Cheval de Troie system 32 "services.exe" AVG [Résolu/Fermé]
Signaler
MrVanity
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
A voir également:
- Cheval de Troie system 32 "services.exe" AVG
- Cheval de Troie system 32 "services.exe" AVG ✓ - Forum - Virus / Sécurité
- System windows 32/services exe. ✓ - Forum - Windows
- Windows systeme 32 cmd.exe ✓ - Forum - Virus / Sécurité
- Fenetre noire : Windows systeme 32 cmd.exe ✓ - Forum - Virus / Sécurité
- Windows systeme 32 cmd.exe ✓ - Forum - Virus / Sécurité
17 réponses
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
Bonsoir,
== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Merci pour la réponse :) donc j'ai commencé la manip (je poste depuis mon mobile) mais le programme s'est stopé, peut etre est ce normal ? J'ai accepté les conditions et il s'est arrèté a l'etape d'après, lorsqu il extrait des programmes.
Merci pour vos reponses !
Merci pour vos reponses !
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
ok
● Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
● Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Rapport de roguekiller :
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Recherche -- Date : 10/11/2012 21:44:14
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-107379172-2561450759-3157161583-1000[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_10112012_214414.txt >>
RKreport[1]_S_10112012_214414.txt
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Recherche -- Date : 10/11/2012 21:44:14
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-107379172-2561450759-3157161583-1000[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_10112012_214414.txt >>
RKreport[1]_S_10112012_214414.txt
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
Par contre ComboFix semblait être toujours en cours^^
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message
A +
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Voila :
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Suppression -- Date : 10/11/2012 22:03:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe)
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_10112012_220338.txt >>
RKreport[1]_S_10112012_214414.txt ; RKreport[2]_S_10112012_215406.txt ; RKreport[3]_D_10112012_215443.txt ; RKreport[4]_S_10112012_220211.txt ; RKreport[5]_D_10112012_220338.txt
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Suppression -- Date : 10/11/2012 22:03:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe)
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_10112012_220338.txt >>
RKreport[1]_S_10112012_214414.txt ; RKreport[2]_S_10112012_215406.txt ; RKreport[3]_D_10112012_215443.txt ; RKreport[4]_S_10112012_220211.txt ; RKreport[5]_D_10112012_220338.txt
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
ok
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig netsvcs /md5start explorer.exe winlogon.exe userinit.exe svchost.exe services.exe winsock.* /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.* BASESERVICES CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Alors : - Rapport OTL.txt : https://textup.fr/33624Gh
- Rapport Extras.txt : https://textup.fr/33625UE
J'espère que tout va bien !
- Rapport Extras.txt : https://textup.fr/33625UE
J'espère que tout va bien !
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
C'est un repère à logiciels malveillants :D
Ton antivirus c'est Avast! ou AVG ou SpywareDoctor ?
A +
Ton antivirus c'est Avast! ou AVG ou SpywareDoctor ?
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Aie =/ C'est AVG
+
+
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
en plus mauvaise nouvelle, le fichier services.exe toujours patché.
1. Désinstalle :
Avast! => https://www.avast.com/fr-fr/uninstall-utility
Browser Guard 4.0
Norton Security Scan
SpywareDoctor 9
2. Redémarre en mode sans échec
3. Relance ComboFix
A +
1. Désinstalle :
Avast! => https://www.avast.com/fr-fr/uninstall-utility
Browser Guard 4.0
Norton Security Scan
SpywareDoctor 9
2. Redémarre en mode sans échec
3. Relance ComboFix
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Bon j'ai un peu galéré, après avoir desinstallé les différents antivirus jai voulu lancer combofix (en mode sans echec) mais il ne voulait pas démarrer après 15 minutes d'attente j'ai decidé de le lancer en mode normal. Il a l'air d'avoir terminé les 50 etapes, cependant il m affiche "system file is infected !! Attemting to restore C'..system32\services.exe". Voilà où j'en suis.
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Hélas non je ne l'ai pas. J'ai bien un fichier combofix par contre, et lorsque je passe la souris dessus il me propose d' "afficher les lecteurs de disques et le matériel connecté à cet ordinateur".
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
ok,
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et poste les liens
A +
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start services.* winsock.* /md5stop BASESERVICES CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et poste les liens
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Bon je vous laisse pour ce soir (je m'endors). Merci beaucoup d'avoir pris le temps de m'aider et j'espère que le problème est quasi réglé !
Bonne soirée (désolé si je vous ai empêché de dormir ^^ )
Bonne soirée (désolé si je vous ai empêché de dormir ^^ )
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
Bonjour,
Malheureusement non, l'infection sirefef résiste et a fait des dégâts dans ton système.
== == == == == == == == == == == == == == == == == == == == == ==
Avertissement : Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
== == == == == == == == == == == == == == == == == == == == == ==
1. Ouvre le bloc-note et copie/colle les instructions en citation :
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
4. Héberge les rapports et donne moi les liens.
A +
Malheureusement non, l'infection sirefef résiste et a fait des dégâts dans ton système.
== == == == == == == == == == == == == == == == == == == == == ==
Avertissement : Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
== == == == == == == == == == == == == == == == == == == == == ==
1. Ouvre le bloc-note et copie/colle les instructions en citation :
KillAll::
ClearJavaCache::
File::
C:\Windows\assembly\GAC\Desktop.ini
Folder::
C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}
FCopy::
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe | C:\Windows\System32\services.exe
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start services.exe /md5stop
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
4. Héberge les rapports et donne moi les liens.
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Bonjour,
Rapport ComboFix : https://textup.fr/33652UE
Rapport Correction OTL : https://textup.fr/33655v8
Rapport Analyse rapide OTL : https://textup.fr/33654A0
Rapport ComboFix : https://textup.fr/33652UE
Rapport Correction OTL : https://textup.fr/33655v8
Rapport Analyse rapide OTL : https://textup.fr/33654A0
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
ok,
Maintenant, on a vraiment avancé, il reste à vérifier un fichier système et réparer les services Windows endommagés.
Je vois que tu as désinstallé tous les antivirus, tu n'as pas gardé AVG ?
Spyware Doctor a été mal désinstallé, on s'en occupera ensuite.
1. Analyse le fichier c:\windows\regedit.exe sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
3. Télécharge Farbar Service Scanner sur ton Bureau.
● Lance l'outil puis coche les cases suivantes :
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
4. Héberge les rapports et poste les liens.
A +
Maintenant, on a vraiment avancé, il reste à vérifier un fichier système et réparer les services Windows endommagés.
Je vois que tu as désinstallé tous les antivirus, tu n'as pas gardé AVG ?
Spyware Doctor a été mal désinstallé, on s'en occupera ensuite.
1. Analyse le fichier c:\windows\regedit.exe sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
3. Télécharge Farbar Service Scanner sur ton Bureau.
● Lance l'outil puis coche les cases suivantes :
Internet Services Windows Firewall System Restore Security Center Windows Update Windows Defender Others Services
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
4. Héberge les rapports et poste les liens.
A +
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
Tu as réinstaller AVG non ?
En gratuit tout comme Avast! c'est déjà pas mal.
Si pour Spyware Doctor, c'est ok aussi, je te donne la fin de la procédure, fais moi signe.
A +
En gratuit tout comme Avast! c'est déjà pas mal.
Si pour Spyware Doctor, c'est ok aussi, je te donne la fin de la procédure, fais moi signe.
A +
MrVanity
- Messages postés
- 27
- Date d'inscription
- jeudi 17 novembre 2011
- Statut
- Membre
- Dernière intervention
- 27 novembre 2012
Re !
Donc logiquement pour Spyware Doctor c'est bon, du moins AppRemover ne le trouve plus. AVG est installé et configuré ( le pare feu n'est pas installé, je l'installe? ). Je suis prêt pour l'ultime étape ! :)
Donc logiquement pour Spyware Doctor c'est bon, du moins AppRemover ne le trouve plus. AVG est installé et configuré ( le pare feu n'est pas installé, je l'installe? ). Je suis prêt pour l'ultime étape ! :)
kalimusic
- Messages postés
- 14014
- Date d'inscription
- samedi 7 novembre 2009
- Statut
- Contributeur sécurité
- Dernière intervention
- 20 novembre 2015
Bien, on termine
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
3. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
● Clique sur le bouton Correction.
4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/faq/remove_olderversions.xml
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne soirée
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
3. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
:commands [clearallrestorepoints]
● Clique sur le bouton Correction.
4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/faq/remove_olderversions.xml
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne soirée