Sujet Précédent Sujet Suivant

Virus services.exe

Résolu/Fermé
Piaui - 5 juil. 2012 à 02:26
 thorgal - 10 juil. 2013 à 20:10
Bonjour,



Mon ordinateur est infecté par le virus services.exe et je ne parviens pas à m'en débarrasser.
J'ai téléchargé CCleaner, Malwarebytes Anti-Malware, HitmanPro36 et RogueKiller, puis j'ai fait un scan de mon ordi. J'ai l'impression qu'Avira bloque quelque chose bien que j'aie pensé à le désactiver avant le scan.
Je vous remercie d'avance de votre aide car je suis à court d'idées pour résoudre mon problème!!

Ci-dessous les différents rapports: (je m'excuse d'avance pour la longueur de mon post)

** RAPPORT ITMANPRO **

- <Log computer="CLARISSE-PC" scan="Normal" version="3.6.0.160" date="2012-07-04T21:34:01" timeSpentInSecs="232" filesProcessed="11894">
- <Item type="Malware" malwareName="Trojan" score="129.0" status="None">
- <Scanners>
<Scanner id="DrWeb" name="BackDoor.Maxplus.5220" />
<Scanner id="Ikarus" name="Virus.Win32.Sirefef!IK" />
</Scanners>
<File path="C:\windows\system32\services.exe" hash="4C1096F2855CA7E6A043B312EA80921D3CE445630697EB4F4850AE842424A602" />
</Item>
</Log>


** RAPPORT n°1 ROGUEKILLER**

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Recherche -- Date: 04/07/2012 20:57:50

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

** RAPPORT n°2 ROGUE KILLER **

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Suppression -- Date: 04/07/2012 21:19:07

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

MERCI A VOUS!!!
Piaui

13 réponses

Réponse 1 / 13
cbauf Messages postés 4297 Date d'inscription lundi 31 mars 2008 Statut Contributeur Dernière intervention 22 juin 2022 783
Modifié par cbauf le 5/07/2012 à 02:50
Bonjour,
Je t'invite à lire cela :
https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

Extrait :
Télécharger ZHPDiag (de Nicolas Coolman)
Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : une fois le logiciel ouvert, n'oubliez pas de cliquer sur le bouton "UAC"
Tout cocher au tournevis
Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
Une fois aux 100%, héberger le rapport ZHPDiag.txt sur un site tel que cjoint.com, puis copier/coller le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum)


A question détaillée, Réponse précise ! ☼► Si question résolue, côcher l'option voulue. Mettez vos logiciels à jour ! et... Merci n'est pas un luxe ♪♫.
0
Piaui
5 juil. 2012 à 03:09
Rebonsoir,

Je viens de télécharger ZHPDiag et vous trouverez ci-après le lien où télécharger le rapport:
http://cjoint.com/?BGfdhauEGZG

Je vous remercie encore de votre aide!
Bonne soirée,
Piaui
0
cbauf Messages postés 4297 Date d'inscription lundi 31 mars 2008 Statut Contributeur Dernière intervention 22 juin 2022 783
Modifié par cbauf le 5/07/2012 à 23:31
UP pour lui, Merci
0
Piaui
6 juil. 2012 à 00:19
Bonsoir,
Je m'excuse par avance mais je n'ai pas compris votre réponse... Je ne suis pas spécialiste...

Merci,
Piaui
0
cbauf Messages postés 4297 Date d'inscription lundi 31 mars 2008 Statut Contributeur Dernière intervention 22 juin 2022 783
6 juil. 2012 à 00:33
Bonjour, j'ai essayé d'appliquer ce principe :
https://www.commentcamarche.net/infos/25927-mon-message-n-a-recu-aucune-reponse/

De plus, j'ai créé une alerte dans le "Bureau des CCMiste" pour qu'un membre avisé vienne à ton secours.

je ne suis pas pro en désinfection :-(
0
Piaui
6 juil. 2012 à 00:41
Merci de votre aide en tout cas !
Bonne soirée
0
Réponse 2 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 00:49
Bonjour,

--> Désactive l'UAC le temps de la désinfection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.

--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.

--> Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

--> Lorsqu'elle sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 3 / 13
Piaui
6 juil. 2012 à 02:53
Bonsoir,
Je viens de scaner l'ordi avec le logiciel Combofix.

Ci-dessous le lien vers le rapport:
http://cjoint.com/?BGgcZepXDBe

Merci d'avance pour votre aide.
Bonne soirée
0
Réponse 4 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 03:34
"Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée"

--> Bien.

On va supprimer les adwares maintenant :

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
Piaui
6 juil. 2012 à 04:05
Bonsoir,
Ci-dessous le lien vers le rapport de AdwCleaner:
http://cjoint.com/?BGgedn0gZqy

J'attends votre confirmation que tout est propre.

Merci!
0
Réponse 6 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 11:31
Le PC fonctionne bien ?

--> Relance AdwCleaner et choisis "Désinstallation".

--> Je voudrais un nouveau rapport ZHPDiag.
0
Réponse 7 / 13
Piaui
6 juil. 2012 à 13:08
Bonjour,
Je viens de désinstaller Adwcleaner et de faire un scan avec ZHHDiag.

Ci-dessous le lien vers le rapport:
http://cjoint.com/?BGgngbZiSkE

L'ordi fonctionne bien mais il est toujours un peu lent à réagir.

Merci
0
Réponse 8 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 13:24
C'est un netbook ?


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.


==Prévention==

Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant sur Internet ;)
0
Réponse 9 / 13
Piaui
6 juil. 2012 à 16:47
Bonjour,
Ci-dessous le lien vers le rapport Delfix:
http://cjoint.com/?BGgqQmJc5aG

J'ai fait un scan avec CCleaner etc.
Par contre quand j'ai commencé mes opération de désinfection, j'avais téléchargé plusieurs logiciels et des fichiers ont été mis en quarantaine:

- HitmanPro36
- ComboFix
- Malwarebytes Anti-Malware
- MBRCheck
- RogueKiller + fichiers en quarantaine
- ZHPDiag

Que dois-je faire de ces logiciels? Dois-je les désisntaller?
Que dois-je faire des fichiers en quarainte de Rogue Killer? Puis-je les supprimer sans risque?
Merci d'avance pour votre aide
0
Réponse 10 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 17:03
Garde juste Malwarebytes' Anti-Malware.

Le reste, tu supprimes.
0
Réponse 11 / 13
Piaui
6 juil. 2012 à 18:02
Merci BEAUCOUP pour votre aide, c'est parfait.
Et oui mon ordi est un ebook (j'ai oublié de répondre tout à l'heure).
Problème résolu! (enfin j'espère...)

Bien à vous
0
Réponse 12 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
6 juil. 2012 à 18:05
De nada, bonne fin de journée ;)
0
Réponse 13 / 13
thorgal
10 juil. 2013 à 20:10
Go to Start Menu and Inside the Search box type CMD.
Now at the Top side if the Start menu you can see one file Called CMD.
Right Click on that one and Select the Option RUN AS ADMINISTRATOR


In Windows XP
Go to Run and type "cmd" to open the command prompt

Now you will get a black Window. Inside that black window type the above commands.

Type or copy & paste "sfc /scanfile=c:\windows\system32\services.exe"
and press enter

. Restart your computer

This will replace the infected services.exe with the original.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses