Trj dans services.exe

Résolu/Fermé
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 - 30 avril 2013 à 08:48
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 - 1 mai 2013 à 22:14
Bonjour,
depuis hier, avast m'envoie une alerte toutes les 5 minutes environ me disant qu'un cheval de troie a été bloqué et mis en quarantaine il s'agit d'un trojan Win32:Zaccess-PB qui se loge apparemment dans Windows/System32/services
J'ai tenté un passage d'adwcleaner qui m'a détecté trois éléments nuisibles alors que d'habitude j'en ai aucun donc la 3 d'un coup jai fais suppression et rallumage... toujours ce message toutes les 5 minutes
J'ai fais une analyse rapide de MalwareBytes Anti Malware il m'a trouvé ce que je pense etre cet ennemi je lai effacé pas de souci il est en quarantaine il faut rallumer chose inhabituelle je le fais mais rebelote toujours ce message au bout de 5 minutes
J'essaie aussi avast en scan puissant sur deux dossiers Windows afin qu'il traite ca bien mais seulement sur les deux dossiers susceptibles d'en contenir... il m'en trouve 5 je les met en quarantaine 2 s'y mette 3 refusent ... et j'ai toujours ce foutu message

J'ai vu sur une autre discussion que combofix pouvait faire l'affaire mais plutôt que de partir seul à l'aventure je préfere m'en referer a des pros tels que vous :)

Merci d'avance du temps que vous me consacrerez

41 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 11:48
Salut,

Ne pas oublier de vérifier l'état des services après ZA ...

A+
1
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 08:54
salut

fais ceci

Télécharge roguekiller sur ton bureau

Le lien https://www.luanagames.com/index.fr.html

Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html

Quitte tous tes programmes en cours

Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)

Laisse faire le prescan

Clique sur scan

Le rapport s'affichera sur ton bureau et dans C: RKReport[#].txt

Poste le rapport via 1 copier/coller

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:05
Tout d'abord merci de ton aide :)
J'ai fais ce que tu as di
Premièrement voilà le rapport:

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Ronan [Droits d'admin]
Mode : Recherche -- Date : 30/04/2013 09:01:57
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] 11c5cfe08b441b512e6e7f40d568c174
[BSP] b271a2cbf7fc19c2f926c8aa57423adc : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305240 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625952768 | Size: 304839 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_30042013_090157.txt >>
RKreport[1]_S_30042013_090157.txt


Dexièmement juste après le scan il m'a ouvert cette page internet

Merci
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:08
re

la page qu'il t'a ouverte, est la procédure de suppression

relance roguekiller et clique sur suppression puis poste le rapport

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:21
Merci billmaxime

Voici le rapport:

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Ronan [Droits d'admin]
Mode : Suppression -- Date : 30/04/2013 09:13:41
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz4DF5.tmp : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\trz4DF5.tmp [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] 11c5cfe08b441b512e6e7f40d568c174
[BSP] b271a2cbf7fc19c2f926c8aa57423adc : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305240 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625952768 | Size: 304839 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_30042013_091341.txt >>
RKreport[1]_S_30042013_090157.txt ; RKreport[2]_D_30042013_091341.txt
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 09:15
Hello phoceen8 et bill

Bon courage ;)
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:21
Salut lilidurhone :) depuis le temps ^^
Merci bien et bonne journée :)
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 09:23
phoceen8

Allez courage
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:16
salut Lili

merci et bonne journée

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:26
Merci :) a+
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:23
re

@ phoceen

tu dois faire suppression (a droite) avec roguekiller et poster le rapport

merci
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:26
Euh c'est ce que j'ai fais ... le suppression en dessous du scan c'est ce que j'ai fait et j'ai posté le rapport ci-dessus ... nan ?
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:29
re

excuse moi, je n'avais pas vu ton rapport de suppression

maintenant fais ceci et poste le rapport

télécharge MBAM sur ton bureau

le lien https://www.malwarebytes.com/ (prend le free)

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/

exécute le en tant qu'administrateur (clic droit)

met le a jour (3ème bouton)

fais 1 scan complet (tous les disques)

le scan peut durer +-2H (laisse le bosser)

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM

@+

0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:32
Je connais MBAM j'en suis un fervant supporter mdr je l'ai utilisé d'ailleurs il trouvait sans rien pouvoir y faire (javai fait seulement une analyse rapide)
Go pour une analyse complete :)
Merci au tt cas :)
RDV dans quelques heures ;)
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:35
re

ok et tu as bien redémarrer le pc après le passage de roguekiller en mode suppression?

n'oublie pas de mettre de mettre MBAM a jour avant de faire le scan

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:36
d'ailleurs hier MBAM m'a trouvé

un Rootkit.0Access dans
C:\Windows\Installer\{dc47290b-88fe-d4ee-aa87-4d80b243cd38}\U\000000cb.@

Est ce que je le supprimes déjà celui là ou pas ?
Il est actuellement en quarantaine dans MBAM
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:36
Oui j'ai bien redemarré :)
Pas de souci ;)
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:38
re

oui tu peux le supprimer (le Rootkit.0Access)

@+
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:44
re

tu as peut être choisis la version pro (valable 30 jours je crois)

la version gratuite suffit pour le scan

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 09:47
J'ai ce logiciel depuis longtemps pourtant... c'est possible que lors d'une MAJ j'ai été tenté par une période d'essai... je ne m'en rappel pas ^^
Pour toi rien a voir avec cette saloperie alors ?! c'est surtout ça qui me chagrinait
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 09:52
re

je pense qu'il parle de la periode d'essai de sa protection continue

ça c'est la version pro avec "protection résidente"

laisse faire le scan et tu vérifieras après quelle version de MBAM tu as sur ton pc

Pour toi rien a voir avec cette saloperie alors ?! c'est surtout ça qui me chagrinait

ce n'est pas impossible, mais je ne peux pas te le certifier

zero acces est 1 belle "crasse"

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 10:16
Pas de souci
Je comprend bien et j'ai bien vu ça ... jme fais pas souvent avoir mais la ... je connaissais pas celui là ...
Déjà merci pour ce que tu as fait (j'ai plus de message rien déjà) et ce que tu fais encore :)
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 10:18
re

pas de soucis:)

on verra ce que donne le rapport de MBAM

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 11:15
C'est bon scan terminé en 1h30 a peine
Le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.30.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Ronan :: RONAN-TOSH [administrateur]

30/04/2013 09:39:23
mbam-log-2013-04-30 (09-39-23).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 464021
Temps écoulé: 1 heure(s), 29 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'ai regardé dans A propos..., j'ai la version MBAM 1.75.0.1300
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 11:25
re

le rapport MBAM est propre

fais ceci pour que je vérifie

télécharge zhpdiag sur ton bureau (outil de diagnostic)

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit)

lance zhpdiag et clique sur le tournevis (3 ème bouton en haut a droite)

dans la fenêtre qui s'ouvre, clique sur "tous"

lance le scan en cliquant sur le 1er bouton en haut a gauche

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt

poste le rapport via ce lien https://www.cjoint.com/

@+

0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 11:27
Bill
Ton canned n'est plus à jour c'est une loupe maintenant :)
loupe - sans toutes les options
loupe + avec toutes les options
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 11:32
re Lili

crois tu que du fait que je fasse tout cocher au tournevis, puis que je fasse lancer le scan en

cliquant sur (loupe - sans toutes les options) annule l'option du "tournevis"

@+
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 11:34
Bill il vaut mieux faire avec la loupe +
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 11:37
re

ok mais perso je l'ai fait comme décrit dans mon canned speech et j'ai bien eu le rapport complet

merci quand même pour tes conseils

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 11:45
C'est fait :)
Par ici ;)
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 11:54
salut juju

je le fais avec 1 check disque?

merci

@+
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 11:55
No comment :)

@phoceen8 :

Avant ZHPDiag, fais ceci stp :

Télécharge Farbar Service Scanner sur ton Bureau.

● Coche les cases suivantes :
Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services



● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 14:17
Et voilà ;)

Farbar Service Scanner Version: 14-04-2013
Ran by Ronan (administrator) on 30-04-2013 at 14:05:59
Running from "C:\Users\Ronan\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of MpsSvc. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of MpsSvc. The value does not exist.
Unable to retrieve ServiceDll of MpsSvc. The value does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 11:55
@ phoceen

désinstalle ceci McAfee Security Scan Plus v3.0.318.3

https://www.pcastuces.com/pratique/astuces/2695.htm

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 14:19
Pourquoi désinstaller ce logiciel il m'est bien utile et il me pose aucun souci je crois ? :)
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 14:20
re

parce que tu as avast et tu ne dois pas avoir 2 antivirus sur ton pc (conflit entre les 2)

@+
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 14:22
surtout qu il est inefficace je parle de macfee
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 14:22
Ah oui ça je sais bien mais c'est pas un antivirus ça il me semble c'est pas un logiciel pour s'assurer que notre ordi a ce qu'il faut pr protéger le système dans chaque partie ? :)
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 806
30 avril 2013 à 14:23
phocéen

désinstalles le avant que juju te le dise!
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 14:54
Suivre ceci : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 16:33
Quand j'essaie de le télécharger avast s'affole en voyant là un élément suspect par deux fois (dans chrome pr le téléchargement, et pour windows après...) c'est un lien sûr ?
Merci :)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 16:35
Regarde mon statut sur ce site
Regarde le nombre d'interventions à mon actif
Si j'essayais simplement de refourger des m€rdes aux internautes y'a longtemps que les modos m'auraient blacklisté.
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 16:41
Je connais bien tes capacités tkt et je n'en doutes pas je te suis
C'était surtout pour dire que avast s'excitait au cas où il fallait y faire quelque chose dessus :)
Bon jy vais alors ... :D
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 16:41
Pas pour rien qu'on demande au début de l'explication de désactiver toutes les protections ^^
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 17:36
Fait !
Et voilà le lien ;)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 17:40
Service : MPSSVC : Restored
Service : IPHLPSVC : Restored
Service : SHAREDACCESS : Restored

Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\wudfsvc] : 3 -> 2
Repaired : [HKLM | Services\WerSvc] : 3 -> 2 


Et il a viré du ZeroAccess que RogueKiller a laissé aussi.

Refais ça pour contrôle : https://forums.commentcamarche.net/forum/affich-27705483-trj-dans-services-exe#37
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 17:43
Oui j'ai re-vu ce terme pendant le scan ...
Et voilà

Farbar Service Scanner Version: 14-04-2013
Ran by Ronan (administrator) on 30-04-2013 at 17:41:50
Running from "C:\Users\Ronan\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

Le fait que ce soit vide ça m'inquiète un peu ...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
30 avril 2013 à 17:44
Non au contraire c'est bon signe :)

Je laisse billmaxime terminer avec toi

A+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 17:49
ah bon ah d'accord j'ai cru ke ça indiquait ce qu'il fallait qu'il y ait pour le système j'avais rien compris ...
Heureusement je suis entre les mains d'experts :)
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 19:05
De ton coté juju, tout est bon ? ya plus rien à faire ? tu trouves mon ordi tiré d'affaires ? :)
Merci
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 17:46
salut juju

termine s'il te plaît et moi je regarde

merci

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 17:50
Je suis très bien épaulé avec l'un ou l'autre de toute façon et les deux m'ont profondément sauvé :) alors peu m'importe qui m'aide je serais reconnaissant envers les deux :D
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 17:54
De même tout à l'heure j'ai supprimé complètement McAfee et la il une fenetre McAfee comme quoi il a detecté des éléments suspects et il me di kil les as pas supprimé mais séparés des dossiers ...
0
billmaxime Messages postés 50093 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 13 juin 2024 5 970
30 avril 2013 à 17:58
re

tu as combofix sur ton pc (C:\Users\Ronan\Desktop\ComboFix.exe)

supprime le, il ne te servira a rien (pre-scan a supprimé les restes de l'infection)

µTorrent v3.3.0.29544 je ne sais pas s'il est a jour, si tu ne l'utilises pas, désinstalle le

Allplan update checker tool dis moi si c'est toi qui a installé ce programme

dis moi quand c'est fait

@+
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 18:01
Combofix je l'ai désinstallé taleur :)
utorrent ça m'arrive de m'en servir mais très rarement ...
Tout ce qui est Allplan oui c'est moi qui l'est installé c'est pour mes études ...
:)
0
phoceen8 Messages postés 1164 Date d'inscription mardi 9 février 2010 Statut Membre Dernière intervention 1 octobre 2021 156
30 avril 2013 à 18:06
Dans Ordinateur > Windows (C:) >
J'ai maintenant un fichier vidéo appelé "PhysicalDisk0_MBR", et une note appelé "RHDSetup" est ce que je peux supprimer ces deux documents ?
0