Salut,
Perso je pense à un virrus qui charge le services.exe à tu la possibilté de tester un autre anti virus genre en ligne ..? Génération ZX81

Salut,

Je t'invite à lire ceci :

http://www.commentcamarche.net/processus/services-exe.php3

Bien à toi

Effectivement, à la base SERVICE.EXE n'est pas un virus mais un fichier system Mais la il passe le process à 100 %
Voici ce qu'on peut lire sur le site SOPHOS :
*****
W32/Muma-B est un ver qui se propage en se copiant et en s'exécutant sur les partages réseau distants avec des mots de passe triviaux ou sans mot de passe du tout.


Le principal composant du ver est une archive auto-extractible qui injecte une série de fichiers dans le dossier C:\Winnt\System32\drivers\etc. Parmi ces fichiers figurent des fichiers de commandes utilisés pour la propagation, des scripts mirc utilisés pour permettre un accès par porte dérobée et des utilitaires légitimes utilisés par le ver. Les fichiers sont les suivants :


AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (utilitaire pour cacher les fenêtres d'application)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (utilitaire réseau légitime)


Le ver peut injecter une copie de HIDDEN32.EXE et de PSEXEC.EXE dans le dossier C:\Winnt\System32. Les fichiers suivants sont également injectés dans le même dossier :


FIREDAEMON.EXE (utilitaire d'exécution des programmes sous la forme de services)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)


W32/Muma-B exécute NEWUSER.BAT pour réduire les paramètres de sécurité d'un ordinateur fonctionnant sur Win2K ou XP.


W32/Muma-B utilise IPCSCAN.EXE pour identifier les adresses IP de la victime potentielle. Il se copie ensuite sur l'ordinateur distant et utilise PSEXEC.EXE pour s'exécuter à distance. L'intégralité du processus est aini redémarré.


W32/Muma-B utilise SERVICES.EXE pour se connecter à un serveur IRC préconfiguré afin de permettre via des canaux IRC un accès non autorisé à un ordinateur et de le contrôler.


Pour exécuter SERVICES.EXE au démarrage, W32/Muma-B ajoute dans le registre l'entrée suivante :


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"


où dll.bat est un fichier de commandes qui utilise le fichier HIDDEN32.EXE pour lancer SERVICES.EXE et cacher sa fenêtre d'application.
*** Génération ZX81

Salut Bigsat,

Je ne contestais pas ton analyse. Mon message s'adressait à Lilou afin qu'il sache à quoi correspondait service.exe et ne pas causer des dommages en le supprimant.

Bien à toi

Quand les Boots de Windows commencent a se faire long, (si il y a effectivement un ralentissement dut a des chgt frequent de config ou trucs dans le genre, ca resout pas les problemes dut aux malwares ou autres)
un utilitaire bien pratique a passer est BOOTVIS...
il optimise le demarrage de facon spectaculaire ;)

http://www.clubic.com/telecharger-fiche10598-bootvis.html

Bonsoir Lilou,

Vu le problème, je te propose de poster un log Hijackthis sur le forum virus/securité en y réexpliquant l'origine de ton problème. C'est dans ce forum que les pros de l'analyse Hijackthis se trouvent, ce sera donc préférable.

Tu peux télécharger Hijackthis ici :

http://www.01net.com/telecharger/windows/Securite/anti-spywa­re/fiches/29061.html

Il faut l'installer dans son propre dossier (par exemple c:\hijackthis).

La démo d'utilisation :

http://pageperso.aol.fr/balltrap34/demohijack.htm

Ne fixe aucune ligne avant d'avoir reçu un avis sur le forum.

Bien à toi