Se connecter / S'enregistrer
Votre question

Infection persistante run32dll.exe

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Mars 2010 01:08:58

Bonjour,

Après une soirée de travail, impossible de me débarrasser de ce virus !
Ma mère a récupéré, probablement via une clé USB infectée, un virus qui modifie le fichier rundll32.exe sur Windows XP. Le fichier est dans C:\Windows\System32\

Les symptômes sont étranges. Au démarrage tout va bien. Ensuite je lance Internet Explorer, tout va bien. C'est lors de la première fermeture de Internet Explorer ( :heink: ) que le processus rundll32.exe se lance et pompe 700Mo de RAM -soit la quasi totalité de la RAM du mini-PC Samsung- ce qui cause un ralentissement insupportable.

J'ai fait une recherche dans le registre et j'ai viré de très nombreuses entrées qui contenaient rundll32.exe. Avast et Spybot ne trouvent rien.
J'ai téléchargé une version saine de run32dll.exe. Je peux sans problème écraser la version infectée ce qui règle le problème.

Malheureusement au redémarrage du PC le fichier run32dll.exe infecté revient à sa place habituelle dans System32... Impossible de garder mon fichier sain en place (bien évidemment le mettre en lecture seule n'a aucun effet). J'ai testé la manip avec I386 et la ligne de commande DOS, aucun effet.

Mes questions sont donc les suivantes :
- Avez vous une idée de quel programme pourrait bien ordonner la génération de ce fichier infecté à chaque démarrage ? Comment désactiver cette saloperie ?

- Sachant que le virus se transmet manifestement par clé USB, comment l'éradiquer totalement pour pouvoir réutiliser en sécurité des clé USB sur ce PC ?



Merci d'avance
Charles

Autres pages sur : infection persistante run32dll exe

19 Mars 2010 08:51:30

Salut,


Citation :
J'ai fait une recherche dans le registre et j'ai viré de très nombreuses entrées qui contenaient rundll32.exe



faut faire gaffe avec le bidouillage de la BDR ! .... :p 



On va s'occuper de cela .... fait ce qui suit pour avoir un diagnostique précis du PC :



1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

  • Lance ZHPDiag depuis le raccourci du bureau .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ( ceci peut-être relativement long ... )

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    ====================


    2- Lance de nouveau ZHPDiag ,

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


    Laisse travailler l'outil et ne touche à rien ...


  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    > Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS