Fichier RUNDLL32 infécté

Résolu
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjours, depuis environ une semaine j'ai un problème qui fait que je lag, c'est à dire que j'ai environ 250 de ping constant et je ne peux donc jouer a aucun jeu.
J'ai aujourd'hui découvert en regardant qu'est ce qui prend la bande passante et j'ai découvert ça : https://gyazo.com/8e2b9cb324c6be7c6273b1eb40abbaa0
Voir Rundll32 en premier ma mit la puce a l'oreille puisque depuis quelque jours aussi j'avais ce message de Malwares bites : https://gyazo.com/768cb75f53affb5ca220b749b7c03433
J'ai donc conclus que mon problème venait de ce fichier (rundll32) qui était infécté par un quelconque virus qui utiliserait la bande passante.
De temps à autres, rundll32 s'enlève des processus qui prènnent de la bande passante et mon ping redevient stable a environ 30 constant.
J'aimerais donc savoir comment supprimer un virus de ce fichier windows qui est rundll32, Merci de l'aide!
A voir également:

5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687
 
Salut,


Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
  • Télécharge le sur ton bureau ou dossier de téléchargement.
  • Lance AdwCleaner, clique sur [Scanner].
  • L'analyse peux durer plusieurs minutes, patiente.
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
  • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.


Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
# AdwCleaner v5.013 - Rapport créé le 18/10/2015 à 15:05:51
# Mis à jour le 09/10/2015 par Xplode
# Base de données : 2015-10-18.3 [Serveur]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
# Nom d'utilisateur : EzZeR - ANTOINE
# Exécuté depuis : C:\Users\EzZeR\Downloads\adwcleaner_5.013.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum
          • [ Services ] *****
          • [ Dossiers ] *****


[-] Dossier Supprimé : C:\ProgramData\Boxore
[-] Dossier Supprimé : C:\ProgramData\Browser
[-] Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\speed browser
[-] Dossier Supprimé : C:\Users\EzZeR\AppData\Local\globalUpdate
[-] Dossier Supprimé : C:\Users\EzZeR\AppData\Roaming\Store
[-] Dossier Supprimé : C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ScreenSnapshotTool
          • [ Fichiers ] *****


[-] Fichier Supprimé : C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage
[-] Fichier Supprimé : C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_st.chatango.com_0.localstorage-journal
          • [ DLLs ] *****
          • [ Raccourcis ] *****
          • [ Tâches planifiées ] *****
          • [ Registre ] *****


[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
[-] Clé Supprimée : HKCU\Software\Classes\CLSID\{9C4EFBD5-1ADF-41E6-BE26-AF44326E30E4}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{351A01B5-849A-ECA5-2760-EE9665E223C3}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{593D67B9-3A50-EBAA-17BE-61A5EC986A22}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
[-] Clé Supprimée : HKU\.DEFAULT\Software\Browser
[-] Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
[-] Clé Supprimée : HKCU\Software\Store
[-] Clé Supprimée : HKCU\Software\WTools
[-] Clé Supprimée : HKCU\Software\Browser
[-] Clé Supprimée : HKLM\SOFTWARE\InstalledBrowserExtensions
[-] Clé Supprimée : HKLM\SOFTWARE\SpeedBrowser
[-] Clé Supprimée : HKLM\SOFTWARE\speed browser
[!] Clé Non Supprimée : [x64] HKCU\Software\InstalledBrowserExtensions
[!] Clé Non Supprimée : [x64] HKCU\Software\Store
[!] Clé Non Supprimée : [x64] HKCU\Software\WTools
[!] Clé Non Supprimée : [x64] HKCU\Software\Browser
[-] Clé Supprimée : [x64] HKLM\SOFTWARE\InstalledBrowserExtensions
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\softwareupdate.exe
[-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée Restaurée : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
[-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
[-] Donnée Restaurée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Search Page]
[-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
[-] Donnée Restaurée : HKU\S-1-5-21-3755941344-3067731129-793023755-1000\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
          • [ Navigateurs ] *****


[-] [C:\Users\EzZeR\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Supprimé : gebbadcnkcgcfgpbmcdleckpejgopimf


:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [4976 octets] ##########
0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà les 3 lien demandés (FRST - ADDITION - SHORTCUT ) :
http://pjjoint.malekal.com/files.php?id=FRST_20151018_o7n11v13u7c5
http://pjjoint.malekal.com/files.php?id=20151018_r10j87l15c15
http://pjjoint.malekal.com/files.php?id=20151018_f11o12y10n12l11
0
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687
 
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


2015-10-08 22:19 - 2015-10-08 22:19 - 00000884 _____ C:\Windows\SysWOW64\${LOGFILE}
2015-10-08 22:18 - 2015-10-18 15:06 - 00000310 _____ C:\Windows\Tasks\jqtkdxoo.job
2015-10-08 22:18 - 2015-10-08 22:18 - 00229376 __RSH C:\Windows\SysWOW64\tcpbidi2.dll
2015-10-08 22:18 - 2015-10-08 22:18 - 00002590 _____ C:\Windows\System32\Tasks\jqtkdxoo
2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-10-08 22:11 - 2015-10-08 22:22 - 00000000 ____D C:\Program Files (x86)\Software
2015-10-08 22:11 - 2015-10-08 22:11 - 00000000 ____D C:\Users\EzZeR\AppData\Local\Software
2015-10-08 22:10 - 2015-10-09 08:14 - 00000000 ____D C:\Program Files (x86)\Windows Loader
2015-10-08 22:03 - 2015-10-08 22:03 - 00000000 ____D C:\Steam
2015-10-08 21:38 - 2015-10-17 23:52 - 00017237 _____ C:\Users\EzZeR\Documents\sgmdr.txt
2015-10-08 21:30 - 2015-10-08 21:30 - 00000000 ____D C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato
2015-10-08 20:48 - 2015-10-08 21:18 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Task: {D51FBEEC-A222-45FD-BDC2-9632F83F1AD4} - System32\Tasks\jqtkdxoo => Rundll32.exe "C:\Windows\SysWOW64\tcpbidi2.dll",EYBRESYE

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur




puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le fichier texte ouvert au démarage :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-10-2015
Exécuté par EzZeR (2015-10-18 15:51:40) Run:1
Exécuté depuis C:\Users\EzZeR\Desktop
Profils chargés: EzZeR (Profils disponibles: EzZeR)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

2015-10-08 22:19 - 2015-10-08 22:19 - 00000884 _____ C:\Windows\SysWOW64\${LOGFILE}
2015-10-08 22:18 - 2015-10-18 15:06 - 00000310 _____ C:\Windows\Tasks\jqtkdxoo.job
2015-10-08 22:18 - 2015-10-08 22:18 - 00229376 __RSH C:\Windows\SysWOW64\tcpbidi2.dll
2015-10-08 22:18 - 2015-10-08 22:18 - 00002590 _____ C:\Windows\System32\Tasks\jqtkdxoo
2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-10-08 22:16 - 2015-10-08 22:16 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-10-08 22:11 - 2015-10-08 22:22 - 00000000 ____D C:\Program Files (x86)\Software
2015-10-08 22:11 - 2015-10-08 22:11 - 00000000 ____D C:\Users\EzZeR\AppData\Local\Software
2015-10-08 22:10 - 2015-10-09 08:14 - 00000000 ____D C:\Program Files (x86)\Windows Loader
2015-10-08 22:03 - 2015-10-08 22:03 - 00000000 ____D C:\Steam
2015-10-08 21:38 - 2015-10-17 23:52 - 00017237 _____ C:\Users\EzZeR\Documents\sgmdr.txt
2015-10-08 21:30 - 2015-10-08 21:30 - 00000000 ____D C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato
2015-10-08 20:48 - 2015-10-08 21:18 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Task: {D51FBEEC-A222-45FD-BDC2-9632F83F1AD4} - System32\Tasks\jqtkdxoo => Rundll32.exe "C:\Windows\SysWOW64\tcpbidi2.dll",EYBRESYE


C:\Windows\SysWOW64\${LOGFILE} => déplacé(es) avec succès
C:\Windows\Tasks\jqtkdxoo.job => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\SysWOW64\tcpbidi2.dll" => Planifié pour déplacement au redémarrage.
C:\Windows\System32\Tasks\jqtkdxoo => déplacé(es) avec succès
C:\Users\Public\Documents\Guid => déplacé(es) avec succès
C:\Users\Public\Documents\Baidu => déplacé(es) avec succès
C:\Program Files (x86)\Software => déplacé(es) avec succès
C:\Users\EzZeR\AppData\Local\Software => déplacé(es) avec succès
C:\Program Files (x86)\Windows Loader => déplacé(es) avec succès
C:\Steam => déplacé(es) avec succès
C:\Users\EzZeR\Documents\sgmdr.txt => déplacé(es) avec succès
C:\Users\EzZeR\AppData\Local\AdvancedChromaConfigurato => déplacé(es) avec succès
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D51FBEEC-A222-45FD-BDC2-9632F83F1AD4}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D51FBEEC-A222-45FD-BDC2-9632F83F1AD4}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\jqtkdxoo => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\jqtkdxoo" => clé supprimé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-10-18 15:53:12)

C:\Windows\SysWOW64\tcpbidi2.dll => a été déplacé(e) avec succès

Fin de Fixlog 15:53:12

Pourquoi m'avoir fait supprimer le dossier steam de mon lecteur :C et pourquoi je ne peux crée de nouveau dossier car il est dit que mon disque est en lecture seule ?
0
Réponse 3 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687
 
ha oui c'est une erreur.
Tu peux le remettre, le dossier a été déplacé dans C:\FRST\Quarantine\C\
(Mon ordinateur => Disque C => FRST => Quarantine)
sur le dossier Steam, clic droit puis couper.
Et sur le disque C, clic droit coller.


Aussi tu dois avoir un fichier C:\FRST\Quarantine\C\Windows\SysWOW64\tcpbidi2.dll

Tu peux l'envoyer sur http://upload.malekal.com ?

0
Réponse 4 / 5
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
Ah oui, merci de l'info.
Pour le fichier tcpbidi2.dll, je ne le trouve pas dans :
C:\FRST\Quarantine\C\Windows\SysWOW64\
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687
 
Tu peux faire une recherche de fichiers dans Quarantine, voir si tu le trouves ?
J'aimerai bien le récupérer pour voir quelle infection est-ce.

Tu as pu remettre Steam ?
0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
Oui j'ai pu remettre steam, je t'envoie les screen des fichier qui sont dans la quarantine windows : https://gyazo.com/fc8abaf2e73b7ba8b0467f09c9e47b07
https://gyazo.com/dffad3582af57919df9a5092d0bfd304
https://gyazo.com/ed6aac93ca0c114fb4b980239b2cb60e
0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
Lequel de ceux là veux-tu que j'envois ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687 > EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
 
celui-ci stp <= https://gyazo.com/dffad3582af57919df9a5092d0bfd304
0
EzZeeR Messages postés 15 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Je voudrais bien mais ça me mets ce message d'erreur : https://gyazo.com/1a49e0b9cf2248be3ef6b1762cfe02ef

En tout cas merci pour ton aide mon problème semble résolu ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 687
 
zip le ou envoie le zip à spamhere-@wanadoo.fr

~~

Change tes mots de passe,



Le reste de la sécurité pour sécuriser ton PC, voir : Comment sécuriser son ordinateur
0