Services.exe

[pear]

Essayez par le Gestionnaire de tâches->Nouvelle tâche ->Exécuter

 

Ctrl alt supp->Gestionnaire de tâches

ou, si impossible:

c:\windows\system32\taskmgr.exe

Modifié le 8 novembre 2008 par pear

[lauron]

Bonsoir,

 

ci-joint le rapport Sdif :

 

SDFix: Version 1.240

Run by Maryse on 2008-11-09 at 15:53

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-09 18:00:02

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"DeviceNotSelectedTimeout"="15"

"GDIProcessHandleQuota"=dword:00002710

"Spooler"="yes"

"swapdisk"=""

"TransmissionRetryTimeout"="90"

"USERProcessHandleQuota"=dword:00002710

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Disabled:RealPlayer"

"C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Disabled:Partage de l'application RTC"

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"="C:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe:*:Disabled:Framework Service"

"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"

"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"

"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"

"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"

Thu 19 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"

Wed 26 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\bcbeg.bak1"

Thu 27 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\dcbeg.bak1"

Fri 21 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\ddeeg.bak1"

Wed 26 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\fhkmp.bak1"

Thu 20 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\gfhkj.bak1"

Sun 23 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\ijkkj.bak1"

Mon 1 Oct 2007 23,742 ..SH. --- "C:\WINDOWS\system32\ilkkj.bak1"

Mon 1 Oct 2007 23,742 ..SH. --- "C:\WINDOWS\system32\ilkkj.bak2"

Sat 22 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\jjjlm.bak1"

Sat 29 Sep 2007 23,722 ..SH. --- "C:\WINDOWS\system32\jlnmp.bak1"

Sat 29 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\jlnmp.bak2"

Tue 18 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\mlkkj.bak1"

Tue 18 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\mlkkj.bak2"

Wed 19 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\pstwa.bak1"

Mon 24 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\qqstv.bak1"

Mon 17 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\qstwa.bak1"

Sun 23 Sep 2007 6,440 ..SH. --- "C:\WINDOWS\system32\ststv.bak1"

Tue 22 Jan 2008 322,303 ..SH. --- "C:\WINDOWS\system32\wvvwa.bak1"

Tue 22 Jan 2008 6,491 ..SH. --- "C:\WINDOWS\system32\wvvwa.bak2"

Fri 28 Oct 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Mon 19 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Thu 19 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"

Fri 2 May 2008 3,493,888 A..H. --- "C:\Documents and Settings\Maryse\Application Data\U3\temp\Launchpad Removal.exe"

Fri 28 Oct 2005 4,348 A..H. --- "C:\Documents and Settings\Maryse\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Thu 15 Dec 2005 20 A..H. --- "C:\Documents and Settings\Maryse\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Fri 28 Oct 2005 400 A.SH. --- "C:\Documents and Settings\Maryse\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Sat 23 Jun 2007 823,296 A.SH. --- "C:\Documents and Settings\Maryse\Mes documents\Mes images\MONACO LE 4 11 2007\PHOTO JOELLE\SIVE.tmp"

 

Finished!

 

Bon rien n'a changé, je me demande si le fichier Services.exe n'est pas HS

 

Y aurait-il d'autres choses a tenter ?

 

merci

[pear]

Bonjour,

 

On a encore quelques pistes:

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Décocher la Restauration sur tous les lecteurs.

Vous la rétablirez par la suite.

Télécharger VundoFix.exe (par Atribune) sur leBureau.

http://www.atribune.org/ccount/click.php?id=4

* Double-cliquer VundoFix.exe afin de le lancer

* Cliquer sur le bouton Scan for Vundo

* Lorsque le scan est complété, cliquer sur le bouton Fix Vundo

* Une invite demandera si vous voulez supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Une invite annonce que le PC va redémarrer; cliquer OK

* Copier/coller le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans la prochaine réponse

 

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

:Services

 

:Files

C:\WINDOWS\system32\bcbeg.bak1

C:\WINDOWS\system32\bcbeg.ini

C:\WINDOWS\system32\dcbeg.bak1

C:\WINDOWS\system32\dcbeg.ini

C:\WINDOWS\system32\ddeeg.bak1

C:\WINDOWS\system32\ddeeg.ini

C:\WINDOWS\system32\fhkmp.bak1

C:\WINDOWS\system32\fhkmp.ini

C:\WINDOWS\system32\gfhkj.bak1

C:\WINDOWS\system32\gfhkj.ini

C:\WINDOWS\system32\ijkkj.bak1

C:\WINDOWS\system32\ijkkj.ini

C:\WINDOWS\system32\ilkkj.bak1

C:\WINDOWS\system32\ilkkj.bak2

C:\WINDOWS\system32\ilkkj.ini

C:\WINDOWS\system32\ilkkj.tmp

C:\WINDOWS\system32\jjjlm.bak1

C:\WINDOWS\system32\jjjlm.ini

C:\WINDOWS\system32\jlnmp.bak1

C:\WINDOWS\system32\jlnmp.bak2

C:\WINDOWS\system32\jlnmp.ini

C:\WINDOWS\system32\mlkkj.bak1

C:\WINDOWS\system32\mlkkj.bak2

C:\WINDOWS\system32\mlkkj.ini

C:\WINDOWS\system32\pstwa.bak1

C:\WINDOWS\system32\pstwa.ini

C:\WINDOWS\system32\qqstv.bak1

C:\WINDOWS\system32\qqstv.ini

C:\WINDOWS\system32\qstwa.bak1

C:\WINDOWS\system32\qstwa.ini

C:\WINDOWS\system32\ststv.bak1

C:\WINDOWS\system32\ststv.ini

C:\WINDOWS\system32\wvvwa.bak1

C:\WINDOWS\system32\wvvwa.bak2

C:\WINDOWS\system32\wvvwa.ini

:Reg

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

[lauron]

bonjour,

 

VundoFix.exe ne foncionne pas message d'erreur.

 

Je jette l'éponge, j'irai plus vite à sauvegarder les données et à réinstaller.

 

merci pour ton aide, je ne te dis pas à bientôt "signe de panne" :P