Trj dans services.exe Résolu/Fermé

Question

Bonjour,
depuis hier, avast m'envoie une alerte toutes les 5 minutes environ me disant qu'un cheval de troie a été bloqué et mis en quarantaine il s'agit d'un trojan Win32:Zaccess-PB qui se loge apparemment dans Windows/System32/services 
J'ai tenté un passage d'adwcleaner qui m'a détecté trois éléments nuisibles alors que d'habitude j'en ai aucun donc la 3 d'un coup jai fais suppression et rallumage... toujours ce message toutes les 5 minutes
J'ai fais une analyse rapide de MalwareBytes Anti Malware il m'a trouvé ce que je pense etre cet ennemi je lai effacé pas de souci il est en quarantaine il faut rallumer chose inhabituelle je le fais mais rebelote toujours ce message au bout de 5 minutes
J'essaie aussi avast en scan puissant sur deux dossiers Windows afin qu'il traite ca bien mais seulement sur les deux dossiers susceptibles d'en contenir... il m'en trouve 5 je les met en quarantaine 2 s'y mette 3 refusent ... et j'ai toujours ce foutu message 

J'ai vu sur une autre discussion que combofix pouvait faire l'affaire mais plutôt que de partir seul à l'aventure je préfere m'en referer a des pros tels que vous :) 

Merci d'avance du temps que vous me consacrerez

billmaxime · Answer

salut

fais ceci

Télécharge roguekiller sur ton bureau 

Le lien https://www.luanagames.com/index.fr.html 

Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html 

Quitte tous tes programmes en cours

Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)

Laisse faire le prescan

Clique sur scan

Le rapport s'affichera sur ton bureau et dans C: RKReport[#].txt   

Poste le rapport via 1 copier/coller

@+

billmaxime · Answer

re

la page qu'il t'a ouverte, est la procédure de suppression

relance roguekiller et clique sur suppression puis poste le rapport

@+

lilidurhone · Answer

Hello phoceen8 et bill

Bon courage ;)

billmaxime · Answer

salut Lili

merci et bonne journée

@+

billmaxime · Answer

re

@ phoceen 

tu dois faire suppression (a droite) avec roguekiller et poster le rapport

merci

billmaxime · Answer

re

excuse moi, je n'avais pas vu ton rapport de suppression

maintenant fais ceci et poste le rapport

télécharge MBAM sur ton bureau 

le lien https://www.malwarebytes.com/ (prend le free) 

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/ 

exécute le en tant qu'administrateur (clic droit) 

met le a jour  (3ème bouton)

fais 1 scan complet (tous les disques) 

le scan peut durer +-2H (laisse le bosser) 

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller 

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM 

@+

billmaxime · Answer

re

tu as peut être choisis la version pro (valable 30 jours je crois)

la version gratuite suffit pour le scan

@+

billmaxime · Answer

re

le rapport MBAM est propre

fais ceci pour que je vérifie

télécharge zhpdiag sur ton bureau (outil de diagnostic) 

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport 

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit) 

lance zhpdiag et clique sur le tournevis (3 ème bouton en haut a droite)

dans la fenêtre qui s'ouvre, clique sur "tous"

lance le scan en cliquant sur le 1er bouton en haut a gauche

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

@+

juju666 · Answer

Salut,

Ne pas oublier de vérifier l'état des services après ZA ...

A+

billmaxime · Answer

salut juju

je le fais avec 1 check disque?

merci

@+

juju666 · Answer

No comment :)

@phoceen8 : 

Avant ZHPDiag, fais ceci stp : 

Télécharge  Farbar Service Scanner  sur ton Bureau.

&#x25CF; Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services


&#x25CF; Clique sur "Scan".
&#x25CF; Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et poste le lien obtenu en échange

billmaxime · Answer

@ phoceen

désinstalle ceci McAfee Security Scan Plus v3.0.318.3

https://www.pcastuces.com/pratique/astuces/2695.htm

@+

juju666 · Answer

Suivre ceci : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan

juju666 · Answer

Service : MPSSVC : Restored
Service : IPHLPSVC : Restored
Service : SHAREDACCESS : Restored

Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\wudfsvc] : 3 -> 2
Repaired : [HKLM | Services\WerSvc] : 3 -> 2 

Et il a viré du ZeroAccess que RogueKiller a laissé aussi.

Refais ça pour contrôle : https://forums.commentcamarche.net/forum/affich-27705483-trj-dans-services-exe#37

juju666 · Answer

Non au contraire c'est bon signe :)

Je laisse billmaxime terminer avec toi

A+

billmaxime · Answer

salut juju

termine s'il te plaît et moi je regarde

merci

@+

phoceen8 · Answer

Je suis très bien épaulé avec l'un ou l'autre de toute façon et les deux m'ont profondément sauvé :) alors peu m'importe qui m'aide je serais reconnaissant envers les deux :D

phoceen8 · Answer

De même tout à l'heure j'ai supprimé complètement McAfee et la il une fenetre McAfee comme quoi il a detecté des éléments suspects et il me di kil les as pas supprimé mais séparés des dossiers ...

billmaxime · Answer

re

tu as combofix sur ton pc (C:\Users\Ronan\Desktop\ComboFix.exe)

supprime le, il ne te servira a rien (pre-scan a supprimé les restes de l'infection)

µTorrent v3.3.0.29544 je ne sais pas s'il est a jour, si tu ne l'utilises pas, désinstalle le

Allplan update checker tool dis moi si c'est toi qui a installé ce programme

dis moi quand c'est fait

@+

phoceen8 · Answer

Dans Ordinateur > Windows (C:) >
J'ai maintenant un fichier vidéo appelé "PhysicalDisk0_MBR", et une note appelé "RHDSetup" est ce que je peux supprimer ces deux documents ?

billmaxime · Answer

re

j'ai ces fichiers aussi (1ko) je ne vois pas l'utilité de les supprimer

de plus je ne peux pas te dire leur utilités

refais 1 zhpdiag s'il te plaît et poste le rapport via ce lien https://www.cjoint.com/

@+

billmaxime · Answer

re

la désinstallation n'as pas fonctionnée avec  l'outil de désinstallation?

https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS101331

@+

billmaxime · Answer

re

fais ceci

lance zhpfix en tant qu'administrateur (clic droit) 

copie tout le texte en gras ci-dessous 

clique sur le 2ème bouton en haut a gauche (coller le presse papier) 

clic sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

le texte a copier 

SysRestore 

[MD5.BD713579A87D698E1F2158CE10E48130] - (.McAfee, Inc. - McAfee Security Scanner Scheduler.) -- C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe   [272248] [PID.4640]
 G2 - GCE: Preference [User Data\Default] [jcdgjdiieiljkfkdcloehkohchhpekkn] SweetIM for Facebook v.1.1.0.1 (Désactivé)  =>PUP.SweetIM
 R3 - URLSearchHook: (no name) [64Bits] - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
R3 - URLSearchHook: (no name) [64Bits] - {f999a48b-1950-4d81-9971-79018f807b4b} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
 O3 - Toolbar: (no name) [64Bits] - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
O3 - Toolbar: (no name) [64Bits] - [HKLM]{9421DD08-935F-4701-A9CA-22DF90AC4EA6} Clé orpheline
O3 - Toolbar: Google Toolbar [64Bits] - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
 O4 - HKLM\..\Wow6432Node\Run: [PlusService] . (.Yuna Software - Messenger Plus! 6.) -- C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe 
 O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll
 [MD5.00000000000000000000000000000000] [APT] [{7776F18C-A0D0-4710-95E9-5C97AB23BE09}] (...) -- F:\Données (D)\Fichiers d'installation\Crossfading Output.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{F55F0D30-7E86-4AC4-B6B7-D709E5C03FC6}] (...) -- F:\Données (D)\Fichiers d'installation\Crossfading Output.exe (.not file.)   [0]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]   =>Adware.Boxore
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F999A48B-1950-4D81-9971-79018F807B4B}]   =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]   =>Adware.Boxore^
 SS - | Demand 05/02/2013 235216 |  (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe
 


 
EmptyTemp 
EmptyFlash 

@+

billmaxime · Answer

re

fais ceci maintenant

télécharge delfix sur ton bureau

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

exécute le en tant qu'administrateur (clic droit)

vérifie que ces cases soient cochées:

supprimer les outils de désinfection (case cochée par défault)

réactiver l'UAC

purger la restauration système

clique sur exécuter

le rapport s'affichera sur ton bureau et dans C:\delfix.txt

poste le rapport via 1 copier/coller

@+

billmaxime · Answer

re

les points de restauration ont été supprimés, c'est pour ne pas réinfecter ton pc

en cas de restauration du système

1 nouveau point de restauration a été créé, et tu pourras l'utiliser en cas de besoin

dis moi comment va ton pc

@+

billmaxime · Answer

re

pour les points de restauration, regarde ceci

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

en fait quand tu veux restaurer ton pc a 1 date antérieure a 1 éventuel soucis que

tu as où aurai sur ton pc, tu te sers de la restauration système

@+

billmaxime · Answer

re

ton pc est propre maintenant , les virus sont virés et les services réparés

@+

billmaxime · Answer

re

regarde dans ccleaner>outil>restauration du système, tu y verras le point de restauration qui a été créé

pour accéder a la restauration du système, tu suis la procédure du lien que je t'ai donné avant

@+

billmaxime · Answer

re

tu veux dire que tu n'as pas de point de restauration dans ccleaner?

@+

billmaxime · Answer

re

y'a juste en grisé marqué 30/04/2013 19:56:22 Fin de désinfection


c'est le nouveau point qui a été créé par delfix (en même temps qu'il a supprimé
les autres)

c'est normal qu'il soit "grisé" c'est pour que tu ne puisses pas le supprimer

car c'est le dernier que tu "possèdes" sur le pc, et si tu en as besoin tu pourras

t'en servir

quand tu installeras 1 nouveau logiciel (par exemple) 1 nouveau point se créera

et tu pourras effacer celui-la 

ceci est juste 1 exemple (tu n'auras pas besoin de supprimer ce point de restauration)

je t'ai fait purger les points de restauration avec "delfix" car il y en avaient des infectés

@+

billmaxime · Answer

re

Mais alors on aurait pu revenir à un point de restauration antérieur alors eu lieu de tt ça nan ?  

faut voir si tous tes points de restauration n'étaient pas infectés, ce qui n'aurait

servi a rien (de revenir a 1 point de restauration antérieur)

@+

billmaxime · Answer

re

oui c'est ça, mais dans ccleaner tu peux juste les visionner et les supprimer

pour 1 restauration système tu dois passer par le chemin que tu connais

@+

juju666 · Answer

Pour maxime

On fixe pas les LSP comme ça

phoceen8 · Answer

Je tiens à remercier sincèrement mes deux sauveurs, billmaxime et juju, pour leur aide à chacun leur manière, et grâce à eux deux, mon ordi est de nouveau en super état voir mieux... Donc voila les deux m'ont aidé comme ils ont pu, ils m'en ont appris des choses ... 
Bref, merci énormément à vous 2 et peut être a bientôt :)
@+

juju666 · Answer

Et c'est un mec derrière le pseudo juju666 pas "elle" donc :)

billmaxime · Answer

re juju

tu parles de ceci

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll 

du fait qu'elle est en "not file" où est le problème?

@+

juju666 · Answer

Voir : http://assiste.com.free.fr/p/abc/a/lsp_lsps_winsock_lsps_layered_service_provider.html et plus spécifiquement http://assiste.com.free.fr/p/comment/comment_restaurer_les_winsocks_lsps.html

Faut réinitialiser le catalogue winsock, je sais pas comment procède ZHPDiag mais juste "fixer" ça va couper l'accès internet

phoceen8 · Answer

Pour l'histoire des LSP est ce que je dois faire quelque chose ? 
Si oui, quoi ?
juju ou billmaxime ?

juju666 · Answer

C'était pour billmaxime, qui se contente de virer des lignes en rouge ou jaune sans comprendre le fonctionnement intime de Windows.

Bref! Bonne nuit :)

phoceen8 · Answer

J'ai une idée :) 
On en veut pas a billmaxime qui a peut être négligé un point ou qui ne savait pas mais on ne le méprise pas c'est pas un drame il m'a déjà bcp aidé 
Et si juju tu sais qu'il faut absolument le faire dans mon cas et si tu sais comment faire alors aucun souci tu me dis comment faire je le fais et tout le monde sera heureux :) 
On fait comme ça ?! ;) 
Tu me dis comment faire juju et je suis et voilà :) 
Merci

juju666 · Answer

Y'a rien à faire si t'as pas eu de coupure internet.

Trj dans services.exe

41 réponses

Discussions similaires