour,

Soit tu t'es trompé de sujet, celui-ci date de 2012.
Si ce n'est pas le cas et que tu as besoin d'aide, merci de créer un nouveau sujet :
https://forums.commentcamarche.net/forum/virus-securite-7/new

Trojan services.exe

17 réponses

Discussions similaires