Votre question

Virus dans C:\Windows\System32\services.exe

Tags :
  • Virus
  • Sirefef
  • ZAccess
  • ZeroAcess
  • Z.access
  • Trojan
  • services.exe
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juillet 2012 16:26:05

Bonjour,

J'ai eu plusieurs virus sur internet et je n'arrive pas à les supprimer. Après analyse, il apparaît que j'ai les chevaux de troie Sirefef AL, R et AH

J'avais l'antivirus Microsoft Security Essentials (MSE) qui a été désactivé par ces virus. Lorsque j'ai enfin réussi à l'activer, le PC plantait toutes les 2 minutes environ et redémarrait après le message suivant : "Vous allez être déconnecté, Windows a rencontré un problème critique et redémarrera automatiquement dans une minute. Enregistrer votre travail maintenant". J'ai désinstallé MSE et depuis le PC ne plante plus.

J'ai testé plusieurs antivirus différents et je n'arrive pas à faire la peau à ces virus malgré mon acharnement, alors je me suis décidée à vous embêter et à venir demander votre aide :) 

Je remercie par avance tous ceux qui prendront de leur temps pour m'aider :) 

Mes amitiés,

Béné

Autres pages sur : virus windows system32 services exe

Contenus similaires
a b 8 Sécurité
10 Juillet 2012 21:40:06

Re,

C'est mieux nan ?


  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    10 Juillet 2012 23:26:55

    Re,

    Mon antivirus actuel Avira me note que l'ordinateur est protégé, mais au niveau de la sécurité internet, rien n'est actif. Une fois que tout sera rentré dans l'ordre, je réinstallerai MSE, ou avez-vous une meilleure proposition gratuite ?

    Voici le fichier Extras : http://pjjoint.malekal.com/files.php?id=20120710_b13k9w...
    Et le fichier OTL : http://pjjoint.malekal.com/files.php?id=20120710_s6i5c5...

    Aujourd'hui mon PC ne m'a pas dérangé avec des messages d'alerte :) 

    Merci beaucoup,

    Béné
    a b 8 Sécurité
    11 Juillet 2012 13:07:42

    Re,

    On va s'occuper des restes en commençant par les adwares.

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    a b 8 Sécurité
    11 Juillet 2012 21:54:10

    Refais une analyse OTL maintenant :) 
    a b 8 Sécurité
    12 Juillet 2012 16:11:52

    On va sécuriser maintenant.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3082190990-944160394-2285414456-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3082190990-944160394-2285414456-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    a b 8 Sécurité
    13 Juillet 2012 21:47:22

    Impec, d'autres soucis ?
    18 Juillet 2012 16:52:26

    Hello,

    Mon PC n'était pas trop allumé ces jours, donc excusez moi d'avoir mis tant de temps à répondre.
    Avant de répondre, jme suis dit que j'allais tester et avec l'analyse antivirus d'Avira, ça m'a détecté un résultat positif W32/PatchedUB avec l'objet Services.exe.vir

    Plus précisément :
    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <Systeme>
    C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir
    [RESULTAT] Contient le code du virus Windows W32/Patched.UB
    Recherche débutant dans 'D:\' <Données>

    Début de la désinfection :
    C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir
    [RESULTAT] Contient le code du virus Windows W32/Patched.UB
    [REMARQUE] Une copie de sécurité a été créée sous le nom 546e63f2.qua ( QUARANTAINE )
    [REMARQUE] Le fichier a été réparé.

    Et pourtant tout avait l'air correct et Avira ne m'avait rien dit :/ 

    Merci pour votre aide,

    Béné
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS