Services.exe insuprimable

natsu00 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
je pose ce topic car je ne sais pourquoi mon antivirus me signal toujours un logiciel dangereux : services .exe pourtant je ne peux le supprimer
Est il dangereux et comment l'eliminé
merci d'avance

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
    1
  2. natsu00
     
    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Jérémy [Droits d'admin]
    Mode: Suppression -- Date: 12/08/2012 20:45:18

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 13 ¤¤¤
    [SUSP PATH] {30F7A998-57A9-4875-A561-1CD346DF66BF}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [SUSP PATH] {408E2B19-D721-4C60-A82B-BA64A057A0F7}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [SUSP PATH] {680EE911-D7AF-4ABE-85D5-1846ACF64478}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [SUSP PATH] {822934C2-2A58-4E46-B59D-575D5A1D41F6}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [SUSP PATH] {8CD8FD1A-9166-4E81-A7D2-192C12286B44}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
    [SUSP PATH] {AABC5128-14FD-43DD-B861-2EA347B40C59}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
    [SUSP PATH] {C6B85CE0-162C-4F01-B485-C40F59407BFE}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [SUSP PATH] {C80D694B-0471-4D0D-B1D7-6FDD9E96967D}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
    [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Jérémy\AppData\Local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED AT REBOOT
    [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\00000001.@ --> REMOVED
    [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\80000000.@ --> REMOVED
    [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\800000cb.@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
    [ZeroAccess][FOLDER] L : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
    [ZeroAccess][FILE] @ : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
    [ZeroAccess][FOLDER] L : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
    [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
    --- User ---
    [MBR] b47c182a75c0a53feb828d139b84f0f5
    [BSP] c3bfe98d222f72f094d407da2fadb92d : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 460454 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    voila j'espere que c'est ca j'ai bien fait scan puis suppression et j'ai clique sur rapport que voici
    0
    1. natsu00 Messages postés 3 Statut Membre
       
      et ensuite je fais quoi x)
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    et :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0