services.exe : reboot au démarrage Résolu

Question

Bonjour,
Un ami m'a confié un PC infecté par un virus que je n'arrive pas à repérer en ayant déjà scanné ledit PC avec plusieurs antivus et antimalwares. Mes recherches sur Internet n'ont rien donné non plus. Je me décide donc à poster ici.

Son système est un windows 2000 sp4.

Les symptômes : le PC reboot systématiquement à chaque démarrage, j'ai le temps de voir le bureau (sans icônes), puis une boîte s'ouvre et me dit que services.exe a planté (code 128) et que le PC redémarrera dans une minute. J'ai parfois réussi à retarder l'horloge, mais, en ce cas, les icônes du bureau ne s'affichent pas, en gros rien ne répond sauf la barre des taches.
En mode sans échec, le PC fonctionne... et heureusement, sinon je ne pourrais rien faire.

Si quelqu'un peut me venir en aide, je lui en serais reconnaissant...

benurrr · Answer

salut tu peut planifier un scan au demarage avec 1antivirus ou anti malware

Lyonnais92 · Answer

Bonjour,

de l'information et une solution dans ce lien :

https://support.microsoft.com/en-us/help/318447

Attention, la manipulation de la base de registre est toujours dangereuse.

Fais une sauvegarde avant de la manipuler.

Ardkill · Answer

Merci de vos réponses.
benurrr, tu veux dire, le planifier en mode sans échec pour qu'il s'exécute en mode normal après avoir retardé l'horloge, je suppose. Je vais essayer.

Lyonnais92, ton lien ne marche pas... Sinon, pour ce qui est de toucher à la base de registre, je connais un peu.

Merci.

Lyonnais92 · Answer

Re,

j'avais bien le sentiment que tu saurais t'en sortir avec ce type de tuto.

Le lien fonctionne, je viens de la vérifier à partir du lien du post (ça arrive que les copier/coller se passent mal).

Pour le trouver, j'ai fait Google, rechercher sur le Web sur

services.exe code 128 

C'est la 3ème ligne. Le lien semble en anglais mais j'obtiens la traduction automatique française.

Si ça ne fonctionne toujours pas, on se parlera en mp.

Ardkill · Answer

A priori, ce n'est pas ça.

Il n'y a aucune clé ni dans
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares
ni dans
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security

Ce qui est compréhensible car il ne me semble pas qu'il y ait de partages sur l'ordi.

Une autre idée ?

Et encore merci.

Lyonnais92 · Answer

Re,

ici,

http://www.commentcamarche.net/forum/affich 1743665 erreur services exe code d etat 128#27

baltrap34 fait modifier une clé qui empêche les mises à jour Windows.

L'internaute en trouve d'autres (mais ne dit pas exactement lesquelles) (une recherche sur la chaîne de caractères ?)

NB, un peu plus haut, mOe suggère la même référence que moi.

Lyonnais92 · Answer

Re,

une piste : http://74.125.39.104/search?q=cache:PgO08e8gq8AJ:forum.pcastuces.com/sujet.asp%3Ff%3D01%26s%3D72678+services.exe+code+128+windows+2000+SP4&hl=fr&ct=clnk&cd=3&gl=fr

voir la référence pour un patch de Microsoft.

N'ayant jamais eu W 2000. On peut réparer comme sous Xp ?

Ardkill · Answer

Bonjour,
Le correctif n'a rien donné. J'ai installé msconfig pour voir si il y aurait des trucs bizarres au démarrage. Je n'ai rien trouvé.
Je suis en train d'effectuer un chkdsk.

Sinon, oui, on peut réparer un 2k comme un xp. Mais je ne suis pas certain que ça donne grand chose. Il s'agit pour moi d'un virus.

Merci à tous deux pour les pistes.

Edit > Le chkdsk n'a rien donné.

Lyonnais92 · Answer

Bonjour,

y a t-il l'option mode sans échec avec prise en charge réseau.

Si oui, elle fonctionne ?

Si oui, fais un scan on line soit avec Kaspersky soit avec Bit DEfender

Puis scanne avec un antispyware (AVG AS,  SuperantiSpyware, MBAM).

Tu as les modes d'emploi ?

benurrr · Answer

scan avec vundofix sur se lien http://www.atribune.org/ccount/click.php?id=4 double clic sur vundofix pour l'executer quand vundofix s'ouvre clic surscan for vundo une fois le scan fini clic sur remove vundo tu reçevera 1message te demander de confirmer tu fait yes une fois que ta cliquer yes le bureau sera vide le tempt qu'il enleve le vundo apres il te demandera de redemarer apres cela tu colle le raport

Lyonnais92 · Answer

Re,

tu as un scanner on line sous java (il y en a un autre chez Secuser):

https://www.trendmicro.com/en_us/forHome/products/housecall.html

peux tu aussi scannerun fichier sous VirusTotal :



Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM\blank.htm 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

Ardkill · Answer

Bonjour,
Merci pour votre aide.

Vundofix n'a rien repéré.
Pas de fichiers infectés.

Pour ce qui est de C:\WINDOWS\SYSTEM\blank.htm , ce fichier n'existe pas (j'ai fait afficher les fichiers et dossiers cachés).
J'ai lancé une recherche de blank. Il y a :
C:\Programes files\Fichiers communs\Microsoft Shared\Papiers à lettres\Blank Bkgrd.gif
et
C:\Programes files\Fichiers communs\Microsoft Shared\Shoebox\Blank.sbc

J'ai analysé ces deux fichiers sur virustotal, aucun résultat.

Je fais le scan en ligne et vous tient au courant.

Ardkill · Answer

Java plante et housecall ne démarre pas. Je ne suis pas sûr de la version de java installée sur l'ordi et si elle est compatible avec un 2k.
Quand je tente le scan, j'ai une fenêtre Avertissement - sécurité (liée à java) qui s'ouvre et qui ne se charge pas...
Je ne sais plus quoi faire.

J'ai regardé sur le net pour les deux fichiers que j'ai cités dans mon précédent post, à priori, ils sont clean.

Merci en tout cas.

Lyonnais92 · Answer

Bonjour,

on va déjà faire ça :

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

fais un scan avec son antivirus et poste le rapport (ou dis ce qu'ila trouvé).

Ardkill · Answer

Bonjour,
J'ai fait le premier point. Par contre, je ne peux pas faire le scan que tu me demandes car la partition est en FAT32.
En fait je ne comprends pas trop quand tu dis : fais un scan avec son antivirus. Il s'agit de ADS spy ?
Merci pour ton aide.

Lyonnais92 · Answer

Bonjour,

j'ai identifié son parefeu. C'est pour moi un produit parfaitement exotique (ce n'est pas un jugement sur sa qualité). j'ai donc un doute sur sonnantivirus.

Tu peux lui poser la question.

Si il n'en a pas, alors il faut en installer un gratuit et scanner le poste de travail avec. Antivir, avast ou AVG, dans l'odre de mes conseils.

Ardkill · Answer

re,
Il n'a pas d'antivirus.
J'ai installé Antivir.
Voici le log :

NETNT.DLL     : 8.0.0.1          7937 Bytes  25/01/2008 12:05:12
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10/03/2008 14:37:26
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06/03/2008 12:02:12

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 5 juin 2008  13:15

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
10 processes with 10 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '27' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\PAGEFILE.SYS
      [WARNING]   The file could not be opened!
C:\_RESTORE\TEMP\A0125446.CPY
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
      [NOTE]      The file was deleted!
C:\_RESTORE\ARCHIVE\FS1010.CAB
  [0] Archive type: CAB (Microsoft)
  --> A0117237.CPY
      [DETECTION] Contains detection pattern of the dropper DR/NewDotNet.A.1129.9
  --> A0117250.CPY
      [DETECTION] Contains detection pattern of the dropper DR/180Solutions.BA.1
      [NOTE]      The file was moved to '4878cbfd.qua'!
C:\WINDOWS\SYSTEM\xhivaal.exe
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
      [NOTE]      The file was deleted!
C:\Program Files\Secured IE\Secured IE - Installer.exe
      [DETECTION] Contains detection pattern of the dropper DR/Shopper.Q
      [NOTE]      The file was moved to '48aad5bf.qua'!


End of the scan: jeudi 5 juin 2008  14:04
Used time: 48:53 min

The scan has been done completely.

   3973 Scanning directories
 452203 Files were scanned
      5 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      2 files were deleted
      0 files were repaired
      2 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 452198 Files not concerned
   1999 Archives were scanned
      1 Warnings
      4 Notes

La suite demain.
Je suis désolé, je m'occupe de cette histoire sur mon temps de travail et n'ai pas toujours le temps.

Merci encore.

Lyonnais92 · Answer

Re,

pas de soucis, tu fais quand tu peux.

Fais redémarrer l'ordi.

essaye en mode normal.

poste un nouveau rapport Hijackthis.

Ardkill · Answer

Bonjour,
En mode normal, j'ai toujours le compte à rebours. J'ai désactivé dans les services Appel de Procédure à distance RPC pour pouvoir faire un scan avec Hijackthis en mode normal. Je poste le rapport dès que possible.

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:20, on 06/06/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32egsvc.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\system32	gbstarter.exe
C:\Program Files\SISTECH\TGBBOB\TGBBOB.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\BufferZone\CLIENTGUI.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\a-squared Free\a2free.exe
C:\Documents and Settings\Standard\Menu Démarrer\Programmes\Démarrage\HiJackThis\HijackThis.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://10.176.164.1/cgi-bin/slis.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Program Files\securedie	bsecu.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Program Files\securedie	bsecu.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: securedie Toolbar - {cd36797a-70f3-4acd-8825-623d3b896881} - C:\Program Files\securedie	bsecu.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BufferZone] "C:\Program Files\BufferZone\CLIENTGUI.EXE" /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\S-1-5-21-746137067-507921405-1708537768-1000\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-21-746137067-507921405-1708537768-1000\..\Run: [internat.exe] internat.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - S-1-5-21-746137067-507921405-1708537768-1000 Startup: a-squared Free.lnk = C:\Program Files\a-squared Free\a2free.exe (User '?')
O4 - S-1-5-21-746137067-507921405-1708537768-1000 Startup: HiJackThis (User '?')
O4 - Startup: a-squared Free.lnk = C:\Program Files\a-squared Free\a2free.exe
O4 - Startup: HiJackThis
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
O20 - Winlogon Notify: TGBBOB - C:\WINDOWS\SYSTEM32\TGBBOBNotif.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BufferZone Service (BufferZoneSvc) - Unknown owner - C:\Program Files\BufferZone\CLNTSVC.EXE
O23 - Service: BufferZone DCOM Helper (BZDcomLaunch) - Unknown owner - C:\Program Files\BufferZone\BZDCOMLAUNCH.EXE
O23 - Service: BufferZone RPC Helper (BZRpcSs) - Unknown owner - C:\Program Files\BufferZone\BZRPCSS.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TGB::BOB! Starter - Unknown owner - C:\WINDOWS\system32	gbstarter.exe
O23 - Service: TGB::BOB! (TGBBOB) - SISTECH - TheGreenBow - C:\Program Files\SISTECH\TGBBOB\TGBBOB.exe

Lyonnais92 · Answer

Bonjour,

pas beaucoup de topics utiles en fouilalnt avec Google;

Celui-ci :

http://www.geekstogo.com/forum/topic/54811-status-code-128/

contient des idées neuves.

Si tu peux t'en inspirer.

Je n'ai pas de temps tout de suite (début de soirée);

Ardkill · Answer

Je crois avoir résolu le problème sans vraiment en faire exprès.
Le PC tourne normalement.
En désactivant le service RPC (appel de procédure distante), j'aurais pu me retrouver vraiment dans la mouise. Car il est apparemment impossible de réactiver ce service autrement que par une nouvelle install de windows. J'ai bien trouvé des solutions mais celles-ci n'ont rien donné.
Heureusement, j'avais fait, je ne sais plus pourquoi, une sauvegarde du registre. Sauvé.
J'ai donc restauré le registre, j'ai redémarré en mode normal et, ô ! surprise, non seulement le service est à nouveau démarré mais je n'ai pas eu le terrible compte à rebours. J'ai redémarré plusieurs fois pour confirmation ; plus de compte à rebours.
Je pense que le virus, troyen ou vers responsable du bazar a dû rendre instable le service RPC, quelque chose comme ça, et que celui-ci avait besoin d'être redémarré. Je ne vois pas autre chose.

Je récapitule pour ceux à qui cela pourrait servir :
sauvegarder le registre,
désactiver le service RPC,
Redémarrer,
Restaurer le registre,
Redémarrer.

Voilà. La solution, à mon avis, si le PC est (relativement) clean.
Je laisse le PC tourner encore deux ou trois jours (on sait jamais) et si ça tourne, j'indiquerai donc statut du problème résolu.

Et merci de m'avoir aider.

Lyonnais92 · Answer

Bonjour,

bravo à toi.

Tu en profites pour faire les mises à jour, lui implanter toute la sécurité nécessaire (regarde ce que vaiut son parefeu), faire les copies, ...

Et si le coeurr t'en dit, tu devrais pas mal te débrouiller ici (ou sur Windows).

Ardkill · Answer

Bonjour,

Merci.
J'ai analysé le PC avec a-squared puis antivir qui n'ont rien décelé. Le pare-feu, je pense qu'il est bon... à condition de ne pas le désactiver...
J'essaierai de contribuer ici.
Voilà. Problème résolu.

Services.exe : reboot au démarrage

23 réponses

Votre réponse

Discussions similaires

Newsletters