Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Comment supprimer le trojan services.exe ?

 

 

Je viens d'avoir une station infectée par le trojan "services.exe" sur un système Windows XP Pro SP2.

 

 

LES SYMPTOMES

- Au départ, aucun ralentissement ou dysfonctionnent apparent et la seule forme "visible" est la désactivation de l'antivirus. Il est donc recommandé de ne pas supprimer l'affichage de la "Zone de Notifications" du Bureau Windows. En effet sans cet affichage rien ne laisse supposer que votre station est infecté.

- Heureusement Spybot résident à fait son travail en demandant confirmation de modification de la Base De Registres. Un refus de l'utilisateur entraîne une nouvelle demande du trojan et ceci en boucle en vampirisant toutes les ressources de la station. La seule façon de s'en sortir étant inévitablement le redemarrage "sec" du système à l'aide du Bouton "Arret".

 

Il est donc sûr à ce stade que la station est infectée.

 

LA TRAQUE

  • Au redémarrage, l'antivirus est immédiatement désactivé. Après contrôle, il s'avère que l'Autoscan et le liveUpdate sont aussi bloqué. Ainsi le trojan échappe à toute demande d'analyse de l'antivirus.
     
    Une recherche minutieuse dans le Gestionnaire des tâches, avec processus classés par ordre alphabétique, fait apparaître immédiatement l'intrus. Un intrus bien caché sous le nom usuel d'un fichier système "Services". Celui-ci se distingue du véritable processus système, par le "nom de l'utilisateur" qui est l'administrateur ou l'utilisateur.
    gestionnairetachesjh1.png
     
     
  • L'intrus est identifié dans le dossier "C:\windows", Il faut noter que le veritable fichier système est lui installé dans le dossier "C:\windows\system32". Il ne reste plus qu'a l'éradiquer, et là c'est une autre paire de manche.

L'ERADICATION

  • Le redémarrage en mode sans échec est rendu impossible, seule le redemarrage normal est autorisé. Impossible donc d'aller le supprimer en mode de commande.
  • Bien sûr l'antitrojans est bloqué.
  • KillProcess "plante" lorsqu'on demande de supprimer directement ce processus critique. Et il provoque un redemarrage obligatoire du système.
  • La suppression du processus "critique" est impossible via le Gestionnaire des tâches.
  • Unlocker trouve deux processus de blocage, à savoir le "services.exe" visible dans la barre des Tâches et "Spybot". Le déblocage est effectif mais il est toujours impossible de supprimer "services.exe", par contre il peut être renommé. Mais lors du prochain démarrage, un autre fichier "services.exe" est créé. Il y a donc un ou plusieurs fichiers qui le régénère.
  • Deux autres intrus sont repérés "C:\WINDOWS\System32\fservice.exe" et "C:\WINDOWS\System32\reginv.dll".
  • Une fois les deux fichiers supprimés "fservice.exe et "reginv.dll" et le processus "services.exe" stoppé par Unlocker. Il est possible enfin de supprimer "Services.exe".
  • Tout semble fini...et bien non ! au redemarrage "Services.exe" est encore là, mais pas de trace des fichiers suivants "winkey.dll","Win694521545.exe.bat","Win694521545.exe" et "Win945124705.exe ". Alors où se cache-il !

CONCLUSION

Je n'ai pas pu chercher plus d'une heure la façon de l'éradiquer. J'ai préféré paré au plus pressé en transférant les données utilisateur sur une autre station et en réinstallant le système à partir d'une image Ghost.

Si j'ai posté, c'est avant tout pour vous mettre sur une piste de recherche si vous rencontrez ces symptômes.

 

Quoiqu'il en soit et comme je suis curieux de nature, je me tourne vers l'équipe sécu pour savoir s'il existe une procédure fiable capable d'éradiquer ce trojan ?

Modifié par coolman

Posté(e)

Bonjour,

 

j'ai eu le même problème que toi et j'ai appliqué la même méthode de restauration.

 

Si quelqu'un peut aider. Par curiosité et pour aider.

Posté(e) (modifié)

Hello,

 

peut-être un début de solution trouvé

 

J'ai trouvé 2 trucs intérressant.

 

1. Site 01.net ----> ici

 

2. Site Sophos (Description de l'attaque) ----> ici

 

 

Si ça marche, pouvez-vous faire signe ?

Modifié par bibi_77340
Posté(e)

Salut bibi_77340,

 

J'ai parcouru la procédure donnée par Malekal_morte sur le lien 01.net. Celle-ci ne peut pas s'appliquer complètement du fait que la station ne peut pas démarrer en mode sans échec.

 

A+

Posté(e)

Salut coolman,

 

compte-tenu que tu ne peux pas démarrer en mode sans echec,

as-tu essayé de voir le processus par l'intermédiaire de processxp

ainsi, il te donnera les divers threads qui l'utilise, ensuite, tu devrais pouvoir le killer, car, je n'ai vu aucun service que processxp n'a pas su arrété correctement (même ceux de windows, réputé non killable)

 

et aussi de faire un tour avec autoruns pour voir ou se trouve l'intru pour la remise en service (voir éventuellement, le planificateur des taches )

 

c'est juste une suposition, je n'ai pas le pc sous les yeux :P

Posté(e)

Salut speedweb1,

 

C'est vrai que c'est un des aspects que j'ai oublié de vérifier, l'ensemble des threads du processus "Services.exe". C'est noté pour la prochaine fois car, comme je l'indique dans mon 1° message, mon problème à été résolu par un formatage, donc plus possible de vérifier quoi que ce soit.

 

A+

  • Modérateurs
Posté(e)

Bonjour à tous,

 

Arf, désolé de voir ce topic après la guerre et le formatage. :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...