Se connecter / S'enregistrer
Votre question

Virus dans Service.Exe ! Comment faire ?

Tags :
  • Flash player
  • Adobe
  • Programme
  • Virus
  • Windows Vista
  • Informatique
  • service.exe
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Juillet 2012 06:34:49

Bonjours , depuis hier Avg me dit sa --> http://img194.imageshack.us/img194/7937/virusttq.jpg Sa a commencer après l'installation d'un programme toute a fait banal et avec une mises à jour de Adobe Flash Player . Sur internet j'ai aussi droit a sa --> http://img208.imageshack.us/img208/9656/virus2j.jpg . J'ai effacé le programme plus Adobe toujours la même chose ... J'ai regardé des sujet sur le même problème mais impossible que ça m'aide vue quille faut donner une liste d'infos en rapport avec des programmes spéciaux . Je suis sur Windows Vista .
Merci de votre future aide

Mickael.

Autres pages sur : virus service exe

a c 940 8 Sécurité
20 Juillet 2012 08:24:38

Bonjour,

C'est la dernière variante ZeroAccess/Sirefef, une infection lourde qui nécessite l'utilisation d'un outil très puissant.

Sauvegarde tes données personnelles importantes.

---------------------------------------------------------------------------------------------

ComboFix :

/!\ComboFix est un outil puissant qui ne doit pas être employé à la légère. Cette procédure a été créée spécifiquement pour cet utilisateur. Si vous n'êtes pas cet utilisateur, ne la lancez pas au risque d'endommager sérieusement votre installation de Windows /!\

  • Télécharge ComboFix de sUBs et enregistre-le sur ton Bureau (et nulle part ailleurs, impérativement sur le Bureau)
  • /!\ Ferme toutes les applications en cours et désactive toute protection résidente
  • Prends connaissance de ce tutoriel et imprime-le au besoin
  • Sauvegarde tes données importantes
  • Clique sur ComboFix.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte la licence d'utilisation et laisse toi guider par le programme
  • Autorise ComboFix à se connecter à internet pour les mises à jour si le programme le demande
  • /!\ Sous XP, ComboFix va vérifier si la Console de récupération est installée. Si cette Console n'est pas installée, accepte par Oui afin de permettre à ComboFix de l'installer
  • Surtout, laisse l'outil travailler sans rien toucher
  • Le système va redémarrer, puis le rapport Combofix.txt va s'afficher. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport est sauvegardé sous :C:\Combofix.txt


  • ---------------------------------------------------------------------------------------------

    Est attendu le rapport Combofix.txt

    @+
    Contenus similaires
    a c 940 8 Sécurité
    20 Juillet 2012 11:55:37

    Re,

    Je ne voie strictement rien de ce qui est écrit dans le message, dans ta capture.
    Tu peux me le préciser ?

    @+
    a c 940 8 Sécurité
    20 Juillet 2012 13:05:33

    Re,

    Annule cette opération et supprime le fichier Combofix.exe téléchargé.

    Télécharge un nouveau fichier ComboFix de sUBs et enregistre-le sur ton Bureau
    Retente l'installation..

    @+
    20 Juillet 2012 13:20:53

    Sa me fait la même chose =/
    20 Juillet 2012 14:32:08

    Quand je clique sur un lien des fois sa me mais sur un autre truc aussi ..
    a c 940 8 Sécurité
    20 Juillet 2012 15:04:08

    Re,

    J'ai hébergé le fichier pour toi et je l'ai renommé.

    Tu supprimes donc de nouveau tout fichier déjà téléchargé.

    Redémarre le système en Mode sans échec avec prise en charge du réseau et télécharge ce fichier Toto.exesur le Bureau.

    Reprends la procédure indiquée, toujours en mode sans échec, pour lancer Combofix renommé en Toto.

    @+

    Edit : lien de téléchargement supprimé
    20 Juillet 2012 15:42:44

    Sa ma fait l'étape ou sa parle de la sauvegarde pour la restauration après sa a rien fait de plus ..
    20 Juillet 2012 15:42:48

    Sa ma fait l'étape ou sa parle de la sauvegarde pour la restauration après sa a rien fait de plus ..
    Et Quand je reteste de le faire sa me fait plus l'étape de la resto
    20 Juillet 2012 16:14:44

    La sa a fait les 50 étape et sa reste bloquer sa fait rien depuis 10 minute , et sur le pc j'ai plus internet ..
    a c 940 8 Sécurité
    20 Juillet 2012 16:31:33

    Re,

    Citation :
    La sa a fait les 50 étape et sa reste bloquer sa fait rien depuis 10 minute , et sur le pc j'ai plus internet ..


    Est-ce que tu as vu Suppression des fichiers ...... en bas de page après l'étape 50 ?

    Si oui, tu refermes Combofix et tu redémarres le PC en mode normal.
    Si tu as le rapport Combofix, tu postes son contenu par copier-coller dans ta prochaine réponse.

    @+
    20 Juillet 2012 16:38:23

    Bas a la fin des 50 étape sa me dit juste que il on détecter une infection avec le chemin de service.exe
    SA a pas encore fait le rapport ..
    a c 940 8 Sécurité
    20 Juillet 2012 17:18:50

    Re,

    Bon on va faire autrement.

    ---------------------------------------------------------------------------------------------

    RogueKiller :

    • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Patiente le temps du Prescan, puis clique sur Scan
      Un 1er rapport s'est créé sur le Bureau

    • Clique ensuite sur Suppression, un 2ème rapport est créé sur le Bureau
    • Poste le contenu de ces 2 rapports par copier/coller dans ta prochaine réponse


  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    ---------------------------------------------------------------------------------------------

    Sont attendus les 2 rapports Roguekiller

    @+
    20 Juillet 2012 17:29:21

    1
    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Mika [Droits d'admin]
    Mode: Recherche -- Date: 20/07/2012 17:28:28

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND
    [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HDT721032SLA SCSI Disk Device +++++
    --- User ---
    [MBR] c8e6d933b68308de78259955153b3d56
    [BSP] 520551a1d32b5cbebba490a2a4963a69 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 145146 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 327981056 | Size: 145097 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt



    2
    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Mika [Droits d'admin]
    Mode: Suppression -- Date: 20/07/2012 17:28:38

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> REMOVED AT REBOOT
    [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> REMOVED AT REBOOT

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HDT721032SLA SCSI Disk Device +++++
    --- User ---
    [MBR] c8e6d933b68308de78259955153b3d56
    [BSP] 520551a1d32b5cbebba490a2a4963a69 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 145146 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 327981056 | Size: 145097 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt



    a c 940 8 Sécurité
    20 Juillet 2012 17:44:17

    Re,

    L'ordinateur a bien redémarré après la suppression ?

    Retente Combofix avec le fichier Toto.exe que tu re-télécharges maintenant (tu supprimes celui qui se trouve sur ton Bureau)

    @+
    a c 940 8 Sécurité
    20 Juillet 2012 18:36:17

    Re,

    Non, ça ne fait pas pareil, on a avancé un peu.

    Combofix cherche à restaurer services.exe, mais laisses-tu l'outil assez longtemps travailler ?
    Il faut patienter, cela peut être assez long.

    L'outil est toujours en train de travailler ou tu l'as refermé ?

    @+
    20 Juillet 2012 18:38:09

    Je les laisse 20 minute vue que rien ne changer j'ai fermer
    a c 940 8 Sécurité
    20 Juillet 2012 18:47:09

    Re,

    C'est une infection lourde.
    Laisse plus de temps à l'outil pour qu'il aille jusqu'au bout.
    Il faut que ce fichier services.exe puisse être remplacé.

    Redémarre le PC et si Combofix ne reprend pas l'analyse, relance-le.

    @+
    20 Juillet 2012 18:48:51

    D'accord je vais le lancer , est aller faire autre chose , je te dit sa a mon retour
    21 Juillet 2012 05:19:10

    chantal11 a dit :
    Re,

    C'est une infection lourde.
    Laisse plus de temps à l'outil pour qu'il aille jusqu'au bout.
    Il faut que ce fichier services.exe puisse être remplacé.

    Redémarre le PC et si Combofix ne reprend pas l'analyse, relance-le.

    @+



    Sa marche vraiment pas .. Il y a pas un autre programme ou autre façon ?
    a c 940 8 Sécurité
    21 Juillet 2012 09:12:32

    Bonjour,

    On va donc faire une autre procédure. Nous allons faire un diagnostic via un Live-CD, Windows n'étant pas actif, on pourra travailler sans que ZeroAccess/Sirefef vienne interférer.

    1) Préparation du Live CD Reatogo :

    • Depuis un PC sain, peu importe son système d'exploitation, télécharge OTLPENet.exe et enregistre-le sur le Bureau.
      Le téléchargement du fichier (121 Mo) peut prendre du temps selon ton débit Internet
    • Insère un CD vierge dans le lecteur/graveur CD/DVD et double-clique sur OTLPENet.exe
      Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Valide par Oui à la demande de gravure du CD

    • Patiente le temps de la décompression. ImgBurn se lance et grave le CD automatiquement
    • Un message de réussite doit apparaître. Clique sur OK et referme les fenêtres.


  • 2) Utilisation de OTLPE :

    • Insère le CD Reatogo dans le lecteur du PC infecté et démarre sur le lecteur
    • L'environnement Reatogo démarre

    • Le système d'exploitation du CD se charge en mémoire. Patiente, cela peut prendre plusieurs minutes

      Le Bureau REATOGO-X-PE apparaît

    • Si besoin, tu devrais avoir ta connexion Internet active et pouvoir te connecter sur le forum
    • Double-clique sur l'icône OTLPE
    • Clique sur Oui pour Do you wish to load Remote user profile(s) for scanning ?

