Il y a actuellement 604 visiteurs
Dimanche 22 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

service.exe infectée par un cheval de troie

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

service.exe infectée par un cheval de troie

Message le 04 Mar 2009 20:27

salut tout le monde :D

voila au moment ou je vous parle je suis infectée par un cheval de troie qui à infectée le fichier "service.exe" dans windows.

j'ai fait un rapport avec hijackthis et je suis bien infectée :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:51, on 04/03/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Program Files (x86)RocketDockRocketDock.exe
C:Program Files (x86)LavasoftAd-AwareAAWTray.exe
C:WindowsSysWOW64conime.exe
C:Program Files (x86)Mozilla Firefoxfirefox.exe
C:UsersLaurentDesktopHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Program Files (x86)Common FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program Files (x86)Common FilesMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Program Files (x86)Javajre6injp2ssv.dll
O4 - HKLM..Run: [Ad-Watch] "C:Program Files (x86)LavasoftAd-AwareAAWTray.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program Files (x86)AdobeReader 9.0ReaderReader_sl.exe"
O4 - HKCU..Run: [nodenable] C:Program Fileseset
odenable.exe
O4 - HKCU..Run: [RocketDock] "C:Program Files (x86)RocketDockRocketDock.exe"
O4 - HKCU..Run: [services] C:Windowsservices.exe
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O13 - Gopher Prefix:
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwarede ... _1_1_0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: @%SystemRoot%system32Alg.exe,-112 (ALG) - Unknown owner - C:WindowsSystem32alg.exe (file missing)
O23 - Service: Ati External Event Utility - Unknown owner - C:Windowssystem32Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:Windowssystem32DFSR.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:Program FilesESETESET NOD32 Antivirusx86ekrn.exe
O23 - Service: @%systemroot%system32fxsresm.dll,-118 (Fax) - Unknown owner - C:Windowssystem32fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:Windowssystem32lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:Program Files (x86)LavasoftAd-AwareAAWService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVCOMSERLVCSer64.exe
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVMVFMLVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:Program FilesCommon FilesLogiShrdSrvLnchSrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Files (x86)ma-config.commaconfservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:WindowsSystem32msdtc.exe (file missing)
O23 - Service: @%SystemRoot%System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:Windowssystem32lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:Program Files (x86)CDBurnerXPNMSAccessU.exe
O23 - Service: @%systemroot%system32psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:Windowssystem32lsass.exe (file missing)
O23 - Service: @%systemroot%system32Locator.exe,-2 (RpcLocator) - Unknown owner - C:Windowssystem32locator.exe (file missing)
O23 - Service: @%SystemRoot%system32samsrv.dll,-1 (SamSs) - Unknown owner - C:Windowssystem32lsass.exe (file missing)
O23 - Service: @%SystemRoot%system32SLsvc.exe,-101 (slsvc) - Unknown owner - C:Windowssystem32SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%system32snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:WindowsSystem32snmptrap.exe (file missing)
O23 - Service: @%systemroot%system32spoolsv.exe,-1 (Spooler) - Unknown owner - C:WindowsSystem32spoolsv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:Program Files (x86)Alcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
O23 - Service: @%SystemRoot%system32ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:Windowssystem32UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%system32vds.exe,-100 (vds) - Unknown owner - C:WindowsSystem32vds.exe (file missing)
O23 - Service: @%systemroot%system32vssvc.exe,-102 (VSS) - Unknown owner - C:Windowssystem32vssvc.exe (file missing)
O23 - Service: @%systemroot%system32wbengine.exe,-104 (wbengine) - Unknown owner - C:Windowssystem32wbengine.exe (file missing)
O23 - Service: @%Systemroot%system32wbemwmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:Windowssystem32wbemWmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%Windows Media Playerwmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:Program Files (x86)Windows Media Playerwmpnetwk.exe (file missing)

--
End of file - 6438 bytes


j'ai comme antivirus nod32 et ad aware 2008, ce premier l'a vu mais n'a pas pu le supprimer ni le nettoyer. :-?

donc j'aimerai que vous m'aidiez pour supprimer ce virus.
rapport du fichier avec Nod32 :

C:Windowsservices.exe - une variante probable de Win32/Genetik cheval de troie

merci d'avance :wink:
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 


Message le 04 Mar 2009 21:54

up :cry:
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 

Message le 04 Mar 2009 22:06

Bonjour.

Le up c'est pour faire quoi exactement? :roll:


_ Via HiJackThis, tu supprimes la ligne:

O4 - HKCU..Run: [services] C:Windowsservices.exe


_ Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:Windowsservices.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton Image pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


_ Tu télécharges Gmer en version .ZIP que tu décompresses ensuite sur le Bureau.

Tu double-cliques sur l'icône Gmer.exe pour le lancer.

Tu cliques ensuite sur l'onglet Rootkit puis sur Scan pour démarrer l'analyse.

Si Gmer trouve un rootkit, il affichera la ligne en rouge.
Tu cliques droit sur la ligne puis sur Kill the process si cette option est disponible puis dans tous les cas tu cliques droit sur Delete the service pour supprimer le rootkit.

Dans tous les cas, si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis ces deux tutoriaux:

_ le guide pour faire une impression écran;

_ comment l'héberger sur internet.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 04 Mar 2009 22:15

je sais pas si j'ai bien fais mais j'ai supprimé ce fichier :-?
il etait important ou non ? :lol:
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 

Message le 04 Mar 2009 23:02

Non, application inconnue.

Passe quand même Mbam et transmets le rapport.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 04 Mar 2009 23:21

désolé j'avais pas vu ton message,
j'ai supprimé le fichier avant de faire toute les manips.
mais j'ai fais l'analyse avec hijackthis et il marque encore le fichier alors que je l'ai éffacé... :roll:
et j'ai fais l'analyse avec gmer...rien à signalé
avec nod 32 non plus
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 

Message le 04 Mar 2009 23:26

ok je fais ça de suite
merci
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 

Message le 04 Mar 2009 23:54

voila :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1817
Windows 6.0.6001 Service Pack 1

04/03/2009 23:53:21
mbam-log-2009-03-04 (23-53-21).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 180659
Temps écoulé: 21 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunservices (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerNoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


apparemment, plus de virus :lol:
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 

Message le 05 Mar 2009 00:34

Non, un trojan & un hijack.

Tu supprimes si ce n'est pas déjà fait puis tu refais une analyse complète et, si rien n'est trouvé, on pourra en conclure que c'est clean.

Laisse tomber Gmer.

Pour HiJackThis, il faut fixer la ligne en question pour la supprimer, cf ceci.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 05 Mar 2009 01:06

voila j'ai fais comme tu me l'a dis et plus rien en vus pour MBAM et pour hijackthis.
merci beaucoup r@in | b0w, je suis plus soulagé :lol:
a++
Avatar de l'utilisateur
etche62
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 178
Inscription: 16 Juin 2008 01:52
Localisation: din ch'nord !!! 18 ans
 



Sujets similaires

Message Hote de service consomme toute ma bande passante.
Bonjour,J'ai remarqué que ma connexion internet était devenue très mauvaise.En regardant dans le gestionnaire des taches, je constate que toutes ma bande passante (environ 30 Mbit/s) est utilisée par un service nommé "Hote de service: service réseau (Optimisation de livraison)".Ca fait déj ...
Réponses: 1

Message mise en service routeur
Bonjour a tous,J'ai acheté un routeur TPLINK TL-MR6500V2.j'ai mis la carte sim 4G sur mon PC a droite je vois bien tp link mais il indique déconnecté, que faut-il faire pour le mettre en service je ne comprend rien a la notice.Merci pour votre aide.CdtPS/ la carte sim c'est la poste
Réponses: 17

Message Windows: AsusUpdateCheck service
Bonjour,J'utilise Windows 11 PRO 64 qui est à jour.Le BIOS est aussi à jour.Les drivers sont à jour et ceux fournis par le fabricant de la carte mère Asus.J'au un service AsusUpdateCheck en automatique.Sauriez vous à quoi il sert?Je n'ai rien a mettre a jour sur ma carte mère, et n'ai jamais eu de n ...
Réponses: 1

Message Solution de supervision adaptée, société de service informat
Bonjour !Je suis étudiant au sein d?une société de service informatique et nous recherchons une solution de supervision adaptée pour permettre de superviser environ 100 serveurs avec des remontés matériel standards telles que l?espace disque libre, l?état du CPU, le nombre de barrette de mémoire dis ...
Réponses: 0

Message Service de routage de messages push
Bonjour à tous,Qu'est ce que : "Service de routage de messages push du protocole WPA de gestion des appareils" ?Fait-il partie de la télémétrie ? Je pose la question car même si je le mets sur arrêté dans "Services.msc" celui-ci ce remet en fonction lorsque je démarre mon PC.Mer ...
Réponses: 11

Message Échec de l’ouverture de session par le service client
Bonjours à tous ,J?ai récupéré un vista que j?avais donné à une amie et elle me l?a rendu car elle a un gros soucis dessus ´impossible d?accès à sa session ´J?ai regardé sur le net des solutions et on dit le plus souvent qu?il faut faire une restauration système mais apparement le disque C est endom ...
Réponses: 24

Message Pop-up firefox (window-updates-service . com)
Bonjour à tous,Donc parfois quand je démarre Windows, il y a un pop-up qui se lance avec firefox et qui utilise 100% du CPU tant qu'il reste ouvert. Il utilise le firefox.exe d'origine quand je vérifie sur le task manager, mais ce n'est pas le même (le pop-up utilise un firefox de base tandis que le ...
Réponses: 3


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.