UC 100 % au demarrage

UC 100 % au demarrage - Sécurité - Windows & Software

Marsh Posté le 10-11-2004 à 11:01:53    

Bonjour a tous,
 
Depuis quelques jours  mon uc est a 100 % au demarrage a cause de Rundll.exe et je suis sous Win 2000. je suppose que c un trojan mais le prob c'est que meme spybot , ad aware , panda , norton sont tous mise a jours et me trouve aucun prob, mais ce rundll.Exe est a plus 70 %  
jai pas de pb pour DL et naviguer mais des que je lance une application sur le pc c lenfer.Je viens de me prendre Everquest 2 en plus donc je brule de lintirieur davoir un pc ki rame...  
 
Si kkun a eu ce pb et la resolu qu'il reponde svp.  
 
Merci D'avance ^^

Reply

Marsh Posté le 10-11-2004 à 11:01:53   

Reply

Marsh Posté le 10-11-2004 à 11:54:10    

Hello,
 
T'as 2 antivirus installés ?
Post un log de hijackThis pour voir ce qu'il en est


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 10-11-2004 à 11:59:15    

Merci de ton aide
non jai juste Panda, mais javais testé aussi avec Norton pour voir mais rien n'est détecté, de plus jai fais une recherche sur le pc pour essayer de supprimer ce Rundll.Exe mais il est introuvable sur le Dur. Jai une idée qui me viens, jai un 2eme disk dur connecté en slave, si je le met en master et instal Windows dessus et ke je met lautre en slave je ne risque pas d'avoir mon nouveau Disk Dur infecté par ce Trojan ?

Reply

Marsh Posté le 10-11-2004 à 20:11:32    

Voila comme demandé je viens dinstal Hijack et voici donc le log :
 
Logfile of HijackThis v1.98.2
Scan saved at 20:07:59, on 10/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\SYSTEM32\WinBackup.exe
C:\WINNT\system32\MSTask.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\rundll.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
c:\winnt\system32\FireDaemon.EXE
c:\winnt\system32\WinDown.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Documents and Settings\Nukem1.NUKEM\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 9775140bcf
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab

Reply

Marsh Posté le 10-11-2004 à 20:26:29    

à virer :
 
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svc host.exe    
     
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c4afb91102 a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac 2c9d0346d02ce89775140bcf

 
une evaluation du log est dispo sur www.hijackthis.de

Reply

Marsh Posté le 10-11-2004 à 20:58:14    

Je te remercie pour ton aide, jai viré c deux truc mais jai tjs le rundll.exe ki me pomp tout je comprend pas comment le virer cette merde ...

Reply

Marsh Posté le 10-11-2004 à 21:20:12    

hello,
 
reboot en mode sans echec et vire
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe  
 
et reboot en normal !


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 10-11-2004 à 22:40:08    

Citation :

c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe


 
 :heink:  
 
pourquoi ca ??

Reply

Marsh Posté le 11-11-2004 à 09:22:03    

tu trouve normal comme emplacement toi ? :D

Reply

Marsh Posté le 11-11-2004 à 09:30:11    

darxmurf a écrit :

tu trouve normal comme emplacement toi ? :D

je me suis entendu dire qu'il était normal d'avoir le message "redemarrage dans 60 secondes, faille rpc" quand on flingué l'un de ses process ! :/ j'ai un doute  :heink: mais ce n'est pas le sujet, on sait trés bien que les vers se cache sous des process ou prennet le nom d'un process existant !  [:spamafote]

Reply

Marsh Posté le 11-11-2004 à 09:30:11   

Reply

Marsh Posté le 11-11-2004 à 09:33:03    

C'est vrai que l'emplacement de certains programmes est assez space :D


---------------
Ratures - Cuisine
Reply

Marsh Posté le 11-11-2004 à 09:34:27    

darxmurf a écrit :

hello,
 
reboot en mode sans echec et vire
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe  
 
et reboot en normal !


 
le virus va planter aprés !  :o

Reply

Marsh Posté le 11-11-2004 à 11:45:42    

merci pour toutes vos reponses,
jai donc redémaré en mode sans echec mais impossible de trouver c emplacement la, le svchost.exe est pas visible je sais pas comment virer c deux lignes la...

Reply

Marsh Posté le 11-11-2004 à 12:52:30    

Affiche les fichiers cachés et système.


---------------
Ratures - Cuisine
Reply

Marsh Posté le 11-11-2004 à 13:02:14    

c fais mais sont tjs pas visible c zarb

Reply

Marsh Posté le 11-11-2004 à 13:05:20    

Prems a écrit :

Affiche les fichiers cachés et système.


+1 http://forum.hardware.fr/icones/message/icon14.gif
 
Rundll32.exe est un trojan, faut virer la DLL (genre C:\Windows) et la ligne dans msconfig :).  
 
Fais toujours un AV en ligne, tu m'as l'air bien infecté...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed