Se connecter / S'enregistrer
Votre question

Infection cheval de troie services.exe (le retour)

Tags :
  • Services
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Septembre 2012 20:20:20

Bonsoir,

J'avais eu un soucis de cheval de troie il y a quelques mois sur services.exe (voir le sujet ici si ça peut vous aider : http://www.infos-du-net.com/forum/id-2137286/infection-...) et je reviens aujourd'hui car le problème semble être revenu...

J'ai donc une alerte AVG sur services.exe, de nouveau des redirections vers des sites par exemple lors d'une recherche google, et des ralentissements en naviguant sur internet.

J'espère pouvoir compter une nouvelle fois sur vous,

Merci !

Arnaud.

Autres pages sur : infection cheval troie services exe retour

21 Septembre 2012 21:05:23

Bonsoir :) 

étape 1

  • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
  • Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
    Il faut le valider en cliquant sur Reboot now.
  • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.
  • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
  • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
  • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
    • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
    • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
    • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
    • Si Suspicious object est indiqué, l'option Skip soit cochée

  • Clique ensuite sur Continue, puis clique sur Reboot computer
  • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt


  • Tutoriel d'utilisation TDSSKiller en images



    étape 2



  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.



    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

    Contenus similaires
    21 Septembre 2012 22:12:41

    re
    tu es infecté par zero access:
    Citation :
    21:22:05.0136 2060 C:\Windows\system32\services.exe ( Virus.Win64.ZAccess.a ) - skipped by user
    21:22:05.0136 2060 C:\Windows\system32\services.exe ( Virus.Win64.ZAccess.a ) - User select action: Skip

    au passage de Tdsskiller, il faut choisir cure au lieu de Skip. :) 

    recommence stp
    21 Septembre 2012 22:20:26

    En faisant cure ça ne change rien...
    "There are unprocessed malware objetcs", et après je peux juste refaire un scan mais ça ne le supprime jamais !

    Et ça m'ouvre une fenêtre de l'antivirus mais il n'arrive pas à le mettre en quarantaine.
    21 Septembre 2012 22:45:22

    ok
    suis cette procédure:
    ComboFix renommé, avant le téléchargement
    http://forum.pcastuces.com/combofix___renommer_au_telec...

    suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    22 Septembre 2012 15:31:46

    Bonjour :) 
    désinstalle Ask.com.

    Copie (Ctrl+C) le texte ci-dessous :
    Driver::
    X6va005

    File::
    c:\windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
    c:\users\Arnaud\AppData\Local\Temp\005C822.tmp

    Folder::
    c:\program files (x86)\Ask.com
    c:\programdata\Ask

    Registry::
    [-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "ApnUpdater"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va005]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    23 Septembre 2012 14:31:22

    Bonjour :) 
    on continue:


    • Rends-toi sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner[R].txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner[R].txt


      Tutoriel: AdwCleaner (Xplode)


    23 Septembre 2012 19:27:11

    Bonsoir,

    Le voici : http://pjjoint.malekal.com/files.php?id=20120923_w12r9j...

    Arnaud.

    EDIT : J'viens de remarquer quelque chose, quand je navigue sur internet, j'ai souvent des pubs sur certains mots clés qui sont en bleus, quand je survole dessus, une petite pub apparait, c'est un peu embêtant...
    24 Septembre 2012 20:56:27

    Bonsoir
    je n'ai pas dit que c'était terminé :) 

    Tu ferais bien de lire: Stop la pub ! pour éviter que tes soucis ne se reproduisent...
    http://forum.security-x.fr/securite-generale/stop-la-pu...



    • Ferme toutes les applications, y compris ton navigateur
    • Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner.txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner.txt

      Tutoriel: AdwCleaner (Xplode)


  • +++++++++++++++++++++++++++++++++++++++++
    25 Septembre 2012 21:44:03

    Bonsoir
    Parfait :) 

    Poste un nouveau rapport OTL stp
    26 Septembre 2012 20:59:43

    Bonsoir :) 

    étape 1
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O4:[b]64bit:[/b] - HKLM..\Run: [askrcd] rundll32.exe "C:\Users\Arnaud\AppData\Roaming\askrcd.dll",AReleaseDevice File not found

    @Alternate Data Stream - 4096 bytes -> C:\Users\Public\Documents\desktop.ini:gs5sys
    @Alternate Data Stream - 4096 bytes -> C:\ProgramData:gs5sys
    @Alternate Data Stream - 1536 bytes -> C:\Users\Arnaud\Documents\desktop.ini:gs5sys

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.



    étape 2
    il y a des restes de Zero access:


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware

    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    30 Septembre 2012 17:57:48

    Bonjour
    comment se comporte ton pc?



    On va vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\
    1 Octobre 2012 21:11:41

    Bonsoir
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    relance SX Check&Update
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/

    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Tutoriel: SX Check&Update

    2 Octobre 2012 21:02:22

    Bonsoir
    des pubs sur les liens?
    explique moi.

    c'est sur un site/forum en particulier?
    poste moi un lien que je vois ça.
    3 Octobre 2012 13:36:17

    Bonjour,

    Alors ça ne le fais pas tout le temps, mais des fois quand je navigue sur internet (n'importe quel site) certains mots sont en bleus, quand je passe la souris dessus, une petite pub apparait... Je sais pas trop d'où ça vient !
    3 Octobre 2012 21:39:23

    Bonsoir
    poste-moi des liens stp
    5 Octobre 2012 16:37:26

    Bonjour,

    Désolé j'ai mit du temps mais je voulais voir si c'était vraiment parti ou pas...
    Du coup je n'ai plus de pub c'est bon, j'ai désactivé un plugin dans chrome qui me faisais apparaitre des pubs (wxdownloader).

    Ca m'a l'air tout bon !

    Merci !

    Arnaud.
    5 Octobre 2012 21:35:32

    re




    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.
    (mais garde Malwarebytes' Anti-Malware pour faire des scan réguliers (en n'omettant pas de le mettre à jour)

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 

    ++++++++
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS