Virus dans Service.exe
Fermé
ElenaBC.
-
Modifié par ElenaBC. le 14/08/2012 à 01:14
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 16 août 2012 à 00:43
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 16 août 2012 à 00:43
A voir également:
- Virus dans Service.exe
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
17 réponses
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 août 2012 à 01:16
14 août 2012 à 01:16
Bonjour,
--> Utilise ComboFix et poste le rapport.
Un guide et un tutoriel sur l'utilisation de ComboFix
--> Utilise ComboFix et poste le rapport.
Un guide et un tutoriel sur l'utilisation de ComboFix
Bonjour,
merci pour votre rapidité de réponse.
En ce qui concerne Combofix... enregistré directement sur le bureau, lancement normal mais tout de suite après la sauvegarde du registre BitDefender s'ouvre deux fois de suite (j'ai pourtant bien tout désactivé) et plus rien de la part de Combofix. Comment suis-je sensée procéder du coup ?
Merci encore !
merci pour votre rapidité de réponse.
En ce qui concerne Combofix... enregistré directement sur le bureau, lancement normal mais tout de suite après la sauvegarde du registre BitDefender s'ouvre deux fois de suite (j'ai pourtant bien tout désactivé) et plus rien de la part de Combofix. Comment suis-je sensée procéder du coup ?
Merci encore !
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 août 2012 à 19:03
14 août 2012 à 19:03
On va essayer un autre outil.
Fais un scan avec RogueKiller puis poste le rapport.
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller
Fais un scan avec RogueKiller puis poste le rapport.
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller
Voici le rapport de RogueKiller :
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Recherche -- Date: 14/08/2012 19:11:43
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Recherche -- Date: 14/08/2012 19:11:43
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 août 2012 à 19:49
14 août 2012 à 19:49
--> Relance RogueKiller, choisis l'option "Suppression" et poste le rapport.
Voilà :
RogueKiller a également ouvert une page Internet (http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html) mais j'imagine que c'est normal.
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Suppression -- Date: 14/08/2012 19:51:53
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> REMOVED AT REBOOT
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe)
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller a également ouvert une page Internet (http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html) mais j'imagine que c'est normal.
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Maëva [Droits d'admin]
Mode: Suppression -- Date: 14/08/2012 19:51:53
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> REMOVED AT REBOOT
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe)
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 0AS SCSI Disk Device +++++
--- User ---
[MBR] 1666e603f5f66f0c56e490574f1ecf4c
[BSP] 24c24ce4181f0cee50c15de481d02ad1 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: Maxtor 6 Y200M0 SCSI Disk Device +++++
--- User ---
[MBR] 0cfb4a1594bd3a6ac8525b32b1ed6d02
[BSP] 177762fe8f77f4252ed31ded486f93d3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194474 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: SAMSUNG HD501LJ SCSI Disk Device +++++
--- User ---
[MBR] 9a679dca0cdcfa5114f8418bdcdfcc65
[BSP] f3253d4f3cc23c1a8dbeeb53e288527a : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 11 | Size: 220688 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 451969144 | Size: 256251 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 août 2012 à 19:57
14 août 2012 à 19:57
C'est normal.
Essaie de lancer ComboFix.
Essaie de lancer ComboFix.
ComboFix s'est lancé correctement, il a commencé la recherche des fichiers infectés puis BitDefender s'est de nouveau ouvert deux fois. Le logiciel a dit avoir détecté un Rootkit. Il recherche toujours les fichiers infectés actuellement et j'imagine que cela va prendre un certain temps. L'analyse peut-elle se faire sans que l'on soit devant ?
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 août 2012 à 20:22
14 août 2012 à 20:22
Oui.
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
15 août 2012 à 02:07
15 août 2012 à 02:07
En mode sans échec, ça fonctionnera peut-être mieux :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
15 août 2012 à 17:07
15 août 2012 à 17:07
Des fichiers endommagés ont été trouvés mais n'ont pas tous pu être réparés. Que dois-je faire désormais ?
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
15 août 2012 à 18:23
15 août 2012 à 18:23
Retente ComboFix.
Même problème que précédemment j'ai l'impression... Bientôt 2h et ComboFix en est toujours à la même étape.
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
16 août 2012 à 00:43
16 août 2012 à 00:43
--> Télécharge TDSSKiller sur le Bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)
--> Clique sur [Start Scan] pour démarrer l'analyse.
--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].
--> Un rapport s'ouvrira au redémarrage du PC.
--> Copie-colle son contenu ici.
Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)
--> Clique sur [Start Scan] pour démarrer l'analyse.
--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].
--> Un rapport s'ouvrira au redémarrage du PC.
--> Copie-colle son contenu ici.
Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.