Comment supprimer un service infecté ?

Décembre 2016

Au cours d'une désinfection, ou à titre personnel, il peut vous arriver de devoir (faire) supprimer un service infecté appartenant à un malware. Voici quelques méthodes de suppression.


Suppression en passant par HijackThis


L'option delete an NT service permet de supprimer les services visibles dans les lignes O23 d'un rapport HijackThis, après avoir été arrêtés ou désactivés auparavant.

Pour ce faire :
  • Aller dans : Démarrer
  • Module Exécuter, et saisir : services.msc puis valider par OK.
  • Dans la fenêtre qui suit, chercher le(s) service(s) à arrêter.
  • Exemple pour supprimer le service : Boonty Games
    • Faire un clic-droit dessus > arrêter > puis propriétés : type de démarrage, mettre sur désactivé et valider.
  • Vous avez aussi la possibilité d'arrêter un service en ligne de commande :
  • Ensuite lancer HijackThis.
  • Ligne HijackThis correspondante à ce service :
    • O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
  • Choisir la section open misc tools section.
  • Option delete an NT service.
  • Entrer le nom exact du service à supprimer ! Dans notre cas : BOONTY Games
  • Attention ! Une fois supprimé, il sera impossible de restaurer un service. Si vous n'êtes pas sur de la légitimité d'un service, le désactiver suffira !



Suppression en ligne de commande


Vous avez aussi la possibilité de supprimer un service directement en ligne de commande, pour se faire :
  • Aller dans : Démarrer
  • Module Exécuter, puis saisir : cmd et valider par OK.
  • Dans la fenêtre DOS qui suit, taper chacune des commandes suivantes suivit du nom du service à supprimer en respectant scrupuleusement la syntaxe, puis valider avec [Entrée] après chaque ligne.



Exemple de ligne de commande à saisir pour arrêter et supprimer deux services infectés, à savoir les services ezntsvc et scagent :
  • sc stop ezntsvc [Entrée]
  • sc config ezntsvc start= disabled > puis valider par OK
  • sc delete ezntsvc [Entrée]
  • sc stop scagent [Entrée]
  • sc config scagent start= disabled > puis valider par OK
  • sc delete scagent [Entrée]
  • exit [Entrée]


Remarques importantes :
  • 1) Pour supprimer un service ayant un nom composé de plusieurs termes, exemple avec la ligne HijackThis suivante :
    • O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    • Il faut saisir le nom complet délimité par des parenthèse, c'est-à-dire saisir les commandes comme suite :
      • sc stop "Bonjour Service"
      • sc delete "Bonjour Service"
  • 2) Le nom du service à supprimer sera celui situé entre parenthèses, c'est-à-dire dans notre exemple "Bonjour Service", comme indiqué précédemment dans la ligne HijackThis en gras, et non celui juste avant, Service Bonjour, qui lui est une description et non le nom "reconnu" par le système. Si la ligne O23 du rapport HijackThis ne présente pas de nom entre parenthèse, comme cela était le cas pour cette ligne :
    • O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    • Alors le nom du service à supprimer sera le nom juste après "Service :".
  • 3) Ces deux méthodes de suppression s'appliquent à des services dits "basiques", mais ne fonctionneront pas forcément pour des services de rootkits, qui eux seront bien plus complexes à détecter et donc à supprimer.

Suppression en passant par OTM


Afin de supprimer le service, vous devez connaître le nom du service. Ce nom est le texte entre parenthèses. Si le nom d'affichage est identique au nom du service, le nom du service n'est pas listé. Exemple :
  • O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Si le nom d'affichage est différent du nom du service, le nom du service sera entre parenthèses. Exemple :
  • O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

Pour supprimer un service avec OTM, il faut faire un script. La commande :services suivi du nom du service en dessous pour supprimer le service désiré. :commands suivi de [reboot] sert à faire redémarrer le PC.

Voici un exemple de script pour supprimer le service Boonty Games.
  • Télécharger OTM (OldTimer) sur le Bureau.
  • Double-cliquer sur OTM.exe afin de le lancer.

(Sous Vista, il faut cliquer droit sur OTM et choisir Exécuter en tant qu'administrateur)
  • Copier (Ctrl+C) le texte suivant ci-dessous :

:services 
Boonty Games 

:commands 
[reboot]
  • Coller (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
  • Cliquer maintenant sur le bouton MoveIt! puis fermer OTM. Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel vous demandera de redémarrer. Accepter en cliquant sur YES.
  • Après redémarrage, un rapport s'affichera vous montrant que la manipulation a fonctionné ou non. Si la manipulation a fonctionné, vous devriez avoir une partie ressemblant à celle-ci :

========== SERVICES/DRIVERS ========== 
Service Boonty Games stopped successfully. 
Service Boonty Games deleted successfully. 

A voir également :

Ce document intitulé «  Comment supprimer un service infecté ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.