Se connecter / S'enregistrer
Votre question

virus trojan dans services.exe!

Tags :
  • Services
  • Trojan
  • Avast
  • Antivirus
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Novembre 2012 23:33:40

Mon antivirus avast à détecté un trojan dans c:\windows\System32\services.exe .
J'ai vu de nombreuses réponses à ce sujet disant que la réparation comportait des risques que je n'ai pas envie de courir, alors je voulais savoir quel dégâts ce virus peut provoquer et cela vaut il le coup de le supprimer?

merci d'avance de vos réponses ; )

Autres pages sur : virus trojan services exe

16 Novembre 2012 08:17:23

merci je vais le faire mais je voulais aussi savoir quels dégâts peut provoquer ce virus?
Par contre, avant , mon antivirus (avast!) me rappelais toute les 5 minutes pour mettre en quarantaine le virus, mais depuis deux jours, plus aucun rappel, je pense que le virus est encore présent mais pourtant je ne reçois plus de messages d'avast...
Contenus similaires
16 Novembre 2012 08:45:03

voila le rapport du scan :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Yoni [Droits d'admin]
Mode : Recherche -- Date : 16/11/2012 08:42:31

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\windows\Installer\{fe61a6ec-2482-2a84-8137-a88ad170b46d}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\windows\Installer\{fe61a6ec-2482-2a84-8137-a88ad170b46d}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\windows\system32\services.exe --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721010DLE630 +++++
--- User ---
[MBR] ebf4a6fa0160f32e4eb28548083d2b57
[BSP] c5dfd8ed77b750494cb7b8f58b5fb811 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_16112012_084231.txt >>
RKreport[1]_S_16112012_084231.txt


après le rapport, sur rogue killer on me dit "attention ZeroAccess"
a c 267 8 Sécurité
16 Novembre 2012 13:50:46

  • Relance RogueKiller, choisis "Suppression" et poste le rapport.
    16 Novembre 2012 17:07:57

    voilà le nouveau rapport :

    RogueKiller V8.2.3 [07/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Yoni [Droits d'admin]
    Mode : Suppression -- Date : 16/11/2012 17:02:24

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 3 ¤¤¤
    [HJPOL] HKCU\[...]\System : disableregistrytools (0) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{fe61a6ec-2482-2a84-8137-a88ad170b46d}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{fe61a6ec-2482-2a84-8137-a88ad170b46d}\L --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
    [Susp.ASLR][FILE] services.exe : C:\windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\windows\system32\drivers\etc\hosts



    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HDS721010DLE630 +++++
    --- User ---
    [MBR] ebf4a6fa0160f32e4eb28548083d2b57
    [BSP] c5dfd8ed77b750494cb7b8f58b5fb811 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_16112012_170224.txt >>
    RKreport[1]_S_16112012_084231.txt ; RKreport[2]_D_16112012_170224.txt
    a c 267 8 Sécurité
    16 Novembre 2012 19:13:48

    Le PC fonctionne mieux ?

    • Télécharge ZHPDiag (de Nicolas Coolman).

    • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

    • Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
      (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir "Exécuter en tant qu'administrateur")

    • Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

    • Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

    • Utilise le site http://pjjoint.malekal.com/ pour me transmettre le rapport ZHPDiag car il est plutôt long. Copie-colle le lien donné par le site dans ton prochain message.
    16 Novembre 2012 19:31:15

    j'ai l'impression qu'il fonctionne mieux en effet, je vais faire le scan et vous l'envoyez
    a c 267 8 Sécurité
    16 Novembre 2012 20:39:58

    Citation :
    \install\Very Bad Blagues.exe

    --> Ça te dit quelque chose ?

    • Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.
    16 Novembre 2012 23:28:26

    non, cela ne me dit rien du tout...
    je vais faire le scan mais je vouais te remercier de prendre ton temps pour m'aider ;) 
    16 Novembre 2012 23:33:56

    voila le rapport du scan :

    # AdwCleaner v2.007 - Rapport créé le 16/11/2012 à 23:29:06
    # Mis à jour le 06/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Yoni - YONI-HP
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Yoni\Downloads\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Ask.com
    Dossier Supprimé : C:\Users\Yoni\AppData\Local\APN
    Dossier Supprimé : C:\Users\Yoni\AppData\Local\Temp\AskSearch
    Dossier Supprimé : C:\Users\Yoni\AppData\LocalLow\AskToolbar
    Dossier Supprimé : C:\Users\Yoni\AppData\Roaming\QuickStoresToolbar
    Dossier Supprimé : C:\Users\Yoni2\AppData\LocalLow\AskToolbar
    Dossier Supprimé : C:\windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Fichier Supprimé : C:\Users\Yoni\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
    Fichier Supprimé : C:\Users\Yoni\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\APN
    Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
    a c 267 8 Sécurité
    17 Novembre 2012 00:00:19

    Il en manque une partie.
    17 Novembre 2012 12:43:09

    ah oui, excuse-moi, voici le rapport en entier :

    # AdwCleaner v2.007 - Rapport créé le 16/11/2012 à 23:29:06
    # Mis à jour le 06/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Yoni - YONI-HP
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Yoni\Downloads\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Ask.com
    Dossier Supprimé : C:\Users\Yoni\AppData\Local\APN
    Dossier Supprimé : C:\Users\Yoni\AppData\Local\Temp\AskSearch
    Dossier Supprimé : C:\Users\Yoni\AppData\LocalLow\AskToolbar
    Dossier Supprimé : C:\Users\Yoni\AppData\Roaming\QuickStoresToolbar
    Dossier Supprimé : C:\Users\Yoni2\AppData\LocalLow\AskToolbar
    Dossier Supprimé : C:\windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Fichier Supprimé : C:\Users\Yoni\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
    Fichier Supprimé : C:\Users\Yoni\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\APN
    Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
    Clé Supprimée : HKCU\Software\Ask.com
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\Software\APN
    Clé Supprimée : HKLM\Software\AskToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.avira.com/?l=dis&o=APN10264&gct=hp&dc=EU&locale=fr_FR --> hxxp://www.google.com

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Yoni\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [4796 octets] - [16/11/2012 23:29:06]

    ########## EOF - C:\AdwCleaner[S1].txt - [4856 octets] ##########
    a c 267 8 Sécurité
    17 Novembre 2012 13:03:17

    • Relance AdwCleaner et choisis "Désinstaller".

    • Je voudrais un nouveau rapport ZHPDiag.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS