Virus services.exe

Résolu
Piaui -  
 thorgal -
Bonjour,



Mon ordinateur est infecté par le virus services.exe et je ne parviens pas à m'en débarrasser.
J'ai téléchargé CCleaner, Malwarebytes Anti-Malware, HitmanPro36 et RogueKiller, puis j'ai fait un scan de mon ordi. J'ai l'impression qu'Avira bloque quelque chose bien que j'aie pensé à le désactiver avant le scan.
Je vous remercie d'avance de votre aide car je suis à court d'idées pour résoudre mon problème!!

Ci-dessous les différents rapports: (je m'excuse d'avance pour la longueur de mon post)

** RAPPORT ITMANPRO **

- <Log computer="CLARISSE-PC" scan="Normal" version="3.6.0.160" date="2012-07-04T21:34:01" timeSpentInSecs="232" filesProcessed="11894">
- <Item type="Malware" malwareName="Trojan" score="129.0" status="None">
- <Scanners>
<Scanner id="DrWeb" name="BackDoor.Maxplus.5220" />
<Scanner id="Ikarus" name="Virus.Win32.Sirefef!IK" />
</Scanners>
<File path="C:\windows\system32\services.exe" hash="4C1096F2855CA7E6A043B312EA80921D3CE445630697EB4F4850AE842424A602" />
</Item>
</Log>

** RAPPORT n°1 ROGUEKILLER**

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Recherche -- Date: 04/07/2012 20:57:50

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> FOUND

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

** RAPPORT n°2 ROGUE KILLER **

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Clarisse [Droits d'admin]
Mode: Suppression -- Date: 04/07/2012 21:19:07

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Clarisse\AppData\Local\{204b039a-347c-d85b-58a9-778fde6a5225}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\clarisse\appdata\local\{204b039a-347c-d85b-58a9-778fde6a5225}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82031303 -> HOOKED (Unknown @ 0x8056AB86)
SSDT[316] : NtSetContextThread @ 0x820DCB17 -> HOOKED (Unknown @ 0x8056AB8B)
SSDT[370] : NtTerminateProcess @ 0x820621B5 -> HOOKED (Unknown @ 0x8056AB27)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8056AB90)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8056AB95)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545025B9A300 +++++
--- User ---
[MBR] 9273714773b767cc040807a267fea133
[BSP] 2e742cf76f7eb51f24a4a9cc07446f56 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 87040 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220407808 | Size: 130853 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

MERCI A VOUS!!!
Piaui

13 réponses

  1. cbauf Messages postés 5337 Date d'inscription   Statut Contributeur Dernière intervention   803
     
    Bonjour,
    Je t'invite à lire cela :
    https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

    Extrait :
    Télécharger ZHPDiag (de Nicolas Coolman)
    Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.
    /!\Utilisateur de Vista et Seven : une fois le logiciel ouvert, n'oubliez pas de cliquer sur le bouton "UAC"
    Tout cocher au tournevis
    Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
    Une fois aux 100%, héberger le rapport ZHPDiag.txt sur un site tel que cjoint.com, puis copier/coller le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum)

    A question détaillée, Réponse précise ! ☼► Si question résolue, côcher l'option voulue. Mettez vos logiciels à jour ! et... Merci n'est pas un luxe ♪♫.
    0
    1. Piaui
       
      Rebonsoir,

      Je viens de télécharger ZHPDiag et vous trouverez ci-après le lien où télécharger le rapport:
      http://cjoint.com/?BGfdhauEGZG

      Je vous remercie encore de votre aide!
      Bonne soirée,
      Piaui
      0
    2. cbauf Messages postés 5337 Date d'inscription   Statut Contributeur Dernière intervention   803
       
      UP pour lui, Merci
      0
    3. Piaui
       
      Bonsoir,
      Je m'excuse par avance mais je n'ai pas compris votre réponse... Je ne suis pas spécialiste...

      Merci,
      Piaui
      0
    4. Piaui
       
      Merci de votre aide en tout cas !
      Bonne soirée
      0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Désactive l'UAC le temps de la désinfection.

    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) sur ton Bureau.

    --> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.

    --> Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

    --> Lorsqu'elle sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
  3. Piaui
     
    Bonsoir,
    Je viens de scaner l'ordi avec le logiciel Combofix.

    Ci-dessous le lien vers le rapport:
    http://cjoint.com/?BGgcZepXDBe

    Merci d'avance pour votre aide.
    Bonne soirée
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée"

    --> Bien.

    On va supprimer les adwares maintenant :

    --> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Piaui
     
    Bonsoir,
    Ci-dessous le lien vers le rapport de AdwCleaner:
    http://cjoint.com/?BGgedn0gZqy

    J'attends votre confirmation que tout est propre.

    Merci!
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Le PC fonctionne bien ?

    --> Relance AdwCleaner et choisis "Désinstallation".

    --> Je voudrais un nouveau rapport ZHPDiag.
    0
  8. Piaui
     
    Bonjour,
    Je viens de désinstaller Adwcleaner et de faire un scan avec ZHHDiag.

    Ci-dessous le lien vers le rapport:
    http://cjoint.com/?BGgngbZiSkE

    L'ordi fonctionne bien mais il est toujours un peu lent à réagir.

    Merci
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    C'est un netbook ?

    1/

    ---> Télécharge DelFix sur ton Bureau.
    * Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
    * Clique sur le bouton Suppression.
    * Poste le rapport (C:\DelFixSuppr.txt).
    * Supprime DelFix.

    2/

    ---> Télécharge et installe CCleaner.
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

    3/

    ---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.

    ==Prévention==

    Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

    Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien

    Sois plus vigilant sur Internet ;)
    0
  10. Piaui
     
    Bonjour,
    Ci-dessous le lien vers le rapport Delfix:
    http://cjoint.com/?BGgqQmJc5aG

    J'ai fait un scan avec CCleaner etc.
    Par contre quand j'ai commencé mes opération de désinfection, j'avais téléchargé plusieurs logiciels et des fichiers ont été mis en quarantaine:

    - HitmanPro36
    - ComboFix
    - Malwarebytes Anti-Malware
    - MBRCheck
    - RogueKiller + fichiers en quarantaine
    - ZHPDiag

    Que dois-je faire de ces logiciels? Dois-je les désisntaller?
    Que dois-je faire des fichiers en quarainte de Rogue Killer? Puis-je les supprimer sans risque?
    Merci d'avance pour votre aide
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Garde juste Malwarebytes' Anti-Malware.

    Le reste, tu supprimes.
    0
  12. Piaui
     
    Merci BEAUCOUP pour votre aide, c'est parfait.
    Et oui mon ordi est un ebook (j'ai oublié de répondre tout à l'heure).
    Problème résolu! (enfin j'espère...)

    Bien à vous
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    De nada, bonne fin de journée ;)
    0
  14. thorgal
     
    Go to Start Menu and Inside the Search box type CMD.
    Now at the Top side if the Start menu you can see one file Called CMD.
    Right Click on that one and Select the Option RUN AS ADMINISTRATOR

    In Windows XP
    Go to Run and type "cmd" to open the command prompt

    Now you will get a black Window. Inside that black window type the above commands.

    Type or copy & paste "sfc /scanfile=c:\windows\system32\services.exe"
    and press enter

    . Restart your computer

    This will replace the infected services.exe with the original.
    0