Bonjour a tous,
 
Depuis quelques jours  mon uc est a 100 % au demarrage a cause de Rundll.exe et je suis sous Win 2000. je suppose que c un trojan mais le prob c'est que meme spybot , ad aware , panda , norton sont tous mise a jours et me trouve aucun prob, mais ce rundll.Exe est a plus 70 %  
jai pas de pb pour DL et naviguer mais des que je lance une application sur le pc c lenfer.Je viens de me prendre Everquest 2 en plus donc je brule de lintirieur davoir un pc ki rame...  
 
Si kkun a eu ce pb et la resolu qu'il reponde svp.  
 
Merci D'avance ^^

Hello,
 
T'as 2 antivirus installés ?
Post un log de hijackThis pour voir ce qu'il en est

Merci de ton aide
non jai juste Panda, mais javais testé aussi avec Norton pour voir mais rien n'est détecté, de plus jai fais une recherche sur le pc pour essayer de supprimer ce Rundll.Exe mais il est introuvable sur le Dur. Jai une idée qui me viens, jai un 2eme disk dur connecté en slave, si je le met en master et instal Windows dessus et ke je met lautre en slave je ne risque pas d'avoir mon nouveau Disk Dur infecté par ce Trojan ?

Voila comme demandé je viens dinstal Hijack et voici donc le log :
 
Logfile of HijackThis v1.98.2
Scan saved at 20:07:59, on 10/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\SYSTEM32\WinBackup.exe
C:\WINNT\system32\MSTask.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\rundll.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
c:\winnt\system32\FireDaemon.EXE
c:\winnt\system32\WinDown.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Documents and Settings\Nukem1.NUKEM\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 9775140bcf
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab

à virer :
 
O4 - HKLM\..\Run: [Admin] C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svc host.exe    
     
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c4afb91102 a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac 2c9d0346d02ce89775140bcf
 
une evaluation du log est dispo sur www.hijackthis.de

Je te remercie pour ton aide, jai viré c deux truc mais jai tjs le rundll.exe ki me pomp tout je comprend pas comment le virer cette merde ...

hello,
 
reboot en mode sans echec et vire
C:\WINNT\SYSTEM32\WinBackup.exe
c:\winnt\system32\microsoft\crypto\mli\dl\etc\svchost.exe
C:\WINNT\System32\drivers\etc\spool\dll\cache\backup\printer\drivers\all\etc\svchost.exe  
 
et reboot en normal !

 
   
 
pourquoi ca ??

tu trouve normal comme emplacement toi ?

je me suis entendu dire qu'il était normal d'avoir le message "redemarrage dans 60 secondes, faille rpc" quand on flingué l'un de ses process ! j'ai un doute   mais ce n'est pas le sujet, on sait trés bien que les vers se cache sous des process ou prennet le nom d'un process existant !  

C'est vrai que l'emplacement de certains programmes est assez space

 
le virus va planter aprés !  

merci pour toutes vos reponses,
jai donc redémaré en mode sans echec mais impossible de trouver c emplacement la, le svchost.exe est pas visible je sais pas comment virer c deux lignes la...

Affiche les fichiers cachés et système.

c fais mais sont tjs pas visible c zarb

+1
 
Rundll32.exe est un trojan, faut virer la DLL (genre C:\Windows) et la ligne dans msconfig .  
 
Fais toujours un AV en ligne, tu m'as l'air bien infecté...