Trj dans services.exe

Résolu
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   -  
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
depuis hier, avast m'envoie une alerte toutes les 5 minutes environ me disant qu'un cheval de troie a été bloqué et mis en quarantaine il s'agit d'un trojan Win32:Zaccess-PB qui se loge apparemment dans Windows/System32/services
J'ai tenté un passage d'adwcleaner qui m'a détecté trois éléments nuisibles alors que d'habitude j'en ai aucun donc la 3 d'un coup jai fais suppression et rallumage... toujours ce message toutes les 5 minutes
J'ai fais une analyse rapide de MalwareBytes Anti Malware il m'a trouvé ce que je pense etre cet ennemi je lai effacé pas de souci il est en quarantaine il faut rallumer chose inhabituelle je le fais mais rebelote toujours ce message au bout de 5 minutes
J'essaie aussi avast en scan puissant sur deux dossiers Windows afin qu'il traite ca bien mais seulement sur les deux dossiers susceptibles d'en contenir... il m'en trouve 5 je les met en quarantaine 2 s'y mette 3 refusent ... et j'ai toujours ce foutu message

J'ai vu sur une autre discussion que combofix pouvait faire l'affaire mais plutôt que de partir seul à l'aventure je préfere m'en referer a des pros tels que vous :)

Merci d'avance du temps que vous me consacrerez

41 réponses

Réponse 1 / 41
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,

Ne pas oublier de vérifier l'état des services après ZA ...

A+
1
Réponse 2 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
salut

fais ceci

Télécharge roguekiller sur ton bureau

Le lien https://www.luanagames.com/index.fr.html

Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html

Quitte tous tes programmes en cours

Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)

Laisse faire le prescan

Clique sur scan

Le rapport s'affichera sur ton bureau et dans C: RKReport[#].txt

Poste le rapport via 1 copier/coller

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Tout d'abord merci de ton aide :)
J'ai fais ce que tu as di
Premièrement voilà le rapport:

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Ronan [Droits d'admin]
Mode : Recherche -- Date : 30/04/2013 09:01:57
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] 11c5cfe08b441b512e6e7f40d568c174
[BSP] b271a2cbf7fc19c2f926c8aa57423adc : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305240 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625952768 | Size: 304839 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_30042013_090157.txt >>
RKreport[1]_S_30042013_090157.txt


Dexièmement juste après le scan il m'a ouvert cette page internet

Merci
0
Réponse 3 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

la page qu'il t'a ouverte, est la procédure de suppression

relance roguekiller et clique sur suppression puis poste le rapport

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Merci billmaxime

Voici le rapport:

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Ronan [Droits d'admin]
Mode : Suppression -- Date : 30/04/2013 09:13:41
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz4DF5.tmp : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\trz4DF5.tmp [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] 11c5cfe08b441b512e6e7f40d568c174
[BSP] b271a2cbf7fc19c2f926c8aa57423adc : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305240 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625952768 | Size: 304839 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_30042013_091341.txt >>
RKreport[1]_S_30042013_090157.txt ; RKreport[2]_D_30042013_091341.txt
0
Réponse 4 / 41
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
Hello phoceen8 et bill

Bon courage ;)
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Salut lilidurhone :) depuis le temps ^^
Merci bien et bonne journée :)
0
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
phoceen8

Allez courage
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
salut Lili

merci et bonne journée

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Merci :) a+
0
Réponse 6 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

@ phoceen

tu dois faire suppression (a droite) avec roguekiller et poster le rapport

merci
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Euh c'est ce que j'ai fais ... le suppression en dessous du scan c'est ce que j'ai fait et j'ai posté le rapport ci-dessus ... nan ?
0
Réponse 7 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

excuse moi, je n'avais pas vu ton rapport de suppression

maintenant fais ceci et poste le rapport

télécharge MBAM sur ton bureau

le lien https://www.malwarebytes.com/ (prend le free)

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/

exécute le en tant qu'administrateur (clic droit)

met le a jour (3ème bouton)

fais 1 scan complet (tous les disques)

le scan peut durer +-2H (laisse le bosser)

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM

@+

0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Je connais MBAM j'en suis un fervant supporter mdr je l'ai utilisé d'ailleurs il trouvait sans rien pouvoir y faire (javai fait seulement une analyse rapide)
Go pour une analyse complete :)
Merci au tt cas :)
RDV dans quelques heures ;)
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

ok et tu as bien redémarrer le pc après le passage de roguekiller en mode suppression?

n'oublie pas de mettre de mettre MBAM a jour avant de faire le scan

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
d'ailleurs hier MBAM m'a trouvé

un Rootkit.0Access dans
C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\000000cb.@

Est ce que je le supprimes déjà celui là ou pas ?
Il est actuellement en quarantaine dans MBAM
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Oui j'ai bien redemarré :)
Pas de souci ;)
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

oui tu peux le supprimer (le Rootkit.0Access)

@+
0
Réponse 8 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

tu as peut être choisis la version pro (valable 30 jours je crois)

la version gratuite suffit pour le scan

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
J'ai ce logiciel depuis longtemps pourtant... c'est possible que lors d'une MAJ j'ai été tenté par une période d'essai... je ne m'en rappel pas ^^
Pour toi rien a voir avec cette saloperie alors ?! c'est surtout ça qui me chagrinait
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

je pense qu'il parle de la periode d'essai de sa protection continue

ça c'est la version pro avec "protection résidente"

laisse faire le scan et tu vérifieras après quelle version de MBAM tu as sur ton pc

Pour toi rien a voir avec cette saloperie alors ?! c'est surtout ça qui me chagrinait

ce n'est pas impossible, mais je ne peux pas te le certifier

zero acces est 1 belle "crasse"

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Pas de souci
Je comprend bien et j'ai bien vu ça ... jme fais pas souvent avoir mais la ... je connaissais pas celui là ...
Déjà merci pour ce que tu as fait (j'ai plus de message rien déjà) et ce que tu fais encore :)
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

pas de soucis:)

on verra ce que donne le rapport de MBAM

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
C'est bon scan terminé en 1h30 a peine
Le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.30.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Ronan :: RONAN-TOSH [administrateur]

30/04/2013 09:39:23
mbam-log-2013-04-30 (09-39-23).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 464021
Temps écoulé: 1 heure(s), 29 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'ai regardé dans A propos..., j'ai la version MBAM 1.75.0.1300
0
Réponse 9 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

le rapport MBAM est propre

fais ceci pour que je vérifie

télécharge zhpdiag sur ton bureau (outil de diagnostic)

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit)

lance zhpdiag et clique sur le tournevis (3 ème bouton en haut a droite)

dans la fenêtre qui s'ouvre, clique sur "tous"

lance le scan en cliquant sur le 1er bouton en haut a gauche

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt

poste le rapport via ce lien https://www.cjoint.com/

@+

0
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
Bill
Ton canned n'est plus à jour c'est une loupe maintenant :)
loupe - sans toutes les options
loupe + avec toutes les options
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re Lili

crois tu que du fait que je fasse tout cocher au tournevis, puis que je fasse lancer le scan en

cliquant sur (loupe - sans toutes les options) annule l'option du "tournevis"

@+
0
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
Bill il vaut mieux faire avec la loupe +
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

ok mais perso je l'ai fait comme décrit dans mon canned speech et j'ai bien eu le rapport complet

merci quand même pour tes conseils

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
C'est fait :)
Par ici ;)
0
Réponse 10 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
salut juju

je le fais avec 1 check disque?

merci

@+
0
Réponse 11 / 41
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
No comment :)

@phoceen8 :

Avant ZHPDiag, fais ceci stp :

Télécharge Farbar Service Scanner sur ton Bureau.

● Coche les cases suivantes : 
Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services



● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Et voilà ;)

Farbar Service Scanner Version: 14-04-2013
Ran by Ronan (administrator) on 30-04-2013 at 14:05:59
Running from "C:\Users\Ronan\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of MpsSvc. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of MpsSvc. The value does not exist.
Unable to retrieve ServiceDll of MpsSvc. The value does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
0
Réponse 12 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
@ phoceen

désinstalle ceci McAfee Security Scan Plus v3.0.318.3

https://www.pcastuces.com/pratique/astuces/2695.htm

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Pourquoi désinstaller ce logiciel il m'est bien utile et il me pose aucun souci je crois ? :)
0
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

parce que tu as avast et tu ne dois pas avoir 2 antivirus sur ton pc (conflit entre les 2)

@+
0
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
surtout qu il est inefficace je parle de macfee
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Ah oui ça je sais bien mais c'est pas un antivirus ça il me semble c'est pas un logiciel pour s'assurer que notre ordi a ce qu'il faut pr protéger le système dans chaque partie ? :)
0
lilidurhone Messages postés 43355 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 807
 
phocéen

désinstalles le avant que juju te le dise!
0
Réponse 13 / 41
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Suivre ceci : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Quand j'essaie de le télécharger avast s'affole en voyant là un élément suspect par deux fois (dans chrome pr le téléchargement, et pour windows après...) c'est un lien sûr ?
Merci :)
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Regarde mon statut sur ce site
Regarde le nombre d'interventions à mon actif
Si j'essayais simplement de refourger des m€rdes aux internautes y'a longtemps que les modos m'auraient blacklisté.
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Je connais bien tes capacités tkt et je n'en doutes pas je te suis
C'était surtout pour dire que avast s'excitait au cas où il fallait y faire quelque chose dessus :)
Bon jy vais alors ... :D
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Pas pour rien qu'on demande au début de l'explication de désactiver toutes les protections ^^
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Fait !
Et voilà le lien ;)
0
Réponse 14 / 41
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
  
Service : MPSSVC : Restored
Service : IPHLPSVC : Restored
Service : SHAREDACCESS : Restored

Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\wudfsvc] : 3 -> 2
Repaired : [HKLM | Services\WerSvc] : 3 -> 2


Et il a viré du ZeroAccess que RogueKiller a laissé aussi.

Refais ça pour contrôle : https://forums.commentcamarche.net/forum/affich-27705483-trj-dans-services-exe#37
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Oui j'ai re-vu ce terme pendant le scan ...
Et voilà

Farbar Service Scanner Version: 14-04-2013
Ran by Ronan (administrator) on 30-04-2013 at 17:41:50
Running from "C:\Users\Ronan\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

Le fait que ce soit vide ça m'inquiète un peu ...
0
Réponse 15 / 41
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Non au contraire c'est bon signe :)

Je laisse billmaxime terminer avec toi

A+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
ah bon ah d'accord j'ai cru ke ça indiquait ce qu'il fallait qu'il y ait pour le système j'avais rien compris ...
Heureusement je suis entre les mains d'experts :)
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
De ton coté juju, tout est bon ? ya plus rien à faire ? tu trouves mon ordi tiré d'affaires ? :)
Merci
0
Réponse 16 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
salut juju

termine s'il te plaît et moi je regarde

merci

@+
0
Réponse 17 / 41
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Je suis très bien épaulé avec l'un ou l'autre de toute façon et les deux m'ont profondément sauvé :) alors peu m'importe qui m'aide je serais reconnaissant envers les deux :D
0
Réponse 18 / 41
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
De même tout à l'heure j'ai supprimé complètement McAfee et la il une fenetre McAfee comme quoi il a detecté des éléments suspects et il me di kil les as pas supprimé mais séparés des dossiers ...
0
Réponse 19 / 41
billmaxime Messages postés 50583 Date d'inscription   Statut Contributeur Dernière intervention   6 046
 
re

tu as combofix sur ton pc (C:\Users\Ronan\Desktop\ComboFix.exe)

supprime le, il ne te servira a rien (pre-scan a supprimé les restes de l'infection)

µTorrent v3.3.0.29544 je ne sais pas s'il est a jour, si tu ne l'utilises pas, désinstalle le

Allplan update checker tool dis moi si c'est toi qui a installé ce programme

dis moi quand c'est fait

@+
0
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Combofix je l'ai désinstallé taleur :)
utorrent ça m'arrive de m'en servir mais très rarement ...
Tout ce qui est Allplan oui c'est moi qui l'est installé c'est pour mes études ...
:)
0
Réponse 20 / 41
phoceen8 Messages postés 1176 Date d'inscription   Statut Membre Dernière intervention   157
 
Dans Ordinateur > Windows (C:) >
J'ai maintenant un fichier vidéo appelé "PhysicalDisk0_MBR", et une note appelé "RHDSetup" est ce que je peux supprimer ces deux documents ?
0

Discussions similaires

Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
other:Malware-gen[Trj]
ChrisDax2 -
miyo -

13 réponses
Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur
DexyFlex -
bazfile -

27 réponses
Trj/CI.A Besoin d'aide SVP
Sarah -
Sarah -

22 réponses
Virus C:\Windows\system32\services.exe
climacoul -
Maxirugue -

18 réponses