Services.exe insuprimable
natsu00
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
je pose ce topic car je ne sais pourquoi mon antivirus me signal toujours un logiciel dangereux : services .exe pourtant je ne peux le supprimer
Est il dangereux et comment l'eliminé
merci d'avance
je pose ce topic car je ne sais pourquoi mon antivirus me signal toujours un logiciel dangereux : services .exe pourtant je ne peux le supprimer
Est il dangereux et comment l'eliminé
merci d'avance
A voir également:
- Services.exe insuprimable
- [Erreur services.exe] et le système s'arrete - Forum Virus
3 réponses
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Jérémy [Droits d'admin]
Mode: Suppression -- Date: 12/08/2012 20:45:18
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 13 ¤¤¤
[SUSP PATH] {30F7A998-57A9-4875-A561-1CD346DF66BF}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {408E2B19-D721-4C60-A82B-BA64A057A0F7}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {680EE911-D7AF-4ABE-85D5-1846ACF64478}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {822934C2-2A58-4E46-B59D-575D5A1D41F6}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {8CD8FD1A-9166-4E81-A7D2-192C12286B44}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
[SUSP PATH] {AABC5128-14FD-43DD-B861-2EA347B40C59}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
[SUSP PATH] {C6B85CE0-162C-4F01-B485-C40F59407BFE}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {C80D694B-0471-4D0D-B1D7-6FDD9E96967D}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Jérémy\AppData\Local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] b47c182a75c0a53feb828d139b84f0f5
[BSP] c3bfe98d222f72f094d407da2fadb92d : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 460454 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
voila j'espere que c'est ca j'ai bien fait scan puis suppression et j'ai clique sur rapport que voici
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Jérémy [Droits d'admin]
Mode: Suppression -- Date: 12/08/2012 20:45:18
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 13 ¤¤¤
[SUSP PATH] {30F7A998-57A9-4875-A561-1CD346DF66BF}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {408E2B19-D721-4C60-A82B-BA64A057A0F7}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {680EE911-D7AF-4ABE-85D5-1846ACF64478}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {822934C2-2A58-4E46-B59D-575D5A1D41F6}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {8CD8FD1A-9166-4E81-A7D2-192C12286B44}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
[SUSP PATH] {AABC5128-14FD-43DD-B861-2EA347B40C59}.job @ : C:\Users\Jérémy\Desktop\SETUP.EXE -> DELETED
[SUSP PATH] {C6B85CE0-162C-4F01-B485-C40F59407BFE}.job @ : C:\Users\Jérémy\Desktop\u\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[SUSP PATH] {C80D694B-0471-4D0D-B1D7-6FDD9E96967D}.job @ : C:\Users\Jérémy\Desktop\CircleDock0.9.2Alpha8.1\CircleDock0.9.2Alpha8.1\CircleDock.exe -> DELETED
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Jérémy\AppData\Local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
[ZeroAccess][FILE] @ : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\jérémy\appdata\local\{4414f2ba-6c48-7820-4f61-b759e64c063c}\L --> REMOVED
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] b47c182a75c0a53feb828d139b84f0f5
[BSP] c3bfe98d222f72f094d407da2fadb92d : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 460454 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
voila j'espere que c'est ca j'ai bien fait scan puis suppression et j'ai clique sur rapport que voici
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
