Virus Windows Update/Firewall/services.exe [Résolu/Fermé]

Signaler
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
-
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
-
Bonjour,

J'ai choppé un très gros virus qui se situe sur services.exe, qui s'est multiplier ou qui a été multiplier et qui est passé à plus de 2900 menaces(que j'ai supprimé, mais le virus persiste), il affecte aussi Windows Update et l'a supprimé de services.exe ainsi que Windows Firewall. Les deux sont inaccessibles via le pannel de maintenance.
Merci de votre aide d'avance.

13 réponses


Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy) version 64
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
Voila le contenu du rapport:
RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Florent [Droits d'admin]
Mode : Recherche -- Date : 15/05/2013 19:38:33
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{AE4045E2-26FC-444C-A549-7E7D67A5332E} : NameServer (212.27.54.252,212.27.53.252) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{AE4045E2-26FC-444C-A549-7E7D67A5332E} : NameServer (212.27.54.252,212.27.53.252) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST2000DL 004 HD204UI SCSI Disk Device +++++
--- User ---
[MBR] c779234e77e080d3bdac167e8966776a
[BSP] 50a9a3b0bf9f751a8e98f60c710fe4b7 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 614708 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 1259128832 | Size: 1292919 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_15052013_193833.txt >>
RKreport[1]_S_15052013_193833.txt

Re

Relance RogueKiller option suppression et poste moi son rapport;merci

@+
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
Le rapport est extrêmement long, du coup je l'ai hébergé sur ci-joint: http://cjoint.com/data3/3Eputh58k07.htm

Re

Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+


Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
Je possédais déjà MalwareBytes en version pro, j'ai fais le scan et voici les résultats:
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.15.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Florent :: FLORENT-PC [administrateur]

Protection: Désactivé

15/05/2013 20:33:27
mbam-log-2013-05-15 (20-33-27).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 551178
Temps écoulé: 1 heure(s), 30 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 39
C:\Users\Florent\Desktop\RK_Quarantine\trz130.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz22AD.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz22E5.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz2A1F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz2A6F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz34ED.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz3912.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz3F44.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz41F5.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz4565.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz46B2.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz5171.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz5515.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz5555.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz59AF.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz5EC3.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz6765.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz7624.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz7908.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz877C.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz8F73.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz91CD.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz9B0.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trz9B20.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzA0F9.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzAED7.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzB29F.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzBC1.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzC262.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzCF7A.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzD72.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzD8B2.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzDA12.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzE3C0.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzEBBB.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzF8DF.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Florent\Desktop\RK_Quarantine\trzFA92.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U\trzCC7D.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{a95e1ac0-4e00-9d96-eea1-ca2d918ddf0f}\U\trzE41A.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)

Bonjour

Télécharge Farbar Service Scanner sur ton Bureau.

? Coche les cases suivantes:
Internet Services
Windows Firewall
System Restore
Security Center/action Center
Windows Update
Windows Defender
Others Services



? Clique sur "Scan".
? Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et poste le lien obtenu en échange


@+
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
https://forums-fec.be/upload/www/index.php?action=d&step=3
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
J'ai régler le problème avec ce tuto: https://www.bleepingcomputer.com/forums/t/464833/system-errors-after-recovering-from-a-virus/ . Mais il me reste encore un problème, quand je cliques sur Ouvrir l'explorateur Windows, rien ne se passe.
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
C'est bon j'ai réglé celui-ci. Cependant il me reste le problème du recommencer quand je renomme un dossier et je viens de voir que je ne peut pas installer de programme à cause d'une erreur interne: Failed to get path of 64-bit Common-File directory.
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156

Bonsoir

je te laisse donc gérer la suite ...

@+
Messages postés
844
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
156
Ok je met en résolu. Merci de ton aide qui m'a été précieuse.