Virus services.exe [Résolu/Fermé]

Signaler
-
 thorgal -
Bonjour,



Mon ordinateur est infecté par le virus services.exe et je ne parviens pas à m'en débarrasser.
J'ai téléchargé CCleaner, Malwarebytes Anti-Malware, HitmanPro36 et RogueKiller, puis j'ai fait un scan de mon ordi. J'ai l'impression qu'Avira bloque quelque chose bien que j'aie pensé à le désactiver avant le scan.
Je vous remercie d'avance de votre aide car je suis à court d'idées pour résoudre mon problème!!

Ci-dessous les différents rapports: (je m'excuse d'avance pour la longueur de mon post)

** RAPPORT ITMANPRO **

- <Log computer="CLARISSE-PC" scan="Normal" version="3.6.0.160" date="2012-07-04T21:34:01" timeSpentInSecs="232" filesProcessed="11894">
- <Item type="Malware" malwareName="Trojan" score="129.0" status="None">
- <Scanners>
<Scanner id="DrWeb" name="BackDoor.Maxplus.5220" />
<Scanner id="Ikarus" name="Virus.Win32.Sirefef!IK" />
</Scanners>
<File path="C:\windows\system32\services.exe" hash="4C1096F2855CA7E6A043B312EA80921D3CE445630697EB4F4850AE842424A602" />
</Item>
</Log>


** RAPPORT n°1 ROGUEKILLER**

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Recherche -- Date: 04/07/2012 20:57:50

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

** RAPPORT n°2 ROGUE KILLER **

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Suppression -- Date: 04/07/2012 21:19:07

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

MERCI A VOUS!!!
Piaui

13 réponses

Messages postés
4235
Date d'inscription
lundi 31 mars 2008
Statut
Contributeur
Dernière intervention
1 octobre 2020
717
Bonjour,
Je t'invite à lire cela :
https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

Extrait :
Télécharger ZHPDiag (de Nicolas Coolman)
Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : une fois le logiciel ouvert, n'oubliez pas de cliquer sur le bouton "UAC"
Tout cocher au tournevis
Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
Une fois aux 100%, héberger le rapport ZHPDiag.txt sur un site tel que cjoint.com, puis copier/coller le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum)


A question détaillée, Réponse précise ! ☼► Si question résolue, côcher l'option voulue. Mettez vos logiciels à jour ! et... Merci n'est pas un luxe ♪♫.
Rebonsoir,

Je viens de télécharger ZHPDiag et vous trouverez ci-après le lien où télécharger le rapport:
http://cjoint.com/?BGfdhauEGZG

Je vous remercie encore de votre aide!
Bonne soirée,
Piaui
Messages postés
4235
Date d'inscription
lundi 31 mars 2008
Statut
Contributeur
Dernière intervention
1 octobre 2020
717
UP pour lui, Merci
Bonsoir,
Je m'excuse par avance mais je n'ai pas compris votre réponse... Je ne suis pas spécialiste...

Merci,
Piaui
Messages postés
4235
Date d'inscription
lundi 31 mars 2008
Statut
Contributeur
Dernière intervention
1 octobre 2020
717
Bonjour, j'ai essayé d'appliquer ce principe :
https://www.commentcamarche.net/faq/9950-mon-message-n-a-recu-aucune-reponse

De plus, j'ai créé une alerte dans le "Bureau des CCMiste" pour qu'un membre avisé vienne à ton secours.

je ne suis pas pro en désinfection :-(
Merci de votre aide en tout cas !
Bonne soirée
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
Bonjour,

--> Désactive l'UAC le temps de la désinfection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.

--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.

--> Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

--> Lorsqu'elle sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Bonsoir,
Je viens de scaner l'ordi avec le logiciel Combofix.

Ci-dessous le lien vers le rapport:
http://cjoint.com/?BGgcZepXDBe

Merci d'avance pour votre aide.
Bonne soirée
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
"Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée"

--> Bien.

On va supprimer les adwares maintenant :

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
Bonsoir,
Ci-dessous le lien vers le rapport de AdwCleaner:
http://cjoint.com/?BGgedn0gZqy

J'attends votre confirmation que tout est propre.

Merci!
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
Le PC fonctionne bien ?

--> Relance AdwCleaner et choisis "Désinstallation".

--> Je voudrais un nouveau rapport ZHPDiag.
Bonjour,
Je viens de désinstaller Adwcleaner et de faire un scan avec ZHHDiag.

Ci-dessous le lien vers le rapport:
http://cjoint.com/?BGgngbZiSkE

L'ordi fonctionne bien mais il est toujours un peu lent à réagir.

Merci
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
C'est un netbook ?


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.


==Prévention==

Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant sur Internet ;)
Bonjour,
Ci-dessous le lien vers le rapport Delfix:
http://cjoint.com/?BGgqQmJc5aG

J'ai fait un scan avec CCleaner etc.
Par contre quand j'ai commencé mes opération de désinfection, j'avais téléchargé plusieurs logiciels et des fichiers ont été mis en quarantaine:

- HitmanPro36
- ComboFix
- Malwarebytes Anti-Malware
- MBRCheck
- RogueKiller + fichiers en quarantaine
- ZHPDiag

Que dois-je faire de ces logiciels? Dois-je les désisntaller?
Que dois-je faire des fichiers en quarainte de Rogue Killer? Puis-je les supprimer sans risque?
Merci d'avance pour votre aide
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
Garde juste Malwarebytes' Anti-Malware.

Le reste, tu supprimes.
Merci BEAUCOUP pour votre aide, c'est parfait.
Et oui mon ordi est un ebook (j'ai oublié de répondre tout à l'heure).
Problème résolu! (enfin j'espère...)

Bien à vous
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 979
De nada, bonne fin de journée ;)
Go to Start Menu and Inside the Search box type CMD.
Now at the Top side if the Start menu you can see one file Called CMD.
Right Click on that one and Select the Option RUN AS ADMINISTRATOR


In Windows XP
Go to Run and type "cmd" to open the command prompt

Now you will get a black Window. Inside that black window type the above commands.

Type or copy & paste "sfc /scanfile=c:\windows\system32\services.exe"
and press enter

. Restart your computer

This will replace the infected services.exe with the original.