    • Sélectionne ta session, vérifie que Automatically Load All Remaining Users soit coché et clique sur OK

      Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
    • OTLPE s'ouvre

    • Copie-colle sous Custom Scans/Fixes l'intégralité de ce qui suit
      netsvcs
      msconfig
      activex
      drivers32
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      svchost.exe
      services.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %systemroot%\*. /mp /s
      %systemroot%\Tasks\*.* /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles

    • Clique ensuite sur Run Scan et patiente le temps du scan
    • Le rapport OTL.txt s'affiche
    • Le rapport étant trop long pour le forum, héberge-le sur pjjoint.fr et indique le lien fourni dans ta réponse.
      Le rapport est sauvegardé sous My Computer -> C:\OTL.txt.


  • @+




    21 Juillet 2012 11:00:47

    J'ai pas de Cd Vierge..
    a c 940 8 Sécurité
    21 Juillet 2012 14:34:09

    Re,

    Tu ne peux pas t'en procurer au moins un ?
    CD ou DVD, peu importe, même s'il est ré-inscriptible.

    @+
    21 Juillet 2012 18:19:03

    Quand je rentre chez moi je teste , j'ai un cd
    a c 940 8 Sécurité
    21 Juillet 2012 20:46:57

    Re,

    Citation :
    Quand je rentre chez moi je teste , j'ai un cd


    Ah ! OK
    Tu es en vacances ?
    22 Juillet 2012 07:56:16

    Oui un petit moment , est je suis pas sur mon pc ^^' Donc quand j'ai le Cd et que j'ai mon pc je te Mp :) 
    a c 940 8 Sécurité
    22 Juillet 2012 08:52:41

    Bonjour,

    Il ne faudrait quand même pas trop trainé, l'infection est complexe et risque fort de t'installer autre chose.
    Tu vas finir par bloquer complètement le système.

    Et puis un CD ou un DVD, ça s'achète n'importe où !

    Sinon, disposes-tu d'une clé USB ?
    Attention, si on l'utilise, elle va être formatée.

    @+
    22 Juillet 2012 12:41:18

    Oui j'ai une clefs Usb , Une personne est chez moi et peut s'occuper de cette manipulation au pire
    Avec la clefs usb on doit faire quoi ?
    22 Juillet 2012 13:00:33

    Voila j'ai télécharge le même logiciel version pour Usb
    Mais j'arrive pas a lancer le pc avec la clefs , J'ai regarder un tuto mais sa m'aide pas .. dans la liste quand je fait F12 il y a pas Usb
    a c 940 8 Sécurité
    22 Juillet 2012 19:27:34

    Bonjour,

    Qu'est-ce que tu suis comme tuto ?

    Essaye F8 au démarrage pour pouvoir sélectionner la clé USB (si elle est reconnue).

    @+
    24 Juillet 2012 09:52:06

    Bonjour , désolé du temps de réponse ..

    Je vais mettre une photo de la page quand je fait F8 ,Je ne sait pas ou faut aller ..

    a c 940 8 Sécurité
    24 Juillet 2012 11:01:12

    Bonjour,

    Donc non, ce n'est pas bon dans ton cas.

    Essaye tout de même Démarrer Windows normalement et immédiatement tapote la touche F8 voir si l'écran du choix du Boot apparaît.

    Si cela ne donne rien, va directement dans le Bios et modifie l'ordre de démarrage First Boot Device et sélectionne ta clé USB, comme indiqué ici -> Démarrer l’ordinateur sur le lecteur CD/DVD

    Autre question, qu'est-ce que tu obtiens comme écran en tapotant F12 au démarrage ?

    @+
    a c 940 8 Sécurité
    24 Juillet 2012 11:48:58

    Re,

    C'est donc bien la touche F12 dans ton cas.
    OK, en effet ta clé n'est pas reconnue ..... mais je crois savoir pourquoi.
    Tu as suivi la procédure sur un tuto Malekal ?
    celui-ci -> http://forum.malekal.com/otlpe-live-t23453.html
    Je t'ai posé la question, mais tu n'as pas répondu.

    Si c'est bien ça, il faut que tu recommences, mais sur cet écran

    il faut impérativement que tu coches XP (NTLDR) dans Boot Options.

    @+
    24 Juillet 2012 12:09:24

    Pour le Tuto , oui

    A d'accord j'avais cocher Vista moi .. ^^

    24 Juillet 2012 12:09:28

    Pour le Tuto , oui

    A d'accord j'avais cocher Vista moi .. ^^

    25 Juillet 2012 20:14:22

    Si je fait un reformatage du pc a 0

    Sa retire le virus ?
    a c 940 8 Sécurité
    25 Juillet 2012 21:05:42

    Bonjour,

    Citation :
    Si je fait un reformatage du pc a 0

    Sa retire le virus ?


    Oui, mais ce n'est que la dernière alternative.
    Tu n'arrives pas à créer ta clé OTLPE ?
    Tu ne peux pas te procurer un CD ou un DVD ?

    @+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS