Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
955 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Résolu] Plusieurs processus rundll32.exe - W32.downadup.B

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] Plusieurs processus rundll32.exe - W32.downadup.B

n°2910810
viperledes​uet
Posté le 12-11-2009 à 15:10:25  profilanswer
 

Bonjour
 
J'ai un problème sur le PC que j'utilise au bureau. Depuis quelques temps, lorsqu'il reste allumé un certain temps, le gestionnaire des tâches affiche des processus rundll32.exe. Plus il reste allumé longtemp plus il y a de processus qui apparaissent.
 
Par ailleur l'anti-virus, Symentec v8.1, signale règulièrement une infection par le virus W32.downadup.B, et ce même lorsque je n'utilise pas l'ordinateur.
 
Je pense que ces deux problèmes en sont un seul.
 
Le PC tourne sous Windows XP et il est a jour. J'ai malgré tout appliqué manuellement le patch recommender contre le virus en question, j'ai également activé le pare-feu de windows en interdisant les exceptions mais le virus et les processus reviennent toujours.
 
J'ai essayé Hijack this, un removal tool spécialement conçu contre ce virus, et d'autre utilitaire de nettoyage que j'ai vu dans certain forum, mais le problème revient.  Le pire c'est que presque tout le monde dans l'entreprise à le même problème, çà ressemble donc a un troyen mais comment peut-il passer à travers un pare-feu interdisant les exceptions.
 
J'ai déjà fait pas mal de recherche mais je n'ai pas réussi à résoudre le problème. Si quelqu'un a une idée merci de vos réponses, je commence à être à cours d'inspiration.


Message édité par viperledesuet le 12-12-2009 à 12:07:09
mood
Publicité
Posté le 12-11-2009 à 15:10:25  profilanswer
 

n°2911610
viperledes​uet
Posté le 16-11-2009 à 09:54:45  profilanswer
 

Bonjour,
 
J'ai mis le PC seul sur un switch isolé du reste du réseau. Il ne reçoit plus le virus mais le problème des rundll32.exe qui se multiplient est toujours là. Je n'y comprend vraiment rien.

n°2911631
Adaron
Posté le 16-11-2009 à 10:58:52  profilanswer
 

Bonjour,
 
On va vérifier cela.
 
Utilise ce logiciel de diagnostic stp (plus perfectionné que HijackThis), ça me permettra de t'aider :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
Je voudrais également que tu fasses ce test s'il te plaît:  
 
• Rend-toi sur cette page
• Tu verras apparaître un tableau en haut de la page avec six images dedans. Dis-moi si toutes les six s'affichent correctement.

n°2911727
viperledes​uet
Posté le 16-11-2009 à 15:22:42  profilanswer
 

Bonjour Adaron
 
Merci de ta réponse
 
Voici les rapports
 
info
http://www.toofiles.com/fr/oip/doc [...] _info.html
 
log
http://www.toofiles.com/fr/oip/doc [...] 8_log.html
 
J'ai cliqué sur le lien, les 6 images apparaissent correctement.

n°2911784
Adaron
Posté le 16-11-2009 à 17:22:23  profilanswer
 

Ok, il y a bien quelques infections sur cet ordi.
 

Citation :

J'ai cliqué sur le lien, les 6 images apparaissent correctement.


 
-> c'est bon signe
 
Fais ce scan généraliste très efficace :
 
• Télécharge et installe Malwarebytes' Anti-Malware  
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Rapide" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection (pense aussi à vider la quarantine)
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

n°2911793
viperledes​uet
Posté le 16-11-2009 à 17:56:07  profilanswer
 

Merci j'essai çà tout de suite.

n°2911795
Adaron
Posté le 16-11-2009 à 17:59:17  profilanswer
 

Ok :)

n°2911799
viperledes​uet
Posté le 16-11-2009 à 18:12:31  profilanswer
 

Il n'a rien trouvé en mode rapide.
 
Je te mets le lien du rapport http://www.toofiles.com/fr/oip/doc [...] 08-28.html
 
J'essai en mode complet.

n°2911802
viperledes​uet
Posté le 16-11-2009 à 18:28:29  profilanswer
 

Vu l'heure je vais rentrer chez moi. Je verrais le résultat demain. Merci pour tes conseil et j'éspère à demain.

n°2911886
viperledes​uet
Posté le 17-11-2009 à 09:03:44  profilanswer
 

Bonjour
 
Le mode complet n'a rien donné non plus. C'est quand même curieux. J'ai regardé le rapport hijackthis quels sont les élements infectés ?

mood
Publicité
Posté le 17-11-2009 à 09:03:44  profilanswer
 

n°2911897
Adaron
Posté le 17-11-2009 à 09:42:39  profilanswer
 

Bonjour,
 
Ok pour les résultats.
 
En fait c'est assez étrange.
 
W32.downadup.B est aussi connu sous le nom Conficker... c'est un ver ravageur qui peur causer énormément de dégâts et qui se propage, entre autres, via le réseau.
 
Pourtant le test des images qui sert à confirmer la présence de cette infection est négatif (puisque le PC affiche les six images).
 
Quant au rapport, je soupçonne les tâches plannifiées (dans Scheduled tasks folder) d'avoir été touchées par l'infection.
 
Il existe une mise à jour Microsoft qui élimine le risque d'être (ré)infecté par Conficker, je te suggère de commencer par l'installer en allant sur cette page.
 
Dans la liste, sélectionne ton système d'exploitation pour aller sur la page de téléchargement de la mise à jour.
 
Avant de cliquer sur Download, veille à ce que la langue soit correctement sélectionnée : dans la liste déroulante il y a marqué "Choose your language", sélectionne French et clique sur Change (sinon la mise à jour sera en anglais par défaut).
 
Ensuite seulement, tu peux te rendre sur l'une des pages de BitDefender et utiliser leur outil de suppression de Conficker : -ici-
 
Je te suggère de prendre le Network Removal Tool. Toute la démarche à suivre est expliquée en cliquant sur le Tool, étape par étape.
 
Ensuite, si nécessaire, on utilisera d'autres outils plus puissants.

n°2911904
viperledes​uet
Posté le 17-11-2009 à 10:05:32  profilanswer
 

Merci encore pour tes réponses si bien écrites. C'est vraiment claire et agréable a lire.
 
Je met le patch et j'essai le removal tool.
 
Je n'avais pas remarqué les tâches planifiées. Je comprend maintenant pourquoi le rundll32.exe revient sans arrêt. J'ai supprimées toutes les tâches planifiées.

n°2911910
viperledes​uet
Posté le 17-11-2009 à 10:24:40  profilanswer
 

J'ai utilisé le removal tool, il n'a pas trouvé le virus.
 

No Traces of Downadup Worm were found
--> Your computer is not infected


 
C'est vrai que lorsque le virus arrive sur ma machine l'anti-virus le supprime immédiatement. Les tâches planifiées était apparemment responssable des rundll32.exe qui apparaissaient sans cesse. Je vais attendre un peu je verrais bien si les processus réapparaissent. Pour le downadup, tu penses qu'il ne reviendra plus grâce au patch ?

n°2911923
Adaron
Posté le 17-11-2009 à 10:42:01  profilanswer
 

Ok.
 
Oui, je le pense.
 
Conficker arrive à infecter une machine en exploitant une faille de sécurité importante de Microsoft, et le patch est censé corriger la faille en question.
 
Donc, si possible, installe la mise à jour sur tous les postes, et il ne devrait plus y avoir de risque à ce que Conficker revienne.
 
Par contre je ne sais pas ce qui est à l'origine des tâches plannifiées qui avaient l'air d'être infectées (pas toutes, seulement quelques unes).
 
Pour avoir le coeur net et être sûr qu'il ne reste rien, tu peux aussi faire un scan en ligne du PC qui a affiché les alertes, avec BitDefender par exemple comme expliqué dans le tuto sur -ce lien-


Message édité par Adaron le 17-11-2009 à 10:45:03
n°2911939
viperledes​uet
Posté le 17-11-2009 à 11:37:10  profilanswer
 

Après quelque temps, les processus ne reviennent plus par contre j'ai toujours une alerte de l'anti-virus qui supprime le virus en question. C'est bizzare je me demande par où il passe. J'essai l'analyse panda.

n°2911958
Adaron
Posté le 17-11-2009 à 14:07:01  profilanswer
 

Hum...
 
Ok, n'hésite pas à poster le rapport une fois le scan terminé ;)

n°2911962
viperledes​uet
Posté le 17-11-2009 à 14:13:42  profilanswer
 

Ok, il n'a toujours pas fini 41%

n°2912091
viperledes​uet
Posté le 17-11-2009 à 17:43:01  profilanswer
 

Ouf il a fini le scan. Il a trouvé quelque chose.
 
http://www.toofiles.com/fr/oip/doc [...] escan.html
 
J'ai supprimé manuellement les fichiers sucpicieux j'ai laissé les cookies. A mon avis ils ne sont pas méchants.
 
Sinon des tâches planifiées sont revenues et les processus rundll32.exe aussi. Je commance a désespérer. Je me demande par où çà vient vu qu'on a mis le patch qui comble la faille.

n°2912296
viperledes​uet
Posté le 18-11-2009 à 14:18:40  profilanswer
 

Apparemment maintenant quand je laisse le pare-feu actif je n'ai plus de problème. En revanche le problème revient dès que je le désactive. Je vais essayer de voir par quel port il passe.

n°2912694
Adaron
Posté le 19-11-2009 à 09:26:33  profilanswer
 

Bonjour,
 
Le scan a surtout trouvé des tracking cookies, mais ils ne sont pas dangereux.
 
Par contre, est-ce que tu sais à quoi ça correspond ?
 
=> c:\program files\winaircrackpack\aircrack.exe
 

n°2913656
viperledes​uet
Posté le 23-11-2009 à 17:49:24  profilanswer
 

Bonjour, je répond un peu en retard.
 
Le programme c'est un sniffer wifi. Je l'ai supprimé, car de toutes façon mon adaptateur n'était pas supporté.
 
J'ai mis un sniffer sur le port suspecté (le 135) et j'attend de voir si je suis à nouveau infecté. Pour le moment, çà ne revient pas décidément je n'ai pas de chance.

n°2913771
Adaron
Posté le 24-11-2009 à 10:00:44  profilanswer
 

Salut,
 
Je te propose de passer deux outils supplémentaires, sachant que Conficker infecte aussi les disques amovibles.
 
 
1) UsbFix
 

  • Rends-toi à cette adresse afin de télécharger UsbFix (créé par Chiquitine29 & C_XX) :  



  • Clique sur TÉLÉCHARGER et enregistre-le sur le Bureau.


/!\ Branche toutes tes sources de données externes à ton PC, (clés USB, disques durs externes, lecteurs Mp3 etc...) susceptibles d'avoir été infectées sans les ouvrir
 

  • Double clic sur le raccourci UsbFix présent sur ton bureau
  • Choisi alors directement l'option 2 ( Suppression )
  • Ton bureau va disparaître et le Pc va redémarrer.
  • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil jusqu'au bout.
  • A la fin, le rapport UsbFix.txt (présent dans C:\ ) va apparaître en même temps que le Bureau, poste-le dans ta prochaine réponse s'il te plaît.


(Note : UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php
 
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aidera l'auteur de UsbFix dans ses recherches.)
 
 
 
2) ComboFix
 
/!\ A l'attention de ceux qui lisent ce sujet /!\
 
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner le scan /!\
 
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon ça ne foncitonnera pas)
• Double-clique sur le fichier exécutable présent sur le bureau  
• Lance le scan et laisse travailler l'outil jusqu'au bout sans rien faire d'autre.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse stp.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix


Message édité par Adaron le 24-11-2009 à 10:01:08
n°2917682
viperledes​uet
Posté le 12-12-2009 à 12:04:20  profilanswer
 

Salut
 
Merci encore pour tous tes bon conseils. Apparemment mon ordinateur n'était pas infecté, mais le virus venait du réseau. Windows était à jour et il n'y avait pas de faille de sécurité. Afin de déterminer d'où venait le virus j'ai donc utilisé un sniffer.
 
J’explique ma méthode, çà pourrait intéresser d’autre personne. Tout d’abord le comportement du virus est de s’installer via le réseau et de créer un fichier portant un nom aléatoire dans c:\windows\system32. Ensuite il crée une tâche planifiée pour l’exécuter. Si vous avez un anti-virus, il nettoie bien le fichier infecté, mais il faut supprimer les tâches planifiées afin d’éviter d’avoir des rundll32.exe qui prolifère. Elle porte le nom At1, At2, etc…
 
1) Identifier le port d’infection.
 
 Pour cela activez le pare-feu Windows et décochez toutes les cases dans l’onglet exception. Puis activez une seule case. J’ai commencé par partage de fichier, modifier et j'ai coché le port TCP 139. Il faut maintenant attendre, c’est long car l’infection n’arrive pas instantanément. Si l'infection n'arrive plus essayer d’ouvrir un autre port. Pour moi j’ai eu de la chance je suis tombé sur le bon port du premier coup. D'un autre coté vu le comportement du virus c'était logique qu'il utilise ce port.
 
2) Sniffer le port par lequel vient l’infection
 
Pour cela utilisez Wireshark. Cliquez sur capture -> option dans filtre tapez port 139 (ou le port que vous avez trouvé), entrez un nom de fichier et lancez. Après l’infection arrêter la capture, vous verrez alors quelle machine vous infecte.
 
J’ai contacté l’administrateur en lui donnant l’adresse IP de la machine, nous avons découvert qu’il s’agissait de l’ordinateur gérant l’accès par badge sur lequel une session administrateur était ouverte. Voila pourquoi, bien que l’ordinateur soit à jour, il se faisait systématiquement infecté. Comme le virus utilisait le profil administrateur réseau il avait le droit d’écrire sur toutes les machines du domaine en utilisant le partage réseau.
 
Conclusion nous avons nettoyé la machine infecté et utilisé une session utilisateur pour faire tourné l’applicatif gérant les badges.
 
Merci à Adaron pour son aide et j’espère que ce sujet pourra aider d’autre personne.


Message édité par viperledesuet le 12-12-2009 à 12:04:36
n°2918165
Adaron
Posté le 14-12-2009 à 16:39:17  profilanswer
 

Salut ;)
 
Oui, c'est le risque d'une machine avec des droits d'administrateur...
 
Note que tu peux utiliser Usb Fix régulièrement pour la désinfection et la vaccination des supports amovibles (clés usb, disques durs externes etc). En général, et surtout en entreprise, ça peut être un "plus" pour la sécurité.  
 
Et merci à toi d'avoir partagé ta solution ;)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Résolu] Plusieurs processus rundll32.exe - W32.downadup.B

 

Sujets relatifs
[Résolu] Windows 7 me dit toujours de Avast n'est pas à jours ?[Résolu] changer mon fond d'écran avec édition starter de win 7
[Excel] Superposer plusieurs courbes avec des dates différentes[Résolu] Problème suite à l'installation d'un pilote de 1998
[ Réseau ] Problème réseau virtualbox ( Résolu )[Résolu] Le ralentissement de l'extrême sous Vista
CH Logiciel pour remplacement plusieurs lignes[Résolu] Problème de drivers et de DD avec Win7
[Résolu] Imprimante multifonctions Canon MP520 (7-64bits) [Resolu] Partage imprimante impossible
Plus de sujets relatifs à : [Résolu] Plusieurs processus rundll32.exe - W32.downadup.B


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR