Plusieurs processus rundll32.exe - W32.downadup.B [Résolu] - Virus/Spywares - Windows & Software
Marsh Posté le 16-11-2009 à 09:54:45
Bonjour,
J'ai mis le PC seul sur un switch isolé du reste du réseau. Il ne reçoit plus le virus mais le problème des rundll32.exe qui se multiplient est toujours là. Je n'y comprend vraiment rien.
Marsh Posté le 16-11-2009 à 10:58:52
Bonjour,
On va vérifier cela.
Utilise ce logiciel de diagnostic stp (plus perfectionné que HijackThis), ça me permettra de t'aider :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
Je voudrais également que tu fasses ce test s'il te plaît:
• Rend-toi sur cette page
• Tu verras apparaître un tableau en haut de la page avec six images dedans. Dis-moi si toutes les six s'affichent correctement.
Marsh Posté le 16-11-2009 à 15:22:42
Bonjour Adaron
Merci de ta réponse
Voici les rapports
info
http://www.toofiles.com/fr/oip/doc [...] _info.html
log
http://www.toofiles.com/fr/oip/doc [...] 8_log.html
J'ai cliqué sur le lien, les 6 images apparaissent correctement.
Marsh Posté le 16-11-2009 à 17:22:23
Ok, il y a bien quelques infections sur cet ordi.
Citation : J'ai cliqué sur le lien, les 6 images apparaissent correctement. |
-> c'est bon signe
Fais ce scan généraliste très efficace :
• Télécharge et installe Malwarebytes' Anti-Malware
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Rapide" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection (pense aussi à vider la quarantine)
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Marsh Posté le 16-11-2009 à 18:12:31
Il n'a rien trouvé en mode rapide.
Je te mets le lien du rapport http://www.toofiles.com/fr/oip/doc [...] 08-28.html
J'essai en mode complet.
Marsh Posté le 16-11-2009 à 18:28:29
Vu l'heure je vais rentrer chez moi. Je verrais le résultat demain. Merci pour tes conseil et j'éspère à demain.
Marsh Posté le 17-11-2009 à 09:03:44
Bonjour
Le mode complet n'a rien donné non plus. C'est quand même curieux. J'ai regardé le rapport hijackthis quels sont les élements infectés ?
Marsh Posté le 17-11-2009 à 09:42:39
Bonjour,
Ok pour les résultats.
En fait c'est assez étrange.
W32.downadup.B est aussi connu sous le nom Conficker... c'est un ver ravageur qui peur causer énormément de dégâts et qui se propage, entre autres, via le réseau.
Pourtant le test des images qui sert à confirmer la présence de cette infection est négatif (puisque le PC affiche les six images).
Quant au rapport, je soupçonne les tâches plannifiées (dans Scheduled tasks folder) d'avoir été touchées par l'infection.
Il existe une mise à jour Microsoft qui élimine le risque d'être (ré)infecté par Conficker, je te suggère de commencer par l'installer en allant sur cette page.
Dans la liste, sélectionne ton système d'exploitation pour aller sur la page de téléchargement de la mise à jour.
Avant de cliquer sur Download, veille à ce que la langue soit correctement sélectionnée : dans la liste déroulante il y a marqué "Choose your language", sélectionne French et clique sur Change (sinon la mise à jour sera en anglais par défaut).
Ensuite seulement, tu peux te rendre sur l'une des pages de BitDefender et utiliser leur outil de suppression de Conficker : -ici-
Je te suggère de prendre le Network Removal Tool. Toute la démarche à suivre est expliquée en cliquant sur le Tool, étape par étape.
Ensuite, si nécessaire, on utilisera d'autres outils plus puissants.
Marsh Posté le 17-11-2009 à 10:05:32
Merci encore pour tes réponses si bien écrites. C'est vraiment claire et agréable a lire.
Je met le patch et j'essai le removal tool.
Je n'avais pas remarqué les tâches planifiées. Je comprend maintenant pourquoi le rundll32.exe revient sans arrêt. J'ai supprimées toutes les tâches planifiées.
Marsh Posté le 17-11-2009 à 10:24:40
J'ai utilisé le removal tool, il n'a pas trouvé le virus.
No Traces of Downadup Worm were found |
C'est vrai que lorsque le virus arrive sur ma machine l'anti-virus le supprime immédiatement. Les tâches planifiées était apparemment responssable des rundll32.exe qui apparaissaient sans cesse. Je vais attendre un peu je verrais bien si les processus réapparaissent. Pour le downadup, tu penses qu'il ne reviendra plus grâce au patch ?
Marsh Posté le 17-11-2009 à 10:42:01
Ok.
Oui, je le pense.
Conficker arrive à infecter une machine en exploitant une faille de sécurité importante de Microsoft, et le patch est censé corriger la faille en question.
Donc, si possible, installe la mise à jour sur tous les postes, et il ne devrait plus y avoir de risque à ce que Conficker revienne.
Par contre je ne sais pas ce qui est à l'origine des tâches plannifiées qui avaient l'air d'être infectées (pas toutes, seulement quelques unes).
Pour avoir le coeur net et être sûr qu'il ne reste rien, tu peux aussi faire un scan en ligne du PC qui a affiché les alertes, avec BitDefender par exemple comme expliqué dans le tuto sur -ce lien-
Marsh Posté le 17-11-2009 à 11:37:10
Après quelque temps, les processus ne reviennent plus par contre j'ai toujours une alerte de l'anti-virus qui supprime le virus en question. C'est bizzare je me demande par où il passe. J'essai l'analyse panda.
Marsh Posté le 17-11-2009 à 14:07:01
Hum...
Ok, n'hésite pas à poster le rapport une fois le scan terminé
Marsh Posté le 17-11-2009 à 17:43:01
Ouf il a fini le scan. Il a trouvé quelque chose.
http://www.toofiles.com/fr/oip/doc [...] escan.html
J'ai supprimé manuellement les fichiers sucpicieux j'ai laissé les cookies. A mon avis ils ne sont pas méchants.
Sinon des tâches planifiées sont revenues et les processus rundll32.exe aussi. Je commance a désespérer. Je me demande par où çà vient vu qu'on a mis le patch qui comble la faille.
Marsh Posté le 18-11-2009 à 14:18:40
Apparemment maintenant quand je laisse le pare-feu actif je n'ai plus de problème. En revanche le problème revient dès que je le désactive. Je vais essayer de voir par quel port il passe.
Marsh Posté le 19-11-2009 à 09:26:33
Bonjour,
Le scan a surtout trouvé des tracking cookies, mais ils ne sont pas dangereux.
Par contre, est-ce que tu sais à quoi ça correspond ?
=> c:\program files\winaircrackpack\aircrack.exe
Marsh Posté le 23-11-2009 à 17:49:24
Bonjour, je répond un peu en retard.
Le programme c'est un sniffer wifi. Je l'ai supprimé, car de toutes façon mon adaptateur n'était pas supporté.
J'ai mis un sniffer sur le port suspecté (le 135) et j'attend de voir si je suis à nouveau infecté. Pour le moment, çà ne revient pas décidément je n'ai pas de chance.
Marsh Posté le 24-11-2009 à 10:00:44
Salut,
Je te propose de passer deux outils supplémentaires, sachant que Conficker infecte aussi les disques amovibles.
1) UsbFix
/!\ Branche toutes tes sources de données externes à ton PC, (clés USB, disques durs externes, lecteurs Mp3 etc...) susceptibles d'avoir été infectées sans les ouvrir
(Note : UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aidera l'auteur de UsbFix dans ses recherches.)
2) ComboFix
/!\ A l'attention de ceux qui lisent ce sujet /!\
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner le scan /!\
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon ça ne foncitonnera pas)
• Double-clique sur le fichier exécutable présent sur le bureau
• Lance le scan et laisse travailler l'outil jusqu'au bout sans rien faire d'autre.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse stp.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Marsh Posté le 12-12-2009 à 12:04:20
Salut
Merci encore pour tous tes bon conseils. Apparemment mon ordinateur n'était pas infecté, mais le virus venait du réseau. Windows était à jour et il n'y avait pas de faille de sécurité. Afin de déterminer d'où venait le virus j'ai donc utilisé un sniffer.
J’explique ma méthode, çà pourrait intéresser d’autre personne. Tout d’abord le comportement du virus est de s’installer via le réseau et de créer un fichier portant un nom aléatoire dans c:\windows\system32. Ensuite il crée une tâche planifiée pour l’exécuter. Si vous avez un anti-virus, il nettoie bien le fichier infecté, mais il faut supprimer les tâches planifiées afin d’éviter d’avoir des rundll32.exe qui prolifère. Elle porte le nom At1, At2, etc…
1) Identifier le port d’infection.
Pour cela activez le pare-feu Windows et décochez toutes les cases dans l’onglet exception. Puis activez une seule case. J’ai commencé par partage de fichier, modifier et j'ai coché le port TCP 139. Il faut maintenant attendre, c’est long car l’infection n’arrive pas instantanément. Si l'infection n'arrive plus essayer d’ouvrir un autre port. Pour moi j’ai eu de la chance je suis tombé sur le bon port du premier coup. D'un autre coté vu le comportement du virus c'était logique qu'il utilise ce port.
2) Sniffer le port par lequel vient l’infection
Pour cela utilisez Wireshark. Cliquez sur capture -> option dans filtre tapez port 139 (ou le port que vous avez trouvé), entrez un nom de fichier et lancez. Après l’infection arrêter la capture, vous verrez alors quelle machine vous infecte.
J’ai contacté l’administrateur en lui donnant l’adresse IP de la machine, nous avons découvert qu’il s’agissait de l’ordinateur gérant l’accès par badge sur lequel une session administrateur était ouverte. Voila pourquoi, bien que l’ordinateur soit à jour, il se faisait systématiquement infecté. Comme le virus utilisait le profil administrateur réseau il avait le droit d’écrire sur toutes les machines du domaine en utilisant le partage réseau.
Conclusion nous avons nettoyé la machine infecté et utilisé une session utilisateur pour faire tourné l’applicatif gérant les badges.
Merci à Adaron pour son aide et j’espère que ce sujet pourra aider d’autre personne.
Marsh Posté le 14-12-2009 à 16:39:17
Salut
Oui, c'est le risque d'une machine avec des droits d'administrateur...
Note que tu peux utiliser Usb Fix régulièrement pour la désinfection et la vaccination des supports amovibles (clés usb, disques durs externes etc). En général, et surtout en entreprise, ça peut être un "plus" pour la sécurité.
Et merci à toi d'avoir partagé ta solution
Marsh Posté le 12-11-2009 à 15:10:25
Bonjour
J'ai un problème sur le PC que j'utilise au bureau. Depuis quelques temps, lorsqu'il reste allumé un certain temps, le gestionnaire des tâches affiche des processus rundll32.exe. Plus il reste allumé longtemp plus il y a de processus qui apparaissent.
Par ailleur l'anti-virus, Symentec v8.1, signale règulièrement une infection par le virus W32.downadup.B, et ce même lorsque je n'utilise pas l'ordinateur.
Je pense que ces deux problèmes en sont un seul.
Le PC tourne sous Windows XP et il est a jour. J'ai malgré tout appliqué manuellement le patch recommender contre le virus en question, j'ai également activé le pare-feu de windows en interdisant les exceptions mais le virus et les processus reviennent toujours.
J'ai essayé Hijack this, un removal tool spécialement conçu contre ce virus, et d'autre utilitaire de nettoyage que j'ai vu dans certain forum, mais le problème revient. Le pire c'est que presque tout le monde dans l'entreprise à le même problème, çà ressemble donc a un troyen mais comment peut-il passer à travers un pare-feu interdisant les exceptions.
J'ai déjà fait pas mal de recherche mais je n'ai pas réussi à résoudre le problème. Si quelqu'un a une idée merci de vos réponses, je commence à être à cours d'inspiration.
Message édité par viperledesuet le 12-12-2009 à 12:07:09