service.exe (je sais plus quoi faire)
Forum Sécurité - Virus : service.exe (je sais plus quoi faire)
Bonjour,
Télécharge Lop S&D.exe (d’ Eric 71 & Angeldark) sur ton bureau.
- Double-clique dessus pour lancer l'installation
- Puis double-clique sur le raccourci Lop S&D présent sur ton bureau (Si tu es sous Vista, clique droit -> exécuter en tant qu'admin)
- Séléctionne la langue souhaitée , puis choisis l'Option 1 (Recherche)
- Patiente jusqu'à la fin du scan
- Poste le rapport généré (C:\lopR.txt)
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau
Sécurité / Prévention
Répondre à Egwene
Re,
Merci de visiter ce lien pour savoir comment installer et exécuter ComboFix :
http://www.bleepingcomputer.com/co [...] r-combofix
Cela inclut l'installation de la console de récupération windows si jamais elle n'est pas déjà été installée sur le PC. Il est vivement recommandé d'installer la console de récupération windows, car elle permet d'avoir accès à un très grand nombre de fonctionnalités dans le cas où le PC ne redémarrerait plus. C'est une sécurité supplémentaire en quelque sorte.
Une fois la console de récupération installée, vous aurez le choix au démarrage entre votre windows habituel et la console de récupération. Lancez votre windows habituel, puisque nous n'avons pas besoin d'utiliser la console de récupération, qui ne sert qu'en cas de problèmes. Par défaut, votre OS est sélectionné et il se lance automatiquement au bout de deux secondes. C'est normal 
Merci de me poster dans ta prochaine réponse le rapport de combofix accompagné d'un nouveau rapport HijackThis.
Sécurité / Prévention
Répondre à Egwene
Bonjour,
Désolé du délais.
Désactive toute protection résidente ( antivirus…) ! <------- Pense-y !
Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )
FileLook::
|
=> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes
- Colles y le texte (CTRL + V)
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc Notes
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
* Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
* Poste un nouveau rapport hijackthis.
Sécurité / Prévention
Répondre à Egwene
Bonjour,
D'abord je veux être sûr que tu puisses voir les fichiers/dossiers cachés :
[~]Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~]Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.
[~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Rends toi jusque sur ce fichier si tu le trouves :
C:\WINDOWS\system32\drivers\fa95f2fc.sys
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
Sécurité / Prévention
Répondre à Egwene
Bonsoir,
Télécharge IceSword (de pjf_)
- Dézippe le sur ton bureau.
- Ouvre le dossier qui vient d'être créé
- Double-clique sur IceSword
- Dans la colonne de gauche, clique sur File
- Clique sur la croix de Local Disk ( C: )
- Clique sur la croix de Windows
- Clique sur le dossier system32 puiq drivers
- Recherche le fichier suivant fa95f2fc.sys
- Une fois trouvé, clique-droit dessus, choisis Copie to...
- Nomme le "Fa.sys" et enregistre le sur ton Bureau.
- Ferme IceSword
Et fais analyser le fichier Fa.sys avec virus total.
Sécurité / Prévention
Répondre à Egwene
Bonsoir,
Bon, je t'ai préparé une manip' qui devrait résoudre tes problèmes
Mais j'ai une question : pourquoi n'as-tu pas installé la console de récupération en lançant combofix comme je te l'avais conseillé ?
Sauf raison particulière de te part, je préférerais tu l'installes, considère-la comme une garantie.
Sécurité / Prévention
Répondre à Egwene
J'ai bel et bien essayé, mais sa me dit : La syntaxe de la commande est incorrecte.
je sais pas si tu sais la commande a faire, mais sinon je ne peux pas l'installer
Bonsoir,
Oki, tant pis, il ne devrait pas y avoir en principe de problèmes. Par précaution, si ce n'est pas déjà fait, sauvegarde les documents les plus importants ( docs de travail, administratif etc. ).
Désactive toute protection résidente ( antivirus…) ! <------- Pense-y !
Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )
KillAll::
|
=> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes
- Colles y le texte (CTRL + V)
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc Notes
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
* Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
* Poste un nouveau rapport hijackthis.
Sécurité / Prévention
Répondre à Egwene
Bonjour,
Désolé du délais 
Refais-moi un nouveau rapport combofix normal stp.
Sécurité / Prévention
Répondre à Egwene
voici le nouveau rapport et il y a aucun probleme pour le délai, tout fonctionne assez bien pareil sur mon ordinateur, merc
ComboFix 08-10-24.02 - Lukasss 2008-11-01 0:17:53.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.588 [GMT -4:00]
Lancé depuis: D:\downloads\downloadss\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\nvsvc32.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-01 au 2008-11-01 ))))))))))))))))))))))))))))))))))))
.
2008-10-23 17:52 . 2008-10-15 12:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-20 18:08 . 2008-10-20 18:08 <REP> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP
2008-10-18 16:27 . 2008-10-18 16:27 170,293 --a------ C:\WINDOWS\system32\drivers\IsDrv120.sys
2008-10-15 22:01 . 2008-10-15 22:05 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-15 21:33 . 2008-09-08 06:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 21:32 . 2008-08-14 09:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 21:32 . 2008-08-14 09:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 21:32 . 2008-08-14 09:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 21:32 . 2008-08-14 09:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 21:32 . 2008-09-15 11:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-10 15:51 . 2008-10-10 16:12 <REP> d-------- C:\Lop SD
2008-10-08 18:57 . 2008-10-08 18:57 <REP> d-------- C:\Program Files\Avira
2008-10-08 18:57 . 2008-10-08 18:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-10-07 19:10 . 2008-10-07 19:10 <REP> d-------- C:\Documents and Settings\Lukasss\Application Data\Grisoft
2008-10-07 19:09 . 2008-10-07 19:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-10-07 19:09 . 2007-05-30 08:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-10-07 19:06 . 2008-10-07 19:06 <REP> d-------- C:\Program Files\CCleaner
2008-10-04 14:40 . 2008-10-04 14:41 <REP> d-------- C:\Program Files\iTunes
2008-10-04 14:40 . 2008-10-04 14:40 <REP> d-------- C:\Program Files\iPod
2008-10-04 14:40 . 2008-10-04 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-01 16:50 . 2008-10-01 16:50 <REP> d-------- C:\Documents and Settings\Lukasss\Application Data\Avant Profiles
2008-10-01 16:49 . 2008-10-01 16:49 <REP> d-------- C:\Program Files\Avant Browser
2008-10-01 16:06 . 2008-10-01 16:08 <REP> d-------- C:\Program Files\QuickTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 22:59 0 ----a-w C:\WINDOWS\system32\drivers\fa95f2fc.sys
2008-10-20 22:25 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-10-20 22:08 --------- d-----w C:\Program Files\Symantec
2008-10-20 22:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-10-15 00:40 --------- d-----w C:\Program Files\Steam
2008-10-15 00:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-01 20:18 --------- d-----w C:\Program Files\Apple Software Update
2008-10-01 20:06 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-09-30 00:23 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2008-09-21 19:48 68,096 ----a-w C:\WINDOWS\ScUnin.exe
2008-09-21 15:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Blizzard
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot_2008-10-16_19.37.24.75 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-20 22:08:08 22,016 ----a-w C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP\WiseCustomCall.dll
- 2008-04-14 02:33:34 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:35:43 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
"LDM"="C:\Program Files\logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-11-19 67128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]
"zBrowser Launcher"="D:\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2006-04-25 535040]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-06-30 188416]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-06-30 65536]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" [2007-03-12 517768]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 C:\WINDOWS\LOGI_MWX.EXE]
"P17Helper"="SPIRun.dll" [2006-07-03 C:\WINDOWS\system32\SPIRun.dll]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - C:\Program Files\logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-19 67128]
Logitech SetPoint.lnk - C:\Program Files\logitech\SetPoint\SetPoint.exe [2008-08-01 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Morpheus\\Morpheus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\javaw.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
S1 fa95f2fc;fa95f2fc;C:\WINDOWS\system32\drivers\fa95f2fc.sys [2008-10-20 0]
S3 SaiH0109;SaiH0109;C:\WINDOWS\system32\DRIVERS\SaiH0109.sys [2004-01-30 55936]
S3 SaiU0109;SaiU0109;C:\WINDOWS\system32\DRIVERS\SaiU0109.sys [2004-01-30 19456]
.
Contenu du dossier 'Tâches planifiées'
2008-10-25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
2008-11-01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Lukasss\Application Data\Mozilla\Firefox\Profiles\zzug9von.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.worldofwarcraft.com/index.xml
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 00:20:43
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-11-01 0:21:58
ComboFix-quarantined-files.txt 2008-11-01 04:21:55
ComboFix2.txt 2008-10-16 23:38:02
ComboFix3.txt 2008-10-12 13:33:01
Avant-CF: 59,646,644,224 octets libres
Après-CF: 59,860,189,184 octets libres
159 --- E O F --- 2008-10-23 22:07:59
Hello,
On va rééssayer avec combofix. S'il te demande d'être mis à jour fais-le.
Sélectionne l'intégralité du cadre ci-dessous :
http://www.infos-du-net.com/forum/282802-11-service-sais-faire#bas
|
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix.
- ComboFix créera ces fichiers sur ton Bureau :
- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm
- ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
- Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
- Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
- Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.
- Soumets le fichier en cliquant "OK"
- Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
Sécurité / Prévention
Répondre à Egwene
