Virus en reseau meme avec DEEPFREEZ [Résolu]

Salut,

Donc, si je comprends, tu as un PC source et 10 PC en wifi.
Les 11 PC sont en mode administrateurs?

Car si c'est cette configuration, tu vas devoir désinfecter les 11 PC.
As tu un HijackThis du PC source et d'un PC en wifi au hasard?

A+

Bonjour Regis,
Je vous remercie pour votre réponse, pour mon souçi je pense que c'est reglé. aprés une opération géante de nettoyage sur le Pc source (Sans deep Freez) avec (CCleaner / Nod32 / Malware killer / Et un scan ActiveScan de panda / Verification d'msconfig ) j'ai constaté que le pc de réceptino est revenu a la norme en terme de processus en cours et consommation de mémoire.
Pour les 10 autres PC, j'ai découvert que a chaque démarrage de l'un d'eux, il choppais le virus immédiatement depuis le pc de réception. aujourd'hui depuis le début et aprés l'opération d'hier, aucun des PC na les processus inconnus comme avant. je suppose que c'est OK mnt. Saud 2 choses qui me perturbent, Un message d'erreur (Generic Host process for win32) qui se met sur l'ecran des pc de temps en temps et un truc de rundll32.exe qui se met en marche sans qu'aucune fenetre windows ou boite de dialogue ne soit open. et ce meme rundll32.exe qui se block lorsque j'eteint l'ordi et me demande d'attendre ou terminer maintenant.

Merci

Salut

Pour le PC ou il y a ce message, je peux avoir un HijackThis?

A+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:52, on 03/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\YouTube Downloader\YouTubeDownloader.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maroc4.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=24931
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8372E45-6E10-4D68-A5AD-878A525884CA}: NameServer = 192.168.1.254,212.217.1.1
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Re,

Je trouve tes protections particulièrement légères mais bon, quoi qu'il en soit, tu te dois de mettre tous tes logiciels bien à jour:
Internet Explorer v6.00 << Installe la 7.
Java, adobe, flash player doivent être également bien à jour.

A+

Ces protections sont faibles puisque je suis du genre qui utilise le net d'une façon assez surveillée. pour les autres machines, je né aucune protection puisque le truc de DeepFreez tehoriquement reformate les pc a chaque reboot.
La question de mise a jour, vous pensez que ça peut etre la raison de faiblesse ??
J'hesite de passer vers les nouvelles version de IE et JAVA surtout aprés des tests que j'ai effectué (consommation de mémoire).
Si non pour le Rundll32.exe qui s'execute en double ou triple et se plante lors de l'arret!! que pensez vous ?

Merci

Même si vous surveillez les surfes, rien n'empêchera l'infection comme il se doit. Les failles vous ne les connaitrais pas forcément....

pour les autres machines, je né aucune protection puisque le truc de DeepFreez tehoriquement reformate les pc a chaque reboot. 

Oui ou une image Ghost...

La question de mise a jour, vous pensez que ça peut etre la raison de faiblesse ??
J'hesite de passer vers les nouvelles version de IE et JAVA surtout aprés des tests que j'ai effectué (consommation de mémoire). 

Quoi qu'il en soit, des logiciels non mis à jours sont sources d'infections. Pour plus d'informations, voir:
http://forum.malekal.com/viewtopic.php?f=33&t=13629

Le processus rundll32.exe est par définition, (rundll32 signifiant Run a DLL as a 32-bit application) est un processus générique de Windows NT/2000/XP servant à charger les librairies dynamiques (DLLs) en mémoire afin de les rendre utilisables par d'autres programmes. Voir quelles .dll est incriminé permettrait de trouver une issue à ce problème.
Quoi qu'il en soit, fixe ceci dans HijackThis:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

A+

Re,
Merci pour votre aimabilité, et le temps que vous consacré pour répondre a mes messages,
pour le rundll32.exe je savais que c'est un fichier dynamique propre a windows permettant l'execution des applications programmés sous plateforme windows, mais comment vous expliquez que depuis que j'ai eu ces blems, ce fichier rundll32.exe se lance sans aucune raison en 2 ou 3 et meme parfois10 processus sur les machines equipées de Deep Freez et meme aprés le reboot du PC ?? et quand j'essaie d'eteindre, il me lance le message (Rundll32.exe ne répond pas )

Merci

Re,

C'est peut être du aux infections qui étaient au préalable présentes.
Rundll32.exe est utilisé dans certains cas d'infections.

As tu essayer tout de même un nettoyage du registre ?

A+

Oui, je précise que ce problem de rundll32.exe est apparu directement suite a une réinstallation propre de windows XP !!! et il persiste sur l'ensemble des machines reseau, celles equipées de deep freez

L'origine est donc peut etre deep freeze...
A voir si sans cela, les problèmes sont toujours présents !?

Resalut,

Hier en fouillant dans les processus et les elements de démarrage, j'ai trouvé un service qui est bizzare et qui s'appel DFFServ (Presk un truc de deep freez).
Chose qui ma poussé a tout refaire , j'ai crée une image propre sur un ordi utilisant Pc Clonneur, contenant les applications de base avec notamment le Service pack 3 de XP et les dernieres version de Java et Flash et Foxit a la place de Acrobat reader,
Je vien de terminer l'application de l'image sur les 10 machines de mon réseau et puis une nouvelle version de Deep Freez 6 crée a l'usage de la console DeepFreez Entreprise qui permet l'administration de deep freez et sa personalisation.

Pour le moment ça me semble bon, je doi attendre que les clients test les machines a partir de ce soir, et j'espare que j'arais pas encore le rundll32.exe qui block l'arret et qui bouffe le CPU et la RAM.

Je vous tiendré au couran :)

Ok ca marche :-)

C bon , plus de traces des rundll32 ni system.exe ni domino.exe ni les ralentissements ni les casses tete :)
c'etait surement du a la manque des mises a jour (surtout pour Java et flash et Deep freez en lui meme)
merci chef

Ok super alors !

Bonne continuation !