Fichier RUNDLL32 infécté

Résolu
EzZeeR Messages postés 17 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjours, depuis environ une semaine j'ai un problème qui fait que je lag, c'est à dire que j'ai environ 250 de ping constant et je ne peux donc jouer a aucun jeu.
J'ai aujourd'hui découvert en regardant qu'est ce qui prend la bande passante et j'ai découvert ça : https://gyazo.com/8e2b9cb324c6be7c6273b1eb40abbaa0
Voir Rundll32 en premier ma mit la puce a l'oreille puisque depuis quelque jours aussi j'avais ce message de Malwares bites : https://gyazo.com/768cb75f53affb5ca220b749b7c03433
J'ai donc conclus que mon problème venait de ce fichier (rundll32) qui était infécté par un quelconque virus qui utiliserait la bande passante.
De temps à autres, rundll32 s'enlève des processus qui prènnent de la bande passante et mon ping redevient stable a environ 30 constant.
J'aimerais donc savoir comment supprimer un virus de ce fichier windows qui est rundll32, Merci de l'aide!

5 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Commence par ceci :

    Suis le tutorial AdwCleaner( d'Xplode )
    Ce programme permet de supprimer les adwares et programmes parasites :
    • Télécharge le sur ton bureau ou dossier de téléchargement.
    • Lance AdwCleaner, clique sur [Scanner].
    • L'analyse peux durer plusieurs minutes, patiente.
    • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
    • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.


    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Suis le tutoriel FRST.
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
    1. EzZeeR Messages postés 17 Statut Membre
       
      # AdwCleaner v5.013 - Rapport créé le 18/10/2015 à 15:05:51
      # Mis à jour le 09/10/2015 par Xplode
      # Base de données : 2015-10-18.3 [Serveur]
      # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
      # Nom d'utilisateur : EzZeR - ANTOINE
      # Exécuté depuis : C:\Users\EzZeR\Downloads\adwcleaner_5.013.exe
      # Option : Nettoyer
      # Support : https://toolslib.net/forum
              • [ Services ] *****
              • [ Dossiers ] *****


      [-] Dossier Supprimé : C:\ProgramData\Boxore
      [-] Dossier Supprimé : C:\ProgramData\Browser
      [-] Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\speed browser
      [-] Dossier Supprimé : C:\Users\EzZeR\AppData\Local\globalUpdate
      [-] Dossier Supprimé : C:\Users\EzZeR\AppData\Roaming\Store
      [-] Dossier Supprimé : C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ScreenSnapshotTool
              • [ Fichiers ] *****


      [-] Fichier Supprimé : C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage
      [-] Fichier Supprimé : C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage-journal
              • [ DLLs ] *****
              • [ Raccourcis ] *****
              • [ Tâches planifiées ] *****
              • [ Registre ] *****


      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
      [-] Clé Supprimée : HKCU\Software\Classes\CLSID\{9C4EFBD5-1ADF-41E6-BE26-AF44326E30E4}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{351A01B5-849A-ECA5-2760-EE9665E223C3}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{593D67B9-3A50-EBAA-17BE-61A5EC986A22}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
      [-] Clé Supprimée : HKU\.DEFAULT\Software\Browser
      [-] Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
      [-] Clé Supprimée : HKCU\Software\Store
      [-] Clé Supprimée : HKCU\Software\WTools
      [-] Clé Supprimée : HKCU\Software\Browser
      [-] Clé Supprimée : HKLM\SOFTWARE\InstalledBrowserExtensions
      [-] Clé Supprimée : HKLM\SOFTWARE\SpeedBrowser
      [-] Clé Supprimée : HKLM\SOFTWARE\speed browser
      [!] Clé Non Supprimée : [x64] HKCU\Software\InstalledBrowserExtensions
      [!] Clé Non Supprimée : [x64] HKCU\Software\Store
      [!] Clé Non Supprimée : [x64] HKCU\Software\WTools
      [!] Clé Non Supprimée : [x64] HKCU\Software\Browser
      [-] Clé Supprimée : [x64] HKLM\SOFTWARE\InstalledBrowserExtensions
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\softwareupdate.exe
      [-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
      [-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
      [-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
      [-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
      [-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
      [-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
      [-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
      [-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
      [-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Search Page]
      [-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
      [-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
      [-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
              • [ Navigateurs ] *****


      [-] [C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Supprimé : gebbadcnkcgcfgpbmcdleckpejgopimf


      :: Paramètres Winsock réinitialisés

      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [4976 octets] ##########
      0
    2. EzZeeR Messages postés 17 Statut Membre
       
      Voilà les 3 lien demandés (FRST - ADDITION - SHORTCUT ) :
      http://pjjoint.malekal.com/files.php?id=FRST_20151018_o7n11v13u7c5
      http://pjjoint.malekal.com/files.php?id=20151018_r10j87l15c15
      http://pjjoint.malekal.com/files.php?id=20151018_f11o12y10n12l11
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    2015-10-08 22:19 - 2015-10-08 22:19 - 00000884 _____ C:\Windows\SysWOW64\${LOGFILE}
    2015-10-08 22:18 - 2015-10-18 15:06 - 00000310 _____ C:\Windows\Tasks\jqtkdxoo.job
    2015-10-08 22:18 - 2015-10-08 22:18 - 00229376 __RSH C:\Windows\SysWOW64\tcpbidi2.dll
    2015-10-08 22:18 - 2015-10-08 22:18 - 00002590 _____ C:\Windows\System32\Tasks\jqtkdxoo
    2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Guid
    2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Baidu
    2015-10-08 22:11 - 2015-10-08 22:22 - 00000000 ____D C:\Program Files (x86)\Software
    2015-10-08 22:11 - 2015-10-08 22:11 - 00000000 ____D C:\Users\EzZeR\AppData\Local\Software
    2015-10-08 22:10 - 2015-10-09 08:14 - 00000000 ____D C:\Program Files (x86)\Windows Loader
    2015-10-08 22:03 - 2015-10-08 22:03 - 00000000 ____D C:\Steam
    2015-10-08 21:38 - 2015-10-17 23:52 - 00017237 _____ C:\Users\EzZeR\Documents\sgmdr.txt
    2015-10-08 21:30 - 2015-10-08 21:30 - 00000000 ____D C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato
    2015-10-08 20:48 - 2015-10-08 21:18 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
    Task: {D51FBEEC-A222-45FD-BDC2-9632F83F1AD4} - System32\Tasks\jqtkdxoo => Rundll32.exe "C:\Windows\SysWOW64\tcpbidi2.dll",EYBRESYE

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    puis réinitialise tes navigateurs:
    ==================================
    Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

    0
    1. EzZeeR Messages postés 17 Statut Membre
       
      Voici le fichier texte ouvert au démarage :

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-10-2015
      Exécuté par EzZeR (2015-10-18 15:51:40) Run:1
      Exécuté depuis C:\Users\EzZeR\Desktop
      Profils chargés: EzZeR (Profils disponibles: EzZeR)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      2015-10-08 22:19 - 2015-10-08 22:19 - 00000884 _____ C:\Windows\SysWOW64\${LOGFILE}
      2015-10-08 22:18 - 2015-10-18 15:06 - 00000310 _____ C:\Windows\Tasks\jqtkdxoo.job
      2015-10-08 22:18 - 2015-10-08 22:18 - 00229376 __RSH C:\Windows\SysWOW64\tcpbidi2.dll
      2015-10-08 22:18 - 2015-10-08 22:18 - 00002590 _____ C:\Windows\System32\Tasks\jqtkdxoo
      2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Guid
      2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Baidu
      2015-10-08 22:11 - 2015-10-08 22:22 - 00000000 ____D C:\Program Files (x86)\Software
      2015-10-08 22:11 - 2015-10-08 22:11 - 00000000 ____D C:\Users\EzZeR\AppData\Local\Software
      2015-10-08 22:10 - 2015-10-09 08:14 - 00000000 ____D C:\Program Files (x86)\Windows Loader
      2015-10-08 22:03 - 2015-10-08 22:03 - 00000000 ____D C:\Steam
      2015-10-08 21:38 - 2015-10-17 23:52 - 00017237 _____ C:\Users\EzZeR\Documents\sgmdr.txt
      2015-10-08 21:30 - 2015-10-08 21:30 - 00000000 ____D C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato
      2015-10-08 20:48 - 2015-10-08 21:18 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
      Task: {D51FBEEC-A222-45FD-BDC2-9632F83F1AD4} - System32\Tasks\jqtkdxoo => Rundll32.exe "C:\Windows\SysWOW64\tcpbidi2.dll",EYBRESYE


      C:\Windows\SysWOW64\${LOGFILE} => déplacé(es) avec succès
      C:\Windows\Tasks\jqtkdxoo.job => déplacé(es) avec succès
      Impossible de déplacer "C:\Windows\SysWOW64\tcpbidi2.dll" => Planifié pour déplacement au redémarrage.
      C:\Windows\System32\Tasks\jqtkdxoo => déplacé(es) avec succès
      C:\Users\Public\Documents\Guid => déplacé(es) avec succès
      C:\Users\Public\Documents\Baidu => déplacé(es) avec succès
      C:\Program Files (x86)\Software => déplacé(es) avec succès
      C:\Users\EzZeR\AppData\Local\Software => déplacé(es) avec succès
      C:\Program Files (x86)\Windows Loader => déplacé(es) avec succès
      C:\Steam => déplacé(es) avec succès
      C:\Users\EzZeR\Documents\sgmdr.txt => déplacé(es) avec succès
      C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato => déplacé(es) avec succès
      C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D51FBEEC-A222-45FD-BDC2-9632F83F1AD4}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D51FBEEC-A222-45FD-BDC2-9632F83F1AD4}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\jqtkdxoo => non trouvé(e).
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\jqtkdxoo" => clé supprimé(es) avec succès

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-10-18 15:53:12)

      C:\Windows\SysWOW64\tcpbidi2.dll => a été déplacé(e) avec succès

      Fin de Fixlog 15:53:12

      Pourquoi m'avoir fait supprimer le dossier steam de mon lecteur :C et pourquoi je ne peux crée de nouveau dossier car il est dit que mon disque est en lecture seule ?
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ha oui c'est une erreur.
    Tu peux le remettre, le dossier a été déplacé dans C:\FRST\Quarantine\C\
    (Mon ordinateur => Disque C => FRST => Quarantine)
    sur le dossier Steam, clic droit puis couper.
    Et sur le disque C, clic droit coller.

    Aussi tu dois avoir un fichier C:\FRST\Quarantine\C\Windows\SysWOW64\tcpbidi2.dll

    Tu peux l'envoyer sur http://upload.malekal.com ?

    0
  4. EzZeeR Messages postés 17 Statut Membre
     
    Ah oui, merci de l'info.
    Pour le fichier tcpbidi2.dll, je ne le trouve pas dans :
    C:\FRST\Quarantine\C\Windows\SysWOW64\
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux faire une recherche de fichiers dans Quarantine, voir si tu le trouves ?
      J'aimerai bien le récupérer pour voir quelle infection est-ce.

      Tu as pu remettre Steam ?
      0
    2. EzZeeR Messages postés 17 Statut Membre
       
      Lequel de ceux là veux-tu que j'envois ?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > EzZeeR Messages postés 17 Statut Membre
       
      0
    4. EzZeeR Messages postés 17 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Je voudrais bien mais ça me mets ce message d'erreur : https://gyazo.com/1a49e0b9cf2248be3ef6b1762cfe02ef

      En tout cas merci pour ton aide mon problème semble résolu ^^
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    zip le ou envoie le zip à spamhere-@wanadoo.fr

    ~~

    Change tes mots de passe,

    Le reste de la sécurité pour sécuriser ton PC, voir : Comment sécuriser son ordinateur
    0