Trojan : Services.exe infecté
DarkY69
Messages postés
19
Statut
Membre
-
Darky69 -
Darky69 -
Bonjour,
Voila, j'ai depuis quelques jours des alertes d'Avast sur un trojan :
Menace : Win32: Patched-AKC [Trj] => Présent dans C:\Windows\System32\services.exe
Plus :
Menace : Win32: Sirefef-PL [Rtk] => Présent dans C:\Windows\assembly\GAC_32\Deskopt.ini
Evidement Avast n'y fait rien. Et moi ca me fait planté mon pc au démarrage ( écran bleu) une fois sur trois, et d'autres fois ca le lance mais le bureau ne peut pas s'afficher et je ne peux rien lancer.
Je fais suivre le rapport ZHPDIAG de suite :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121005_z14r118k6b5
En l'attente d'une réponse, cordialement !
Voila, j'ai depuis quelques jours des alertes d'Avast sur un trojan :
Menace : Win32: Patched-AKC [Trj] => Présent dans C:\Windows\System32\services.exe
Plus :
Menace : Win32: Sirefef-PL [Rtk] => Présent dans C:\Windows\assembly\GAC_32\Deskopt.ini
Evidement Avast n'y fait rien. Et moi ca me fait planté mon pc au démarrage ( écran bleu) une fois sur trois, et d'autres fois ca le lance mais le bureau ne peut pas s'afficher et je ne peux rien lancer.
Je fais suivre le rapport ZHPDIAG de suite :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121005_z14r118k6b5
En l'attente d'une réponse, cordialement !
A voir également:
- Trojan : Services.exe infecté
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
11 réponses
Salut,
Démarre ton PC en mode sans échec avec prise en charge réseau et fait ceci:
- Télécharger sur le bureau https://www.luanagames.com/index.fr.html (par Tigzy)
- Quitter tous les programmes
- Lancer RogueKiller.exe.
- Attendre que le Prescan ait fini ...
- Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport dans ta prochaine réponse stp
@+
Démarre ton PC en mode sans échec avec prise en charge réseau et fait ceci:
- Télécharger sur le bureau https://www.luanagames.com/index.fr.html (par Tigzy)
- Quitter tous les programmes
- Lancer RogueKiller.exe.
- Attendre que le Prescan ait fini ...
- Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport dans ta prochaine réponse stp
@+
RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Martin [Droits d'admin]
Mode : Recherche -- Date : 05/10/2012 16:52:05
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[RUN][Rans.Gendarm] HKLM\[...]\Wow6432Node\Run : Update ("C:\Users\Martin\AppData\Roaming\supfc\upd.exe") -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD103SJ ATA Device +++++
--- User ---
[MBR] 003e5c2be36e40c11ac538f28e71b999
[BSP] 926886f805b8c6b28b02cd54725dafbe : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 803767 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1646321664 | Size: 149999 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Voila voila, envoyé depuis mon mode sans echec !
Merci !
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Martin [Droits d'admin]
Mode : Recherche -- Date : 05/10/2012 16:52:05
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[RUN][Rans.Gendarm] HKLM\[...]\Wow6432Node\Run : Update ("C:\Users\Martin\AppData\Roaming\supfc\upd.exe") -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD103SJ ATA Device +++++
--- User ---
[MBR] 003e5c2be36e40c11ac538f28e71b999
[BSP] 926886f805b8c6b28b02cd54725dafbe : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 803767 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1646321664 | Size: 149999 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Voila voila, envoyé depuis mon mode sans echec !
Merci !
RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Martin [Droits d'admin]
Mode : Suppression -- Date : 05/10/2012 18:50:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][Rans.Gendarm] HKLM\[...]\Wow6432Node\Run : Update ("C:\Users\Martin\AppData\Roaming\supfc\upd.exe") -> SUPPRIMÉ
[TASK][SUSP PATH] {A6CBD1AD-2617-418F-A6D1-68E5C0E3E65E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Martin\Desktop\Nouveau dossier\Setup.exe" -d "C:\Users\Martin\Desktop\Nouveau dossier" -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U\00000008.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L\00000004.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD103SJ ATA Device +++++
--- User ---
[MBR] 003e5c2be36e40c11ac538f28e71b999
[BSP] 926886f805b8c6b28b02cd54725dafbe : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 803767 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1646321664 | Size: 149999 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Et voila le travail !
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Martin [Droits d'admin]
Mode : Suppression -- Date : 05/10/2012 18:50:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][Rans.Gendarm] HKLM\[...]\Wow6432Node\Run : Update ("C:\Users\Martin\AppData\Roaming\supfc\upd.exe") -> SUPPRIMÉ
[TASK][SUSP PATH] {A6CBD1AD-2617-418F-A6D1-68E5C0E3E65E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Martin\Desktop\Nouveau dossier\Setup.exe" -d "C:\Users\Martin\Desktop\Nouveau dossier" -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U\00000008.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L\00000004.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Martin\AppData\Local\{0685eba9-ecc6-9e43-319e-67b2cb36b998}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD103SJ ATA Device +++++
--- User ---
[MBR] 003e5c2be36e40c11ac538f28e71b999
[BSP] 926886f805b8c6b28b02cd54725dafbe : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 803767 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1646321664 | Size: 149999 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Et voila le travail !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
Encore merci pour tout déjà !
Il n"y a plus le Trojan :) !
Par contre il détecte encore la menace : Win32: Sirefef-PL [Rtk] => Présent dans C:\Windows\assembly\GAC_32\Deskopt.ini
Cordialement !
Encore merci pour tout déjà !
Il n"y a plus le Trojan :) !
Par contre il détecte encore la menace : Win32: Sirefef-PL [Rtk] => Présent dans C:\Windows\assembly\GAC_32\Deskopt.ini
Cordialement !
Salut,
Ok,
*Télécharge Gmer (de Przemyslaw Gmerek) :
=> http://www2.gmer.net/gmer.zip
* Dézippe-le dans un dossier dédié ou sur ton Bureau.
* Déconnecte toi d'Internet puis ferme tous les programmes.
* Double-clique sur Gmer.exe.
Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
* Clique sur l'onglet Rootkit.
* A droite, coche seulement Files, Services & Registry.
* Clique maintenant sur Scan.
* Lorsque le scan est terminé, clique sur Copy.
* Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
* Le rapport doit alors apparaître.
* Enregistre le fichier sur ton Bureau et poste le contenu ici stp.
@+
La formule sacrée du positivisme : l'amour pour principe, l'ordre pour base, et le progrès pour but.
Ok,
*Télécharge Gmer (de Przemyslaw Gmerek) :
=> http://www2.gmer.net/gmer.zip
* Dézippe-le dans un dossier dédié ou sur ton Bureau.
* Déconnecte toi d'Internet puis ferme tous les programmes.
* Double-clique sur Gmer.exe.
Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
* Clique sur l'onglet Rootkit.
* A droite, coche seulement Files, Services & Registry.
* Clique maintenant sur Scan.
* Lorsque le scan est terminé, clique sur Copy.
* Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
* Le rapport doit alors apparaître.
* Enregistre le fichier sur ton Bureau et poste le contenu ici stp.
@+
La formule sacrée du positivisme : l'amour pour principe, l'ordre pour base, et le progrès pour but.
Bonjour, j'étais totalement absent ce weekend !
Je fais la manip' et je poste le rapport !
Cordialement !
Je fais la manip' et je poste le rapport !
Cordialement !
Bonjour !
Alors en fait toujours pas de réponse puisque le test ne marche pas,
enfin gmer fait le scan me dit qu'il ne trouve rien, et je n'ai pas de rapport à coller.
Même en cliquant sur Copy, après rien à coller...
Erf
Alors en fait toujours pas de réponse puisque le test ne marche pas,
enfin gmer fait le scan me dit qu'il ne trouve rien, et je n'ai pas de rapport à coller.
Même en cliquant sur Copy, après rien à coller...
Erf
Bonjour,
Le test ne marche pas, c'est à dire ?
Télécharger Malwarebytes Anti Malware (MBAM) et installe-le sur ton bureau :
Lien => https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
- Mettre à jour les bases virales.
- Redémarrer en mode sans échec (voir ici ) :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
- Lancer Malwarebytes Anti Malware
- Cliquer ensuite sur l'onglet "Recherche" et faire un "Examen complet".
- L'examen peut être long ! Il vaut mieux ne rien faire à coter sur le pc et laisser le scan se terminer.
- Si des menaces ont été détectées, cliquer sur "Afficher les résultats".
- Sélectionner toutes les menaces et cliquer sur "Supprimer la sélection", (vérifier que toutes les cases sont bien cochées).
- Si l'ordinateur demande de redémarrer, accepter.
- Un rapport sera généré, poste le sur le forum stp.
@+
Le test ne marche pas, c'est à dire ?
Télécharger Malwarebytes Anti Malware (MBAM) et installe-le sur ton bureau :
Lien => https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
- Mettre à jour les bases virales.
- Redémarrer en mode sans échec (voir ici ) :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp
- Lancer Malwarebytes Anti Malware
- Cliquer ensuite sur l'onglet "Recherche" et faire un "Examen complet".
- L'examen peut être long ! Il vaut mieux ne rien faire à coter sur le pc et laisser le scan se terminer.
- Si des menaces ont été détectées, cliquer sur "Afficher les résultats".
- Sélectionner toutes les menaces et cliquer sur "Supprimer la sélection", (vérifier que toutes les cases sont bien cochées).
- Si l'ordinateur demande de redémarrer, accepter.
- Un rapport sera généré, poste le sur le forum stp.
@+
