Virus nettoyé mais rundll au démarrage

Virus nettoyé mais rundll au démarrage - Virus/Spywares - Windows & Software

Marsh Posté le 24-07-2011 à 10:22:22    

Bonjour à tous;
 
Je viens vers vous car j'ai un petit soucis suite à la suppression d'un virus sur mon ordi XP:
 
Un peu d'histoire:
Il y a quelques jour, j'ai été victime d'une attaque par un virus : un exécutable dans les dossier temp + une dll bidon dans le system32.
Je m'en aperçois, je redémarre en mode sans échec, supprime les fichiers, supprime les entrées de démarrage via msconfig, je redémarre.
Je lance un scan antivirus : aucune menace détecté...l'ordi est propre...
 
Le seul soucis, c'est qu'au démarrage, lors de l'apparition du message "BIENVENUE", le PC "attend"...cela dure 1 petite minute, mais ça m'énerve et surtout j'aimerai comprendre...J'ai remarqué que j'avais un process rundll qui tournait. Dès que je le tue, pof, Windows se débloque et charge le bureau comme avant...Je crois comprendre que le virus a fait en sorte d'exécuter la dll pourrie à chaque démarrage...et là, il cherche la dll qui est absente.
 
Mais comment faire pour que rundll ne se lance pas et ne tente pas d'enregistrer cette dll???
 
Si vous pouviez m'éclairer, merci par avance!

Reply

Marsh Posté le 24-07-2011 à 10:22:22   

Reply

Marsh Posté le 24-07-2011 à 10:52:48    

Bonjour,
théoriquement il faut nettoyer à fond avec des outils spécifiques.

Reply

Marsh Posté le 24-07-2011 à 11:21:04    

Tu penses à quoi comme outils spécifiques? un Antivirus en particulier? autre???
En effet secondaire, lorsque je ne tue pas le process rundll au démarrage, j'ai l'impression que le comportement de chrome change : lorsque je lance une recherche et que je clique sur un résultat, cela me conduit sur un site à la con qui n'a rien à voir avec le résultat.
Je n'ai pas le même comportement lorsque je tue le rundll au démarrage...
J'ai déjà scanné via trend micro, spybot, DR Web...rien, système propre.

 

Edit : je désinstalle google chrome et le PC démarre normalement même si le rundll reste présent...

 

Je réinstalle google chrome, de nouveau en attente au démarrage, puis même comportement concernant les résultats de recherche qui aboutissent sur des sites bidons...


Message édité par aerobie1 le 24-07-2011 à 11:30:57
Reply

Marsh Posté le 25-07-2011 à 08:54:03    

Téléchargez Ad remover et lancez-le.
http://www.commentcamarche.net/dow [...] ad-remover

Reply

Marsh Posté le 28-07-2011 à 09:43:32    

Merci, je tente ça dès ce soir!

Reply

Marsh Posté le 29-07-2011 à 18:05:56    

Bon, j'ai tenté le coup avec Ad-remover...il ne trouve rien donc, toujours le même comportement :
 
-> temps d'attente au démarrage sur l'écran "bienvenue"...a cette étape, si je tue le process rundll32, le PC a un comportement normal par la suite.
-> Si je ne tue pas le process, ou que je le tue plus tard, j'ai des redirections foireuses dans chrome...
J'arrive pas à savoir qu'elle est cette merdouille...pas envie de formater :)
 
Merci pour votre aide!

Reply

Marsh Posté le 29-07-2011 à 18:15:38    

Pour Adremover il faut lancer "nettoyer" pas "scanner"  
 
Maintenant essayez COMBOFIX :
http://www.bleepingcomputer.com/co [...] r-combofix


Message édité par chermositto le 29-07-2011 à 18:16:38
Reply

Marsh Posté le 01-08-2011 à 20:14:19    

Alors, je viens de lancer combofix et là: il me trouve deux dll/exe.
Les deux sont connus : l'un est un dll de daemon tools, l'autre le programme de désinstallation de mes pilotes ATI...mais :
ça marche : le lancement de mon ordinateur est de nouveau normal...
Il semblerait que le virus ait infecté daemon tools!!!
Je tente de réinstaller daemon tools, de faire tourner un peu chrome et je vous tiendrai informé des résultats...mais ça semble bien parti.

 

En tous cas, merci chermositto :jap:

 

edit : Après réinstallation de daemon tools et quelques heures de surf, tout à l'air nickel !
Problème résolu donc!

 

Merci !


Message édité par aerobie1 le 02-08-2011 à 18:35:46
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed