Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] rundll32.exe corrompu

Arfing

Par Arfing
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Arfing :P

 

Quelques remarques :

 

-ton rapport hijackthis ne montre pas d'infections.

-Je vois un programme pas très aimésur les forums de sécurité car souvent lié à des spywares :Flashget

préfère lui Free Download Manager:

http://www.freedownloadmanager.org/download.htm

des infos dessus => http://www.clubic.com/telecharger-fiche128...ad-manager.html

 

-est ce que tu connais ces adresses : 193.212.9.3 et 193.212.14.4 ? elles mènent à un journal (si j'ai bien lû!) du côté...d'Oslo :P =>

inetnum: 193.212.8.0 - 193.212.15.255

netname: NO-DAGBLADET-NET

descr: Dagbladet

descr: Oslo

country: NO

tu es bien chez Neuf Télécom pourtant?

 

Par contre j'ai vu qu'il restait les traces de quelques programmes, tels que pestscan et norton ( merde je m'en croyais débarasser, sacré morpion celui la... ), une idée pour m'en débarasser ??

je te rassure, Norton n'est plus là :-P les lignes qui y font référence,(ainsi qu'à PestPatrol) ne sont en fait que des contrôles active x (montrés dans les lignes 016 de ton rapport) qui permettent de faire un scan en ligne!

Et c'est quoi ca: AvSniff.cab, snif ne me dit rien de bon...
un fichier Norton au format cab!

pas d'inquiêtude!

Comme tu le verras, j'ai suivi ton conseil pour spyterminator ^^

:P c'est pas moi qui t'ai conseillé ce logiciel! :-( mais c'est pas grave LOL!

 

Quelques lignes à fixer sur ce rapport=>

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

 

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

 

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

-Ferme tous les programmes et clique sur "Fix Checked"

 

on peux en enlever d'autres!notamment certaines lignes 04(correspondant à des applications qui se lancent inutilement au démarrage!).Si le coeur t'en dit!

 

Je vais aller me coucher! je te laisserai des conseils de sécurité tout à l'heure :P

Arfing Mega Power Member

Arfing

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

bien dormit ? :-(

 

:P c'est pas moi qui t'ai conseillé ce logiciel! icon_biggrin.gif mais c'est pas grave LOL!

En effet, je viens de relire le topic, et il n'y apparait même pas loul... Enfin bref...

 

Free Download Manager installé !!

Je l'aime déjà :P:P

 

 

-est ce que tu connais ces adresses : 193.212.9.3 et 193.212.14.4 ? elles mènent à un journal (si j'ai bien lû!) du côté...d'Oslo :-P =>

Non. Je ne les connais pas. Et en effet, je suis bien connecté sur un accès neuf télécom.

 

J'ai coché les cases indiqués, par conte j'ai pas osé prendre l'initiative de cocher celle concernant l'ip sur oslo...

J'ai suffisament bugé ces derniers temps. Je veux pas prendre le risque de faire une mauvaise manip ^^l

Modifié par Arfing
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

J'ai coché les cases indiqués, par conte j'ai pas osé prendre l'initiative de cocher celle concernant l'ip sur oslo...

ces adresses de serveurs DNS ne servent à rien à mon avis... les deux autres lignes font bien référence à 9 tel, mais celles ci :P

Je pense que tu peux cocher et fixer sans soucis!une sauvegarde des lignes que l'on fixe est faite pour pouvoir revenir en arrière en cas de problème!

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.(nettoyage fichiers inutiles!)=>

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O17 - HKLM\System\CS1\Services\Tcpip\..\{04C84338-BA78-49A1-98D7-D7F65B2FCC9B}: NameServer = 193.212.9.3,193.212.14.4

O17 - HKLM\System\CS2\Services\Tcpip\..\{04C84338-BA78-49A1-98D7-D7F65B2FCC9B}: NameServer = 193.212.9.3,193.212.14.4

-Ferme tous les programmes et clique sur "Fix Checked"

 

Pour restaurer les lignes 017 en cas de soucis(ca m'étonnerait beaucoup!!)=>

 

ouvre hiajckthis=>Clique sur Open Misc Tools Section=>clique sur le bouton "Backups"=>coche les lignes 017 et clique sur "repair"=> au message "restore this item" répond "oui".

 

* Fait un scan en ligne ici et colle le rapport.(pour vérifier que rien ne subsiste)

Panda si tu n'y arrive pas : tutorial

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

si ca ne marche pas=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

@+ tard :P

Arfing Mega Power Member

Arfing

Posté(e)
  • Auteur
Posté(e) (modifié)

Les fichiers temps ont été éffacé, ainsi que les lignes hijack 04 et 017

10s de scan avec panda, et déjà 23 spyware trouvé: spyterminator n'est pas si bien finalement... mise à part le fait que l'anti-spy de panda soit payant... d'ailleurs, 23 spy si vite, ce serait pas jouer aux anti-terroristes ?

 

Rapport de panda:

 

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.as-eu.falkag.net/]

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.hitbox.com/]

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[fl01.ct2.comclick.com/]

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.zedo.com/]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.casalemedia.com/]

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.fastclick.net/]

Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.statcounter.com/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.ehg-idg.hitbox.com/]

Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.tribalfusion.com/]

Spyware:Cookie/BurstBeacon No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[www.burstbeacon.com/]

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.mediaplex.com/]

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\x x\Application Data\Mozilla\Firefox\Profiles\fclghahs.default\cookies.txt[.tradedoubler.com/]

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

 

Que des cookies, chouette !! rien de bien grave donc...?

Modifié par Arfing
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonsoir Arfing,

 

En attendant que charles ingals repasse sur ton topic, fais le scan avec Ewido car ceci n'est pas un cookie!

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

 

Télécharger Ewido Anti-Malware: (version d'essai de 14 jours puis il perd les fonctions de mises à jour automatiques et la surveillance en temps réel mais il reste très efficace)

http://download.ewido.net/ewido-setup.exe IMPORTANT: Pendant l'installation, sur la page "additional options", décocher les cases "install background guard" et "install scan via context".

 

Mettre le logiciel à jour.

 

Redémarrer en mode sans échec.

 

Faire un scan de tout le système.

 

A la fin du scan, sauvegarder le rapport généré et le poster ici avec un nouveau log Hijackthis s'il te plait. (HJT en mode normal).

 

@+ tard.

Modifié par liegeois
Arfing Mega Power Member

Arfing

Posté(e)
  • Auteur
Posté(e) (modifié)

en effet, :P j'avais mal lu le log. je vais peut-être pas tarder à aller me coucher, c'est que je fatigue, je verrais ca demain.

Modifié par Arfing
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Arfing,liégeois :P

 

Ce fichier: actskn45.ocx, appartient au software " ActiveSkin Module" .Il n'est visiblement pas méchant(d'après plusieurs sources) , mais si tu n'utilise pas de programme de chez SoftShape Development; tu peux éliminer le fichier!si tu veux l'éliminer , il faut savoir que le fichier peut être caché: si tu ne le vois pas ,il faut donc faire ceci=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

tu trouveras le fichier actskn45.ocx dans le répertoire suivant :C:\WINDOWS\system32

 

Lance Ewido en mode sans échec comme te l'as demandé liégeois: c'est un bon antitroyans que tu pourras garder par la suite pour scanner ton pc! poste le rapport.

 

avant de lancer le scan, qui va détecter les cookies comme espions potentiels(!), et pour faciliter son travail,élimine les comme ceci stp =>

 

ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies".

 

@+ tard :P

  • Tonton a modifié le titre en [Résolu] rundll32.exe corrompu

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...