Virus Windows Update/Firewall/services.exe

Résolu
Ticki84 Messages postés 950 Statut Membre -  
Ticki84 Messages postés 950 Statut Membre -
Bonjour,

J'ai choppé un très gros virus qui se situe sur services.exe, qui s'est multiplier ou qui a été multiplier et qui est passé à plus de 2900 menaces(que j'ai supprimé, mais le virus persiste), il affecte aussi Windows Update et l'a supprimé de services.exe ainsi que Windows Firewall. Les deux sont inaccessibles via le pannel de maintenance.
Merci de votre aide d'avance.

13 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    [*] Télécharger sur le bureau RogueKiller (by tigzy) version 64
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+

    0
  2. Ticki84 Messages postés 950 Statut Membre 159
     
    Voila le contenu du rapport:
    RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Florent [Droits d'admin]
    Mode : Recherche -- Date : 15/05/2013 19:38:33
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{AE4045E2-26FC-444C-A549-7E7D67A5332E} : NameServer (212.27.54.252,212.27.53.252) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{AE4045E2-26FC-444C-A549-7E7D67A5332E} : NameServer (212.27.54.252,212.27.53.252) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\@ [-] --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\L --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
    [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST2000DL 004 HD204UI SCSI Disk Device +++++
    --- User ---
    [MBR] c779234e77e080d3bdac167e8966776a
    [BSP] 50a9a3b0bf9f751a8e98f60c710fe4b7 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 614708 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 1259128832 | Size: 1292919 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_15052013_193833.txt >>
    RKreport[1]_S_15052013_193833.txt
    0
  3. Utilisateur anonyme
     
    Re

    Relance RogueKiller option suppression et poste moi son rapport;merci

    @+
    0
  4. Ticki84 Messages postés 950 Statut Membre 159
     
    Le rapport est extrêmement long, du coup je l'ai hébergé sur ci-joint: http://cjoint.com/data3/3Eputh58k07.htm
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Télécharge Malwaresbytes anti malware ici
    https://www.malwarebytes.com/

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    0
  7. Ticki84 Messages postés 950 Statut Membre 159
     
    Je possédais déjà MalwareBytes en version pro, j'ai fais le scan et voici les résultats:
    Malwarebytes Anti-Malware (PRO) 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.05.15.10

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16540
    Florent :: FLORENT-PC [administrateur]

    Protection: Désactivé

    15/05/2013 20:33:27
    mbam-log-2013-05-15 (20-33-27).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 551178
    Temps écoulé: 1 heure(s), 30 minute(s), 20 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 39
    C:\Users\Florent\Desktop\RK_Quarantine\trz130.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz22AD.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz22E5.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz2A1F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz2A6F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz34ED.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz3912.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz3F44.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz41F5.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz4565.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz46B2.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz5171.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz5515.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz5555.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz59AF.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz5EC3.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz6765.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz7624.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz7908.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz877C.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz8F73.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz91CD.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz9B0.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trz9B20.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzA0F9.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzAED7.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzB29F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzBC1.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzC262.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzCF7A.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzD72.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzD8B2.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzDA12.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzE3C0.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzEBBB.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzF8DF.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Florent\Desktop\RK_Quarantine\trzFA92.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U\trzCC7D.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U\trzE41A.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  8. Utilisateur anonyme
     
    Bonjour

    Télécharge Farbar Service Scanner sur ton Bureau.

    ? Coche les cases suivantes:
    Internet Services
    Windows Firewall
    System Restore
    Security Center/action Center
    Windows Update
    Windows Defender
    Others Services

    ? Clique sur "Scan".
    ? Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    Héberge le rapport sur FEC Upload et poste le lien obtenu en échange

    @+
    0
  9. Ticki84 Messages postés 950 Statut Membre 159
     
    https://forums-fec.be/upload/www/index.php?action=d&step=3
    0
  10. Ticki84 Messages postés 950 Statut Membre 159
     
    C'est bon j'ai réglé celui-ci. Cependant il me reste le problème du recommencer quand je renomme un dossier et je viens de voir que je ne peut pas installer de programme à cause d'une erreur interne: Failed to get path of 64-bit Common-File directory.
    0
  11. Utilisateur anonyme
     
    Bonsoir

    je te laisse donc gérer la suite ...

    @+
    0
  12. Ticki84 Messages postés 950 Statut Membre 159
     
    Ok je met en résolu. Merci de ton aide qui m'a été précieuse.
    0