UC 100 % au demarrage
UC 100 % au demarrage - Sécurité - Windows & Software
Marsh Posté le 10-11-2004 à 11:59:15
Merci de ton aide
non jai juste Panda, mais javais testé aussi avec Norton pour voir mais rien n'est détecté, de plus jai fais une recherche sur le pc pour essayer de supprimer ce Rundll.Exe mais il est introuvable sur le Dur. Jai une idée qui me viens, jai un 2eme disk dur connecté en slave, si je le met en master et instal Windows dessus et ke je met lautre en slave je ne risque pas d'avoir mon nouveau Disk Dur infecté par ce Trojan ?
Marsh Posté le 10-11-2004 à 20:11:32
Voila comme demandé je viens dinstal Hijack et voici donc le log :
Logfile of HijackThis v1.98.2
Scan saved at 20:07:59, on 10/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\SYSTEM32\WinBackup.exe
C:\WINNT\system32\MSTask.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\rundll.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
c:\winnt\system32\FireDaemon.EXE
c:\winnt\system32\WinDown.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Documents and Settings\Nukem1.NUKEM\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 9775140bcf
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
Marsh Posté le 10-11-2004 à 20:26:29
à virer :
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svc host.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c4afb91102 a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac 2c9d0346d02ce89775140bcf
une evaluation du log est dispo sur www.hijackthis.de
Marsh Posté le 10-11-2004 à 20:58:14
Je te remercie pour ton aide, jai viré c deux truc mais jai tjs le rundll.exe ki me pomp tout je comprend pas comment le virer cette merde ...
Marsh Posté le 10-11-2004 à 21:20:12
hello,
reboot en mode sans echec et vire
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
et reboot en normal !
---------------
Des trucs - flickr - Instagram
Marsh Posté le 10-11-2004 à 22:40:08
| Citation : c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe |
pourquoi ca ??
Marsh Posté le 11-11-2004 à 09:30:11
| darxmurf a écrit : tu trouve normal comme emplacement toi ? |
je me suis entendu dire qu'il était normal d'avoir le message "redemarrage dans 60 secondes, faille rpc" quand on flingué l'un de ses process ! 
j'ai un doute mais ce n'est pas le sujet, on sait trés bien que les vers se cache sous des process ou prennet le nom d'un process existant ! ![[:spamafote]](https://forum-images.hardware.fr/images/perso/spamafote.gif "[:spamafote]")
Marsh Posté le 11-11-2004 à 09:34:27
| darxmurf a écrit : hello, |
le virus va planter aprés ! 
Marsh Posté le 11-11-2004 à 11:45:42
merci pour toutes vos reponses,
jai donc redémaré en mode sans echec mais impossible de trouver c emplacement la, le svchost.exe est pas visible je sais pas comment virer c deux lignes la...
Marsh Posté le 11-11-2004 à 13:05:20
| Prems a écrit : Affiche les fichiers cachés et système. |
+1 
Rundll32.exe est un trojan, faut virer la DLL (genre C:\Windows) et la ligne dans msconfig 
.
Fais toujours un AV en ligne, tu m'as l'air bien infecté...
---------------
Got spyware ? | HFR HijackThis Tutorial
Sujets relatifs:
- script demarrage
- changer l'image au démarrage de windows XP
- Démarrage Windows............lent !!
- partition magic 8 et code erreur 100
- demarrage sur session
- probleme demarrage windows xp pro
- j'meré savoir ou trouver un kit de demarrage infonie!!!
- demarrage de winXP 3 min de blocage sur Win est en cours de demarrage
- Ouverture d'une fenetre Windwos au démarrage.
- Démarrage de xp et réparation impossibles
Marsh Posté le 10-11-2004 à 11:01:53
Bonjour a tous,
Depuis quelques jours mon uc est a 100 % au demarrage a cause de Rundll.exe et je suis sous Win 2000. je suppose que c un trojan mais le prob c'est que meme spybot , ad aware , panda , norton sont tous mise a jours et me trouve aucun prob, mais ce rundll.Exe est a plus 70 %
jai pas de pb pour DL et naviguer mais des que je lance une application sur le pc c lenfer.Je viens de me prendre Everquest 2 en plus donc je brule de lintirieur davoir un pc ki rame...
Si kkun a eu ce pb et la resolu qu'il reponde svp.
Merci D'avance ^^