adaware a écrit :
symptome: même pb avec ad-aware qui plante le sytstème "NT AUTORITE initié par services.exe - crash dans 1 minute etc..." après avoir trouvé des modules infectés. un 'shutdown -a' annule l'extinction mais le système (XP SP1) devient instable, les applications s'arrêtent, et il devient impossible d'arrêter ou de redémarrer windows... le boot vioent reste la seule solution.
diagnostic: Après analyse du log de ad-aware, j'ai trouvé une dll qui posait un problème : DVBRFV_5.dll; elle a été injectée dans tout un tas de processus système (services, winlogon, svchost...) et son scan par ad-aware plante ces processus systèmes. cette dll se trouve dans windows/system32 et est accompagnée d'un exécutable (DVBRFV_5.exe) dont le rôle est vraissemblablement d'injecter la dll dans les processus.
remède utilisé: éliminer la dll et l'exe. pour l'exe, je l'ai supprimé à la main sans problème. en revanche, pour la dll, comme elle est utilisée, pas question de la supprimer. J'ai essayé de supprimer tous les processus qui l'utilisaient mais apparemment c'est pas suffisant (process explorer de sysinternals.com). à ce niveau deux propositions:
1- booter sur un autre OS (linux...) et accéder au disque en écriture pour faire sauter la dll. Pas testé sous XP, mais ça marche avec win98 (utilisé pour les trojans auto exécutables ineffaçables)
2- la plus simple: j'ai changé le nom de la dll (F2) ce qui est possible, pour que le système ne la rerouve pas au prochain boot. Je boote, puis cette fois je supprime la dll. Ouf. un nouveau scan d'adaware ne plante plus et élimine les résidus (a.search.biz...)
depuis plus de soucis.
j'aime pas le SMSS et les citations.
|