Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Services.exe et carte réseau

hawk88

Par hawk88
dans Analyses et éradication malwares

 Partager

Messages recommandés

hawk88 Junior Member

hawk88

Posté(e)
Posté(e)

Bonjour,

 

je viens ici chercher un peu d'aide car après plusieurs tentatives de ma part je n'ai pas résolu la solution. Pour commencer mon problème est sous Windows 7 équipé d'antivir.

 

Mardi j'étais sur mon pc entrain de naviguer normalement et antivir m'alerte qu'il a trouvé 3 trojans

 

AntiVir a détecté dans le fichier C:\Windows\System32\tgvmp.exe un code suspect avec la désignation 'TR/Agent.40581'!

 

AntiVir a détecté dans le fichier C:\Windows\System32\ggvmp.dll un code suspect avec la désignation 'TR/BHO.294912'!

 

AntiVir a détecté dans le fichier C:\Users\Pierre\AppData\Local\Temp\nxowsrecma.exe un code suspect avec la désignation 'TR/Crypt.ZPACK.Gen'!

 

Je mets donc supprimer/refuser l'accès mais sans succès, quelques secondes plus tard j'ai un message :

Windows a détecté un problème, votre ordinateur va redémarrer dans 1 minute
, shutdown -a ne marchant pas car le reboot était lancé par Autorité NT/System

 

Il s'est avéré qu'après des redémarrages il y a eule faux antivirus installé Antivir Pro Doctor & Street-Ads Browser Enhancer ou quelque chose dans le genre. Je ne sais pas comment il a réussi a s'installer mais après un redémarrage ne mode sans échec j'ai pu le supprimer.

 

Mon problème principal maintenant est lié à la carte réseau, si j'allume le PC et que je branche mon cable réseau pour avoir internet, au bout d'une minute j'ai le message pour redémarrer le PC, si je ne branche pas, le système est stable.

 

Le même problème qu'ici à première vue, sans forcément l'impression qu'il y a un mass-mailer.

 

J'ai tenter de désinfecter le PC, avec plusieurs outils sans que ca résolve le problème

  • Dr Web
  • Ad Remover
  • malwarebytes anti-malware
  • rogueav cleaner
  • Kaspersky Virus Removal Tool Setup

 

 

Voici quelques fichiers de logs concernant les reboots lors du branchement du cable réseau

 

Nom de l’application défaillante services.exe, version : 6.1.7600.16385, horodatage : 0x4a5bbf1b

Nom du module défaillant : unknown, version : 0.0.0.0, horodatage : 0x00000000

Code d’exception : 0xc0000005

Décalage d’erreur : 0x00c2ff41

ID du processus défaillant : 0x1f4

Heure de début de l’application défaillante : 0x01cb35a369826e00

Chemin d’accès de l’application défaillante : C:\Windows\system32\services.exe

Chemin d’accès du module défaillant: unknown

ID de rapport : c03282f0-a4c3-11df-b9f5-001a923a1a9a

 

Récipient d’erreurs , type 0

Nom d’événement : APPCRASH

Réponse : Non disponible

ID de CAB : 0

 

Signature du problème :

P1 : services.exe

P2 : 6.1.7600.16385

P3 : 4a5bbf1b

P4 : unknown

P5 : 0.0.0.0

P6 : 00000000

P7 : c0000005

P8 : 00c2ff41

P9 :

P10 :

 

Fichiers joints :

C:\Windows\Temp\WER14C5.tmp.appcompat.txt

C:\Windows\Temp\WER1938.tmp.WERInternalMetadata.xml

C:\Windows\Temp\WER1959.tmp.WERDataCollectionFailure.txt

 

Ces fichiers sont peut-être disponibles ici :

C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_services.exe_4ce4b0ee59bc455c729bd3fb8bb6dcdfd650ec3d_cab_00a51957

 

Symbole d’analyse :

Nouvelle recherche de la solution : 0

ID de rapport : c03282f0-a4c3-11df-b9f5-001a923a1a9a

Statut du rapport : 4

 

 

<?xml version="1.0" encoding="UTF-16" ?>

- <WERReportMetadata>

- <OSVersionInformation>

<WindowsNTVersion>6.1</WindowsNTVersion>

<Build>7600</Build>

<Product>(0x30): Windows 7 Professional</Product>

<Edition>Professional</Edition>

<BuildString>7600.16539.x86fre.win7_gdr.100226-1909</BuildString>

<Revision>1</Revision>

<Flavor>Multiprocessor Free</Flavor>

<Architecture>X86</Architecture>

<LCID>1036</LCID>

</OSVersionInformation>

- <ParentProcessInformation>

<ParentProcessId>460</ParentProcessId>

<ParentProcessPath>C:\Windows\System32\wininit.exe</ParentProcessPath>

<ParentProcessCmdLine>wininit.exe</ParentProcessCmdLine>

</ParentProcessInformation>

- <ProblemSignatures>

<EventType>APPCRASH</EventType>

<Parameter0>services.exe</Parameter0>

<Parameter1>6.1.7600.16385</Parameter1>

<Parameter2>4a5bbf1b</Parameter2>

<Parameter3>msvcrt.dll</Parameter3>

<Parameter4>7.0.7600.16385</Parameter4>

<Parameter5>4a5bda6f</Parameter5>

<Parameter6>c0000005</Parameter6>

<Parameter7>0000de51</Parameter7>

</ProblemSignatures>

- <DynamicSignatures>

<Parameter1>6.1.7600.2.0.0.256.48</Parameter1>

<Parameter2>1036</Parameter2>

</DynamicSignatures>

- <SystemInformation>

<MID>E67B93F4-D7E3-40E5-BB4D-D4670E816077</MID>

<SystemManufacturer>System manufacturer</SystemManufacturer>

<SystemProductName>System Product Name</SystemProductName>

<BIOSVersion>ASUS P5N-E SLI ACPI BIOS Revision 0202</BIOSVersion>

</SystemInformation>

</WERReportMetadata>

 

 

De plus j'ai aussi effectuer une vérification avec hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:49:36, on 11/08/2010

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\UltraMon\UltraMon.exe

C:\Windows\system32\taskhost.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\Users\Pierre\Desktop\Virus Removal Tool\setup_9.0.0.722_11.08.2010_10-46\setup_9.0.0.722_11.08.2010_10-46.exe

C:\Program Files\UltraMon\UltraMonTaskbar.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\mmc.exe

C:\Windows\system32\mmc.exe

C:\Windows\helppane.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O4 - Startup: setup_9.0.0.722_11.08.2010_10-46.lnk = Pierre\Desktop\Virus Removal Tool\setup_9.0.0.722_11.08.2010_10-46\startup.exe

O4 - Global Startup: UltraMon.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll

O13 - Gopher Prefix:

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartSVN Status Cache (statuscached) - Unknown owner - C:\Program Files\SmartSVN 6.5\bin\statuscached.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe

O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe

O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

 

--

End of file - 6942 bytes

 

J'ai tenter la restauration système mais cela a échouer donc malgré mes connaissances je suis à court d'idée.

 

En vous remerciant

nardino Full Patch Member

nardino

Posté(e)
Posté(e) (modifié)

Bonjour

 

Désactive le proxy ajouté par l'infection si présent.

 

Sous Firefox

- Menu Outils > Options > Avancé > onglet Réseau> Paramètres

- Choisis Pas de Proxy et valide par OK

Sous Internet Explorer

- Menu Outils == Options Internet >- Onglet Connexions

En bas, désactive le proxy.

 

Redémarre l'ordinateur mode sans échec avec prise en charge du réseau.

downlo10.gifTélécharge rkill de Grinler depuis, au choix:

http://download.blee...inler/rkill.scr

http://download.blee...inler/rkill.com

http://download.blee...inler/rkill.exe

http://download.blee...er/eXplorer.exe

http://download.blee...er/iExplore.exe

 

  • Lance l'outil, il ne nécessite pas d'installation.
    En cas d'échec essaie une autre extension

arrow210.gif Poste le rapport C:\rkill.log

 

Désinstalle Malwarebytes.

Recharge le fichier d'installation

Réinstalle, mets à jour et refais un scan en supprimant la sélection à la fin du scan.

Poste le rapport avec l'autre.

 

@+

Modifié par nardino

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...