Votre question
Fermé

[Résolu] - Infection cheval de troie services.exe,... (pubs intempestives)

Tags :
  • conduit
  • giant savings
  • utorrentbar_fr
  • Sweetim
  • Popup
  • publicité
  • Adware
  • Services
  • pup
  • Toolbar
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Novembre 2012 19:37:39

Bonsoir,

Depuis quelques jours, Avira et Avast m'alertent sans cesse d'un cheval de troie dans services.exe.
Au début je croyais à une erreur de l'anti-virus, mais j'ai ensuite remarqué des signes d'infections qui ne trompent pas :
- Avec Firefox, n'importe quelle recherche google se redirige vers une pub. Et dans tte les page que je consulte il ya des pub qui s'incruste dans la page.
- J'ai par moment des pubs audio qui sortent de nul part ! (même sans navigateur ouvert)
- Et bien sûr des détection de menaces très fréquentes par Avira et Avast (tte les 5 minutes).

Actuellement j'ai un seul type de menace détectée : services.exe

Je vous remercie d'apporter une réponse rapide car j'ai l'impression que les choses tournent mal ! (je suis en train de sauvegarder tous mes fichiers en prévision ^^).

Autres pages sur : resolu infection cheval troie services exe pubs intempestives

a b 8 Sécurité
14 Novembre 2012 20:10:16

Bonjour,

Avira et Avast tu as deux antivirus ?!
14 Novembre 2012 20:15:29

Bonsoir,
Oui pourquoi c'est pas bien ?
Mieux plus que pas assez non ?
Contenus similaires
a b 8 Sécurité
14 Novembre 2012 22:58:29

MBAM c'est un bon logiciel, mais il faut éviter les lien 01net, ils mettent des adwares dans les logiciels gratuits...

  • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    &

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    a b 8 Sécurité
    15 Novembre 2012 12:35:05

    Re,

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      O3 - HKLM\..\Toolbar: (no name) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4 - Startup: C:\Users\Julien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lolipop.lnk = File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-1571447694-3383352149-3579408323-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-1571447694-3383352149-3579408323-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      [2012/11/13 15:09:47 | 000,000,000 | ---D | C] -- C:\Users\Julien\AppData\Local\{6EB97530-2656-4DF7-8833-4DE939F3BAE2}
      [2012/11/14 20:34:58 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{aaa3217d-f71b-6e83-0e10-5b19407a3ea7}\L
      [2012/11/14 20:47:11 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{aaa3217d-f71b-6e83-0e10-5b19407a3ea7}\U
      [2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
      [2012/07/14 17:18:34 | 000,000,000 | ---D | M] -- C:\Users\Julien\AppData\Roaming\uTorrent Turbo Booster
      @Alternate Data Stream - 440 bytes -> C:\3590F75ABA9E485486C100C1A9D4FF06ZZZ..Z.....ZZZZZ:1
      @Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:CDFF58FE
      @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:5D7E5A8F
      @Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:93EB7685
      @Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:E36F5B57
      @Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:1A60DE96
      @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:E1F04E8D
      @Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:23BEBB72
      @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
      @Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:E3C56885
      @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:798A3728
      @Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:4D066AD2

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    a b 8 Sécurité
    15 Novembre 2012 13:43:21

    Re,

    Désinstalle juste : Java(TM) 6 Update 32
    Refais une analyse OTL, on va voir s'il y a des restes. Tu as encore des soucis ?

    On va vérifier si aucun composants Windows n'est endommagé au passage (merci à Hyunkel pour la procédure)

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Laisse les options cochées par défaut
  • Coche en plus "Windows Update" et "Windows Firewall"
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    15 Novembre 2012 15:28:05

    Re,
    Non j'ai plus de problème, avast ne me signale plus la présence d'un cheval de Troie et je n'ai plus du tt de pub intempestives !

    Voilà les rapports obtenus :
    - analyse OLT :
    OLT.exe :http://security-x.fr/up/file.php?h=R34118012cd89513226a...
    Extra.exe : http://security-x.fr/up/file.php?h=R88052049ec513daf194...

    - Scan Farbar : http://security-x.fr/up/file.php?h=Rcaa7b71a0e7f84166e2...

    Du coup c'est bon tout est OK non ?
    Merci bpc de ton aide en tt cas !
    a b 8 Sécurité
    15 Novembre 2012 17:36:32

    C'est fini là :D 

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.
    • Relance le logiciel puis clique sur Désinstallation.

  • Ta restauration du système contient des restes de ton infection, il faut donc la vider.
    Tu trouveras une aide dans le lien suivant pour Windows Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670

    /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\

    Pour finir, tu peux si tu le souhaites valider une meilleure réponse. Cette option disponible ou non en fonction du type de sujet marquera automatique le sujet comme résolu.
    15 Novembre 2012 17:51:18

    Superrrr :D  !

    Et voila le dernier rapport que tu m'as demandé : http://security-x.fr/up/file.php?h=Rcbbfee137490d6c2444...

    J'ai effectué la manip pour vider ma restauration système, normalement tout est bon !!

    Je vais aller faire un petit tour du côté du dossier Prévention et protection pour éviter ce genre de désagrément à l'avenir.
    Encore merci pour tes réponses, ta disponibilité et gentillesse !

    Julien
    a b 8 Sécurité
    15 Novembre 2012 18:41:01

    Bonne continuation :)  je ferme donc le topic alors
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS