[LOGICIEL] [RESOLU] Problème trojan dans services.exe

[maxsims1]

Bonsoir ! J'ai un problème avec mon PC, un spyware qui a infecté services.exe. Il utilise une bonne partie de mon processeur et fait beaucoup d'accès disques ce qui ralenti mon PC. Je l'ai analysé avec Spybot, Ad-aware, posté un rapport Hijackthis et je l'analyse en ce moment avec Avast!. Apparemment il a diminué son utilisation CPU depuis que j'ai supprimé quelques trucs avec spybot et ad-aware mais il monte encore facilement à 5%. Je suis passé par le topic sécurité, et je me suis décidé a installer MS anti spyware. Il me dit qu'il y a un trojan dans services.exe. Mais lorsque que je clique sur remove, il me donne ce message. d'après ce que je comprends, il bloquerais services.exe, (ce qui désactiverais la détection du matériel à ce que j'en sais). Je n'ai pas redémarré depuis mon scan spybot et ad-aware, j'attends la fin du scan avast!, je ne sais pas si ca change quelque chose. Faut-il que je le bloque ? Existe-il un moyen de supprimer le trojan sans bloquer services.exe ? Merci de votre aide !!

En passant : je vote pour la création d'un forum sécurité sur PC INpact !

EDIT : Avast! ne m'a rien donné, après redémarage du PC j'ai deux services.exe pompant jusqu'à 10% du CPU (j'en ai un en utilisateur SYSTEM et un avec pour nom d'utilisateur ma session). Je fais d'autres analyses avec d'autres logiciels anti-spywares et si ca ne donne rien, je tenterai une analyse en ligne pande software.

[gailuron66]

hum

à mon humble avis, MS anti spyware ----> à virer

un logiciel antispy qui est copain avec Claria, (gator et compagnie), moi je lui fait pas confiance

mais malgré tout, il a peut etre raison pour cette ligne que tu peux deja fixer dans hijackthis:

C:\WINDOWS\services.exe

mais snooky t'en dira plus dans le topic hijackthis

édit:

en attendant snooky, tu peux passer a-squared Free :

http://www.emsisoft.net/fr/software/free/

[maxsims1]

Quelques nouveautés : je n'ai plus qu'un services .exe en temps que SYSTEM, l'autres n'apparait plus, alors que je n'ai pas redémarré. Le centre de sécurité windows est désactivé, spybot l'avait détecté et corrigé, mais apparement le problm est à nouveau là. Je vais bientot lancé l'antivirus en ligne, mais je vais tenté une restauration du système avant. Après une recherche de services.exe, j'ai deux fichiers services.exe sur mon PC (plus celui des sauvegardes SP1), les deux identiques et modifiés mercredi matin à 00:24, le problème viens donc de là. Apparement mon second PC en réseau à eu le meme traitement. Quand j'aurai la solution, je le réparerai. Merci !!

EDIT : merci gailuron, je suis déjà en train de faire a² scanner depuis quelques minutes. Pour microsoft anti spyware je suis d'accord avec toi mais j'ai préféré le prendre pour ce problème. Ca fait quoi exactement de fixer une ligne avec hijackthis ?

[gailuron66]

touche pas à la restauration systeme, fait pas de restauration

à la rigueur, desactive la, comme te le dira surement snooky

fixer une ligne ?

bin s'est supprimer une ligne

[maxsims1]

C'est pas risqué d'empecher services.exe de ce lancer ? Sachant que c'est un service windows ? Si c'est risqué, je vais attendre le dernier moment pour le faire, avant le formatage . Et pourquoi virer la restauration ? Elle m'a déjà réparée plusieur fois mon PC, suite à des virus (quand j'étais encore avec norton ) Elle ne pourra rien faire ici ? (je doute qu'il y a une sauvegarde du fichier services.exe). Et la VRDB d'avast! peut-elle servir ici ?

[gailuron66]

c'est un faux service

celui-ci se trouve dans c:\windows\ au lieu de c:\windows\system32\

mais attend snooky

édit:

la restauration etant elle meme infecté, elle ne sert plus à rien

c'est pour cela que je supose que snooky dit de la desactiver

la VRDB d'avast ne sert qu'à reparer les VERITABLES fichiers windows

un virus ou un spy ne se repare donc pas, (ça fait pas partie de windows ), à moins qu'un veritable fichier windows soit infecté et la, oui avast peut reparer

[maxsims1]

Merci de ta précision. Quelques autres nouvelles : services.exe tente de se connecter à internet (mais bloqué par mon pare-feu). Comment réactivé services.exe (le vrai) alors ?

EDIT : a² scanner n'a rien trouvé.

RE-EDIT : impossible de fixer la ligne avec hijacthis, les seules lignes affichée( et donc fixables) sont Qx - ou Rx - .

RE-RE-EDIT : J'ai fini mes sauvegardes, donc pas grand chose a faire. Il n'existe pas de fichier services.exe dans c:\windows. Et est-il possible de récupérer le fichier à partir d'un ordi sain ? (le mien a XP pro, l'autre infecté XP media center, et l'ordi sain XP familial tous entièrement à jour)

[gailuron66]

ça ressemble à ça:

http://www.sophos.fr/virusinfo/analyses/trojlegmire.html

un trojan

essaye ça, (extrait du lien cité):

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu

"Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone

"Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre

registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Services

= C:\<Windows>\SERVICES.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Services

= C:\<Windows>\SERVICES.EXE

et supprimez-les si elles existent.

Fermez l'éditeur du registre.

de toutes evidence, il semble bien qu'un service n'a rien à foutre dans c:windows, puisque il faut les supprimer si ces clé de registre existe

et ton service se trouve dans c:windows

donc à virer

[maxsims1]

Merci je vais voir ca. Pourquoi avast! ne le détecte pas ?

EDIT : les "dossiers" run et runservices n'existe pas dans HKLM\Software\Microsoft\Windows\CurrentVersion ! Et confirmation : le services.exe contaminé est bien dans c:\windows (mais le fichier n'existe pas) contrairement au bon fichier qui est dans system32\ comme le disais gailuron

[bakou76]

Un tour ==> ici

[maxsims1]

Merci ! Je pense que c'est pas normal : j'ai un dossier C:\Documents and Settings\Maxsims\WINDOWS\system totalement vide. et je n'ai pas de programme services.exe dans c:\windows alors que c'est bien là qu'il est détecté.

[gailuron66]

Merci je vais voir ca. Pourquoi avast! ne le détecte pas ?

EDIT : les "dossiers" run et runservices n'existe pas dans HKLM\Software\Microsoft\Windows\CurrentVersion    ! Et confirmation : le services.exe contaminé est bien dans c:\windows (mais le fichier n'existe pas) contrairement au bon fichier qui est dans system32\ comme le disais gailuron

avast ne le detecte pas, parceque c'est un trojan

...le services.exe contaminé est bien dans c:\windows (mais le fichier n'existe pas)...

comment sait tu qu'il se trouve bien dans c:windows ............ s'il n'existe pas?

[maxsims1]

Dans la base de registre, j'ai le rapport de MS anti spyware et c'est marqué qu'il est là. J'ai par contre un sservice.exe et un sservice.exe.bat

EDIT : analyse de sservice.exe :

File: sservice.exe

Status:

INFECTED/MALWARE

MD5 cc6ec8cbfd4735a3b2c1fbc23a79ef23

Packers detected:

UPX

Scanner results

AntiVir Found nothing

ArcaVir Found Trojan.Prorat.S

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found BehavesLike:Trojan.ShellStartup (probable variant)

ClamAV Found nothing

Dr.Web Found BackDoor.ProRat.32

F-Prot Antivirus Found nothing

Fortinet Found W32/Startpage.DU-dr

Kaspersky Anti-Virus Found Backdoor.Win32.Prorat.s

NOD32 Found a variant of Win32/Prorat

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found Backdoor.Win32.Prorat.s

RE-EDIT : analyse de sservice.exe.bat

File: sservice.exe.bat

Status:

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

MD5 ee824acd9cbf18c510bfd31d28d0e910

Packers detected:

-

Scanner results

AntiVir Found BDS/Prorat.14

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found nothing

Donc c'est bien ça. Je cherche sur sophos comment me désinfecter.

[maxsims1]

Pensez vous que les supprimer purement et simplement suffirait ?

[gailuron66]

snooky t'a repondu sur le topic hijackthis

[maxsims1]

Merci pour votre aide !! J'ai réussi enfin. Je résumme ce qu'il faut faire. Il faut avoir téléchargé et installé BootDeleter. Il faut ensuite supprimer au démarrage avec ce programme les fichiers suivants :

C:\WINDOWS\system32\fservice.exe

C:\WINDOWS\system\sservice.exe

C:\WINDOWS\system\sservice.exe.bat

C:\WINDOWS\services.exe

Redémarré. A partir de là, un petit message disant que C:\WINDOWS\system32\fservice.exe n'existe pas. Le processus services.exe n'utilise plus de ressources en trop

Faire un spybot et un ad-aware qui détecte plusieurs erreurs.

Je complète quand j'ai redémarré voir si j'ai toujours un message d'erreur au démarrage !

[snooky]

Retourne sur la centralisation Hijackthis ...

[maxsims1]

Voilà plus de problèmes au redémarrage ca marche très bien. Merci !!

[maxsims1]

Mon second PC en réseau était aussi infecté. J'ai procédé de la même facon sauf pour le fichier C:\WINDOWS\system\sservice.exe.bat qui n'existait pas. Je viens de m'apercevoir que la touche permettant de faire ses deux accents (^ ¨) marche à nouveau, je pensais que c'était mon clavier et en fait c'était le virus.

[gailuron66]

... et en fait c'était le virus.

... et en fait, c'etait le trojan