Cheval de Troie system 32 "services.exe" AVG
Résolu/Fermé
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
-
10 nov. 2012 à 19:57
MrVanity Messages postés 27 Date d'inscription jeudi 17 novembre 2011 Statut Membre Dernière intervention 27 novembre 2012 - 11 nov. 2012 à 19:30
MrVanity Messages postés 27 Date d'inscription jeudi 17 novembre 2011 Statut Membre Dernière intervention 27 novembre 2012 - 11 nov. 2012 à 19:30
A voir également:
- Cheval de Troie system 32 "services.exe" AVG
- Poweriso 32 bit - Télécharger - Gravure
- Reboot system now - Guide
- 32 bits - Guide
- Avg free - Télécharger - Antivirus & Antimalwares
- Cette action ne peut pas être réalisée car le fichier est ouvert dans system - Guide
17 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 21:01
10 nov. 2012 à 21:01
Bonsoir,
== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
10 nov. 2012 à 21:33
10 nov. 2012 à 21:33
Merci pour la réponse :) donc j'ai commencé la manip (je poste depuis mon mobile) mais le programme s'est stopé, peut etre est ce normal ? J'ai accepté les conditions et il s'est arrèté a l'etape d'après, lorsqu il extrait des programmes.
Merci pour vos reponses !
Merci pour vos reponses !
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 21:35
10 nov. 2012 à 21:35
ok
● Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
● Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
10 nov. 2012 à 21:46
10 nov. 2012 à 21:46
Rapport de roguekiller :
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Recherche -- Date : 10/11/2012 21:44:14
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-107379172-2561450759-3157161583-1000[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_10112012_214414.txt >>
RKreport[1]_S_10112012_214414.txt
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Recherche -- Date : 10/11/2012 21:44:14
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-107379172-2561450759-3157161583-1000[...]\Run : cacaoweb ("C:\Users\MonSTeR\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\MonSTeR\AppData\Local\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_10112012_214414.txt >>
RKreport[1]_S_10112012_214414.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 21:52
10 nov. 2012 à 21:52
Par contre ComboFix semblait être toujours en cours^^
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message
A +
[SUSP PATH] ComboFix.exe -- C:\Users\MonSTeR\Desktop\ComboFix.exe -> TUÉ [TermProc]
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
10 nov. 2012 à 22:05
10 nov. 2012 à 22:05
Voila :
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Suppression -- Date : 10/11/2012 22:03:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe)
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_10112012_220338.txt >>
RKreport[1]_S_10112012_214414.txt ; RKreport[2]_S_10112012_215406.txt ; RKreport[3]_D_10112012_215443.txt ; RKreport[4]_S_10112012_220211.txt ; RKreport[5]_D_10112012_220338.txt
RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : MonSTeR [Droits d'admin]
Mode : Suppression -- Date : 10/11/2012 22:03:38
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe)
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EAVS-00D7B1 ATA Device +++++
--- User ---
[MBR] 8ad9e1b9410facf70b8db83fdcf52bd1
[BSP] 5d7494dac1b20be6de01842dd2ff9ae1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 14339 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29366820 | Size: 939529 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_10112012_220338.txt >>
RKreport[1]_S_10112012_214414.txt ; RKreport[2]_S_10112012_215406.txt ; RKreport[3]_D_10112012_215443.txt ; RKreport[4]_S_10112012_220211.txt ; RKreport[5]_D_10112012_220338.txt
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 22:09
10 nov. 2012 à 22:09
ok
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig netsvcs /md5start explorer.exe winlogon.exe userinit.exe svchost.exe services.exe winsock.* /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.* BASESERVICES CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
10 nov. 2012 à 22:39
10 nov. 2012 à 22:39
Alors : - Rapport OTL.txt : https://textup.fr/33624Gh
- Rapport Extras.txt : https://textup.fr/33625UE
J'espère que tout va bien !
- Rapport Extras.txt : https://textup.fr/33625UE
J'espère que tout va bien !
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 22:55
10 nov. 2012 à 22:55
C'est un repère à logiciels malveillants :D
Ton antivirus c'est Avast! ou AVG ou SpywareDoctor ?
A +
Ton antivirus c'est Avast! ou AVG ou SpywareDoctor ?
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
10 nov. 2012 à 22:56
10 nov. 2012 à 22:56
Aie =/ C'est AVG
+
+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 nov. 2012 à 23:03
10 nov. 2012 à 23:03
en plus mauvaise nouvelle, le fichier services.exe toujours patché.
1. Désinstalle :
Avast! => https://www.avast.com/fr-fr/uninstall-utility
Browser Guard 4.0
Norton Security Scan
SpywareDoctor 9
2. Redémarre en mode sans échec
3. Relance ComboFix
A +
1. Désinstalle :
Avast! => https://www.avast.com/fr-fr/uninstall-utility
Browser Guard 4.0
Norton Security Scan
SpywareDoctor 9
2. Redémarre en mode sans échec
3. Relance ComboFix
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
Modifié par MrVanity le 11/11/2012 à 00:07
Modifié par MrVanity le 11/11/2012 à 00:07
Bon j'ai un peu galéré, après avoir desinstallé les différents antivirus jai voulu lancer combofix (en mode sans echec) mais il ne voulait pas démarrer après 15 minutes d'attente j'ai decidé de le lancer en mode normal. Il a l'air d'avoir terminé les 50 etapes, cependant il m affiche "system file is infected !! Attemting to restore C'..system32\services.exe". Voilà où j'en suis.
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 00:14
11 nov. 2012 à 00:14
Redémarre et regarde si tu as le rapport ici C:\ComboFix.txt
A +
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 00:24
11 nov. 2012 à 00:24
Hélas non je ne l'ai pas. J'ai bien un fichier combofix par contre, et lorsque je passe la souris dessus il me propose d' "afficher les lecteurs de disques et le matériel connecté à cet ordinateur".
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 00:35
11 nov. 2012 à 00:35
ok,
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et poste les liens
A +
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start services.* winsock.* /md5stop BASESERVICES CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et poste les liens
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 00:56
11 nov. 2012 à 00:56
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 01:04
11 nov. 2012 à 01:04
Bon je vous laisse pour ce soir (je m'endors). Merci beaucoup d'avoir pris le temps de m'aider et j'espère que le problème est quasi réglé !
Bonne soirée (désolé si je vous ai empêché de dormir ^^ )
Bonne soirée (désolé si je vous ai empêché de dormir ^^ )
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 09:06
11 nov. 2012 à 09:06
Bonjour,
Malheureusement non, l'infection sirefef résiste et a fait des dégâts dans ton système.
== == == == == == == == == == == == == == == == == == == == == ==
Avertissement : Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
== == == == == == == == == == == == == == == == == == == == == ==
1. Ouvre le bloc-note et copie/colle les instructions en citation :
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
4. Héberge les rapports et donne moi les liens.
A +
Malheureusement non, l'infection sirefef résiste et a fait des dégâts dans ton système.
== == == == == == == == == == == == == == == == == == == == == ==
Avertissement : Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
== == == == == == == == == == == == == == == == == == == == == ==
1. Ouvre le bloc-note et copie/colle les instructions en citation :
KillAll::
ClearJavaCache::
File::
C:\Windows\assembly\GAC\Desktop.ini
Folder::
C:\Windows\Installer\{6291afb9-b7b6-95bb-a7a0-3f9cd31ecf0d}
FCopy::
C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe | C:\Windows\System32\services.exe
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Relance OTL
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start services.exe /md5stop
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
4. Héberge les rapports et donne moi les liens.
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 12:53
11 nov. 2012 à 12:53
Bonjour,
Rapport ComboFix : https://textup.fr/33652UE
Rapport Correction OTL : https://textup.fr/33655v8
Rapport Analyse rapide OTL : https://textup.fr/33654A0
Rapport ComboFix : https://textup.fr/33652UE
Rapport Correction OTL : https://textup.fr/33655v8
Rapport Analyse rapide OTL : https://textup.fr/33654A0
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 13:33
11 nov. 2012 à 13:33
ok,
Maintenant, on a vraiment avancé, il reste à vérifier un fichier système et réparer les services Windows endommagés.
Je vois que tu as désinstallé tous les antivirus, tu n'as pas gardé AVG ?
Spyware Doctor a été mal désinstallé, on s'en occupera ensuite.
1. Analyse le fichier c:\windows\regedit.exe sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
3. Télécharge Farbar Service Scanner sur ton Bureau.
● Lance l'outil puis coche les cases suivantes :
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
4. Héberge les rapports et poste les liens.
A +
Maintenant, on a vraiment avancé, il reste à vérifier un fichier système et réparer les services Windows endommagés.
Je vois que tu as désinstallé tous les antivirus, tu n'as pas gardé AVG ?
Spyware Doctor a été mal désinstallé, on s'en occupera ensuite.
1. Analyse le fichier c:\windows\regedit.exe sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
3. Télécharge Farbar Service Scanner sur ton Bureau.
● Lance l'outil puis coche les cases suivantes :
Internet Services Windows Firewall System Restore Security Center Windows Update Windows Defender Others Services
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
4. Héberge les rapports et poste les liens.
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 14:06
11 nov. 2012 à 14:06
Je te donne déjà le résultat de virustotal : https://www.virustotal.com/gui/file/f2bab6817450eb3bab224cace54a49d3dc42ef7472f8da6f4405adddd251bc79
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 14:14
11 nov. 2012 à 14:14
Rapport FSS.txt : https://textup.fr/33671Fb
Rapport ServiceRepair (pas sûr que ce soit bien ça) : https://textup.fr/33673GX
Rapport ServiceRepair (pas sûr que ce soit bien ça) : https://textup.fr/33673GX
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 14:21
11 nov. 2012 à 14:21
Parfait, Windows est réparé.
Enlève les résidus des anciens antivirus avec ce logiciel : https://forum.security-x.fr/tutoriels-317/(tutoriel)-desinstaller-facilement-un-antivirus-ou-un-pare-feu/
Et réinstalle AVG : http://www.bibou0007.com/t1795-tutorial-avg-anti-virus-free-edition
ou un autre mais tu m'as dit que c'était ton antivirus.
Indique moi ensuite si tout est ok, je te donnerai la procédure pour désinstaller proprement le outils de désinfection et finaliser les nettoyage.
A +
Enlève les résidus des anciens antivirus avec ce logiciel : https://forum.security-x.fr/tutoriels-317/(tutoriel)-desinstaller-facilement-un-antivirus-ou-un-pare-feu/
Et réinstalle AVG : http://www.bibou0007.com/t1795-tutorial-avg-anti-virus-free-edition
ou un autre mais tu m'as dit que c'était ton antivirus.
Indique moi ensuite si tout est ok, je te donnerai la procédure pour désinstaller proprement le outils de désinfection et finaliser les nettoyage.
A +
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
Modifié par MrVanity le 11/11/2012 à 14:33
Modifié par MrVanity le 11/11/2012 à 14:33
Ah cool ça fait plaisir !
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 14:33
11 nov. 2012 à 14:33
Tu as fait l'option "cleanup a fail uninstall" ?
parce que moi je vois encore du SpywareDoctor
parce que moi je vois encore du SpywareDoctor
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
11 nov. 2012 à 19:02
11 nov. 2012 à 19:02
Bien, on termine
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
3. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
● Clique sur le bouton Correction.
4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne soirée
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
3. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
:commands [clearallrestorepoints]
● Clique sur le bouton Correction.
4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne soirée
MrVanity
Messages postés
27
Date d'inscription
jeudi 17 novembre 2011
Statut
Membre
Dernière intervention
27 novembre 2012
11 nov. 2012 à 19:30
11 nov. 2012 à 19:30
Bon bah tout a l'air OK. Un grand remerciement à toi d'avoir pris le temps de m'aider !
Bonne soirée
MrVanity
Bonne soirée
MrVanity
