Virus dans Service.exe
ElenaBC.
-
Destrio5 Messages postés 99820 Statut Modérateur -
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
tout d'abord merci à tous ceux qui prennent du temps pour apporter leur aide à d'autres, nombre des réponses données sur ce site m'ont aidée de nombreuses fois.
Je fais partie des personnes infectées par le virus logé dans Service.exe : des alertes BitDefender toutes les 5minutes, des pages web qui s'ouvrent toutes seules... Bref, je suis incapable de m'en débarrasser, d'ailleurs la dernière fois que j'ai essayé je me suis retrouvée avec un magnifique écran bleu et heureusement que j'ai pu restaurer l'ordinateur grâce à une sauvegarde par la suite. Donc cette fois-ci, autant limiter la casse et faire ça dans les règles.
Merci d'avance pour l'aide que vous pourrez m'apporter !
tout d'abord merci à tous ceux qui prennent du temps pour apporter leur aide à d'autres, nombre des réponses données sur ce site m'ont aidée de nombreuses fois.
Je fais partie des personnes infectées par le virus logé dans Service.exe : des alertes BitDefender toutes les 5minutes, des pages web qui s'ouvrent toutes seules... Bref, je suis incapable de m'en débarrasser, d'ailleurs la dernière fois que j'ai essayé je me suis retrouvée avec un magnifique écran bleu et heureusement que j'ai pu restaurer l'ordinateur grâce à une sauvegarde par la suite. Donc cette fois-ci, autant limiter la casse et faire ça dans les règles.
Merci d'avance pour l'aide que vous pourrez m'apporter !
A voir également:
- Virus dans Service.exe
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
17 réponses
Bonjour,
--> Utilise ComboFix et poste le rapport.
Un guide et un tutoriel sur l'utilisation de ComboFix
--> Utilise ComboFix et poste le rapport.
Un guide et un tutoriel sur l'utilisation de ComboFix
Bonjour,
merci pour votre rapidité de réponse.
En ce qui concerne Combofix... enregistré directement sur le bureau, lancement normal mais tout de suite après la sauvegarde du registre BitDefender s'ouvre deux fois de suite (j'ai pourtant bien tout désactivé) et plus rien de la part de Combofix. Comment suis-je sensée procéder du coup ?
Merci encore !
merci pour votre rapidité de réponse.
En ce qui concerne Combofix... enregistré directement sur le bureau, lancement normal mais tout de suite après la sauvegarde du registre BitDefender s'ouvre deux fois de suite (j'ai pourtant bien tout désactivé) et plus rien de la part de Combofix. Comment suis-je sensée procéder du coup ?
Merci encore !
On va essayer un autre outil.
Fais un scan avec RogueKiller puis poste le rapport.
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller
Fais un scan avec RogueKiller puis poste le rapport.
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller
Voici le rapport de RogueKiller :
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Recherche -- Date: 14/08/2012 19:11:43
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Recherche -- Date: 14/08/2012 19:11:43
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà :
RogueKiller a également ouvert une page Internet (http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html) mais j'imagine que c'est normal.
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Suppression -- Date: 14/08/2012 19:51:53
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> REMOVED AT REBOOT
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe)
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller a également ouvert une page Internet (http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html) mais j'imagine que c'est normal.
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Suppression -- Date: 14/08/2012 19:51:53
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> REMOVED AT REBOOT
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe)
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
ComboFix s'est lancé correctement, il a commencé la recherche des fichiers infectés puis BitDefender s'est de nouveau ouvert deux fois. Le logiciel a dit avoir détecté un Rootkit. Il recherche toujours les fichiers infectés actuellement et j'imagine que cela va prendre un certain temps. L'analyse peut-elle se faire sans que l'on soit devant ?
En mode sans échec, ça fonctionnera peut-être mieux :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
Des fichiers endommagés ont été trouvés mais n'ont pas tous pu être réparés. Que dois-je faire désormais ?
Même problème que précédemment j'ai l'impression... Bientôt 2h et ComboFix en est toujours à la même étape.
--> Télécharge TDSSKiller sur le Bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)
--> Clique sur [Start Scan] pour démarrer l'analyse.
--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].
--> Un rapport s'ouvrira au redémarrage du PC.
--> Copie-colle son contenu ici.
Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)
--> Clique sur [Start Scan] pour démarrer l'analyse.
--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].
--> Un rapport s'ouvrira au redémarrage du PC.
--> Copie-colle son contenu ici.
Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.
