Les points de chargements permettent aux logiciels malveillants de se lancer au démarrage de Windows.
Parmi les points de chargement, on trouve les services Windows.
Ces derniers se déclenchent avant la page de choix de l’utilisateur.
Ceci permet donc à un malware de se rendre actif avant le chargement du bureau.

Voici comment supprimer un services Windows liés à un virus.

Comment supprimer un services Windows liés à un virus

Le fonctionnement des services Windows

Avant de commencer, il faut comprendre comment fonctionne les services Windows.
Voici un récapitulatif rapide des services de Windows, la page suivante : Processus et Services Windows

Un service Windows est chargé très tôt au démarrage de Windows et permet de démarrer une application (fichier .exe ou .dll) ou charge un pilote système (fichier .sys).
Un service Windows se compose :

• d’une clé dans le registre qui contient les informations du service : HKEY_LOCAL_MACHINE\SYSTEM\Services\XXXXX où XXXX est le nom du service Windows.
• d’une clé ImagePatch qui charge un exécutable
• d’un état de démarrage par clé Start qui comprend un numéro de 0 à 3.
  • 0 = Boot
  • 1 = System
  • 2 = Démarrage automatique
  • 3 = Manuelle
  • 4 = Désactivé

La console de gestion des services, accessible par services.msc ou depuis le gestionnaire de tâches de Windows, onglet Services.
La console liste les services Windows et leur état (démarré, désactivé, etc).

Ci-dessous, le service Wsearch relatif à l’indexation de fichiers sur Windows qui lance le processus SearchIndexer.exe
La clé du service avec la configuration est donc stockée dans HKEY_LOCAL_MACHINE\SYSTEM\Services\WSearch

Enfin, il reste le cas des services Windows géré par svchost.exe, qui fonctionnent en groupe de services, ces derniers seront abordés à la fin de cette page.

Détection des services Windows malveillants

Les applications démarrées en service Windows sont visibles depuis le gestionnaire de tâches de Windows.
Néanmoins, personnellement, je trouve l’affichage assez fouillis.
Il est beaucoup plus facile de traquer les services Windows avec Process Explorer, surtout quand on commence à connaître ceux par défaut dans Windows.
Cela permet de trouver facilement un service malveillant.

FRST peut aussi pas mal aider, vous pouvez lire la page suivante pour une désinfection manuelle : Désinfection manuelle de Windows (Trojan, Adwares etc) par FRST

Par exemple, ci-dessous, nous avons 4 services malveillants.

• Le premier se fait passer pour Yahoo avec un nom bidon saiyitechnology
• Le second tente de se faire passer pour un service Windows avec un nom du type WinService qui n’existe pas par défaut. On constate qu’il pointe dans un dossier %APPDATA%, ce qui est totalement anormal pour un service système.
• Les deux derniers ont des noms aléatoires, ce qui éveille les soupçons.

Dans le cas d’un doute sur un fichier, on peut le soumettre à VirusTotal.
De manière générale, vous pouvez lire l’article suivant qui explique comment vérifier manuellement si l’ordinateur est infecté : Comment vérifier si ordinateur a été hacké ou piraté ?

Supprimer un service Windows malveillant

En général, il suffit de suffit de supprimer la clé du registre relatif au services puis de redémarrer Windows afin que ce dernier ne soit plus charger.
Le problème est que certains malwares protègent la clé de la suppression, soit via des permissions sur celle-ci, soit à travers des hook sur les fonctions de suppression.
Notamment des exemples de suppression difficile sur ces deux pages : Pilotes “bsdriver.sys” & “cherimoya.sys” : abengine et  Supprimer les rootkits sur Windows

Pour supprimer un service Windows malveillant, il suffit donc d’ouvrir l’éditeur du registre Windows regedit.exe
On déroule alors la clé HKEY_LOCAL_MACHINE\SYSTEM\Services pour trouver ensuite le service qui nous intéresse.

Ci-dessous, les deux services avec les noms aléatoires.
En supprimant la clé puis en redémarrant Windows, le malware ne sera plus actif.

Les virus via un service svchost.exe

Les services de type svchost.exe sont un peu différent dans le fonctionnement.
La clé ImagePatch du service pointe vers le processus système svchost.exe avec un paramètre -k qui correspond au groupe de service.
Ci-dessous, il s’agit du groupe de service WinDefend

Une sous clé Parametres contient une valeur ServiceDLL qui contient le chemin du programme, ici donc, XService.DLL

On retrouve le service dans la console de gestion des services Windows.

La difficulté ici est la détection de ces services, car des services svchost.exe, il y en a beaucoup… et surtout, le gestionnaire de tâches ne donne pas le chemin de la DLL lié à ce groupe de service.
Ainsi dans le gestionnaire de tâches, onglet Service, une colonne groupe existe et sur Process Explorer, les svchost.exe sont listés.
En laissant la souris dessus, on a le groupe à travers le paramètre -k

L’onglet Processus du gestionnaire de tâches de Windows 10 donne les groupes de services.
Mais à aucun moment, vous n’avez le XService.DLL qui est donné.
De ce fait, ces malwares sont plus insidieux, il faut connaître les groupes de services pour trouver un malveillant.
FRST peut dans ces cas là être vraiment utile.

Vous trouverez un exemple d’un malware via un groupe de service svchost.exe sur la page : svchost.exe forte utilisation CPU et Trojan

Liens autour des malwares et services Windows

Quelques liens autour des services et processus Windows :

• Processus et Services Windows
• Le processus svchost.exe

et autour des désinfection et détection de malwares :

• Comment vérifier si ordinateur a été hacké ou piraté ?
• Désinfection manuelle de Windows (Trojan, Adwares etc) par FRST