Rndll.exe

[Marvin7020]

Hello,
Il a quelqus jours j'ai reçu ce message par msn " Foto : images-shack/photo.php @live.be par Msn live messenger
J'ai malheureusement cliquer dessu et depuis msn messenger bloque et se ferme j'ai aussi des message d'erreur du genre "Rndll.exe" qui apparaisent sans cesse
et aussi ma page d'acceuil qui étaient Google.be elle a changer et devenue "Gloob" (de ce genre la) plus moyen de remetre google en page d'acceuil
J'ai fait une recherche avec Avast et il n'a rien trouver
Allors je me suis renseignier sur ce fameux message "Rndll.exe" il s'agirait d'un virus d'apres d'autres forum mais je n'ai pas trouver le moyen de le retirer de mon pc
Existe t'il une solution a ce probleme merci a vous

@+

[guiguir68]

Bonjour!

Je crois que j'ai trouvé une solution vu que j'ai eus EXACTEMENT le même problème!

Il faut aller dans le menu démarrer, exécuter. Une fenêtre s'affiche, il faut marquer à l'intérieur: msconfig. Puis allé dans démarrage, et il suffit de désactiver ce fameux virus: rndll.exe. Et le tour est joué!!

[nardino]

Bonsoir.
Ce la ne supprime pas l'infection.
Télécharge et installe UsbFix de C_XX & Chiquitine29 :
http://pagesperso-orange.fr/NosTools/Ch ... UsbFix.exe

Double clique sur l'icône UsbFix sur le bureau
Clic droit sur l'icône UsbFix sur ton bureau et Exécuter en tant qu'administrateur.
Choisis l’option 1
A la fin du scan, poste le rapport UsbFix.txt qui va s'ouvrir.
Il sera enregistré ici : C:\UsbFix.txt

Remarque.
"Process.exe", un composant de l’outil, est détecté par certains antivirus comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Cet utilitaire pourrait arrêter des logiciels de sécurité d’où l’alerte émise par ces antivirus.


Branche tes clé USB, disque dur externe, etc., susceptibles d’avoir été infectés sans les ouvrir.

Relance USBFix.
Choisis l’option 2 (Suppression)
Ton bureau disparaîtra et le PC redémarrera.
Au redémarrage, laisse-le travailler.
Poste le nouveau rapport UsbFix.txt.

@+

[guiguir68]

C'est bazar parce que moi je n'es plus rien!!
Ce logiciel, il recherche quoi? Des virus?

[bernard53]

Bonjour!

Je crois que j'ai trouvé une solution vu que j'ai eus EXACTEMENT le même problème!

Il faut aller dans le menu démarrer, exécuter. Une fenêtre s'affiche, il faut marquer à l'intérieur: msconfig. Puis allé dans démarrage, et il suffit de désactiver ce fameux virus: rndll.exe. Et le tour est joué!!

Bonjour

Oui c'est bien de le désactivé via "msconfig" mais cela ne le supprimes pas de ton pc.

Il faut que tu es l'adresse de son emplacement pour effectué sa suppression, ou passe l'outil signalé pas nardino.

[theoami]

Bonjour, voici mon premier rapport :
############################## | UsbFix V6.063 |
User : Théo (Administrateurs) # THÉO_FLEURY
Update on 14/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:21:54 | 14/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 457,21 Go (339,33 Go free) [DISQUE 2] # NTFS
D:\ -> Disque fixe local # 8,53 Go (314,52 Mo free) [SYSTEM] # FAT32
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM # 657,56 Mo (0 Mo free) [Studio] # CDFS
J:\ -> Disque amovible # 1,89 Go (1,75 Go free) [R4 THÉO] # FAT32
K:\ -> Disque amovible # 983,72 Mo (325,97 Mo free) [CLÉ THÉO] # FAT
############################## | Processus actifs |
D:\XP\System32\smss.exe 564
D:\XP\system32\csrss.exe 628
D:\XP\system32\winlogon.exe 656
D:\XP\system32\services.exe 700
D:\XP\system32\lsass.exe 712
D:\XP\system32\nvsvc32.exe 884
D:\XP\system32\svchost.exe 912
D:\XP\system32\svchost.exe 960
D:\XP\System32\svchost.exe 1056
D:\XP\system32\svchost.exe 1120
D:\XP\system32\svchost.exe 1256
D:\XP\system32\spoolsv.exe 1456
D:\Program Files\Avira\AntiVir Desktop\sched.exe 1496
D:\Program Files\Avira\AntiVir Desktop\avguard.exe 1516
D:\XP\system32\svchost.exe 1608
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1732
D:\Program Files\Bonjour\mDNSResponder.exe 1744
D:\XP\system32\svchost.exe 1772
D:\Program Files\Windows Live\Family Safety\fsssvc.exe 1808
D:\XP\system32\svchost.exe 1944
D:\XP\System32\alg.exe 108
D:\XP\Explorer.EXE 2040
D:\XP\system32\rundll32.exe 1048
D:\Program Files\Java\jre1.5.0\bin\jusched.exe 1092
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1588
D:\XP\system32\RUNDLL32.EXE 2060
D:\XP\RTHDCPL.EXE 2080
D:\Program Files\Windows Live\Family Safety\fsui.exe 2268
D:\XP\System32\svchost.exe 2628
C:\iTunes\iTunesHelper.exe 2656
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 2696
D:\Program Files\Unlocker\UnlockerAssistant.exe 2732
D:\Program Files\Windows Live\Messenger\msnmsgr.exe 2744
D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe 2772
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2780
D:\XP\system32\ctfmon.exe 2824
C:\DISQUE DUR EXTERNE\NDSRom PLAYER\NDSROM Player.exe 2904
D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe 3016
D:\Program Files\Micro Application\LauncherMA.exe 3028
D:\Program Files\iPod\bin\iPodService.exe 3492
D:\Program Files\Windows Live\Contacts\wlcomm.exe 3636
D:\XP\system32\wuauclt.exe 2128
C:\iTunes\iTunes.exe 1372
D:\Program Files\Internet Explorer\iexplore.exe 2356
D:\Program Files\Internet Explorer\iexplore.exe 2912
D:\Program Files\Internet Explorer\iexplore.exe 3728
D:\Program Files\Internet Explorer\iexplore.exe 3604
D:\Program Files\Internet Explorer\iexplore.exe 2260
D:\XP\system32\wbem\wmiprvse.exe 3300
################## | Fichiers # Dossiers infectieux |
I:\autorun.inf
I:\welcome.exe
K:\driver\usb
################## | Registre # Clés infectieuses |
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Firevall Administrating"
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{acdd06b0-b0d5-11de-ad27-806d6172696f}
Shell\AutoRun\command =I:\welcome.exe
################## | Cracks / Keygens / Serials |
"C:\Program Files\Hollywood FX for Studio\5.5\HfxSerial.exe"
09/11/2004 14:47 |Size 73728 |Crc32 0df87449 |Md5 81b2bb26ea7f741c2f5908c36057a5b7
################## | ! Fin du rapport # UsbFix V6.063 ! |

Dans msconfig il me di que rndll.exe se trouve ici : [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
et on le retrouve dans le rapport juste au dessus ??

[theoami]

RE : VOICI le 2e rapport :

############################## | UsbFix V6.063 |
User : Théo (Administrateurs) # THÉO_FLEURY
Update on 14/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:31:22 | 14/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 457,21 Go (339,33 Go free) [DISQUE 2] # NTFS
D:\ -> Disque fixe local # 8,53 Go (304 Mo free) [SYSTEM] # FAT32
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM # 657,56 Mo (0 Mo free) [Studio] # CDFS
J:\ -> Disque amovible # 1,89 Go (1,75 Go free) [R4 THÉO] # FAT32
############################## | Processus actifs |
D:\XP\System32\smss.exe 564
D:\XP\system32\csrss.exe 628
D:\XP\system32\winlogon.exe 652
D:\XP\system32\services.exe 696
D:\XP\system32\lsass.exe 708
D:\XP\system32\nvsvc32.exe 868
D:\XP\system32\svchost.exe 908
D:\XP\system32\svchost.exe 956
D:\XP\System32\svchost.exe 1052
D:\XP\system32\svchost.exe 1112
D:\XP\system32\svchost.exe 1208
D:\XP\system32\logonui.exe 1248
D:\XP\system32\spoolsv.exe 1448
D:\Program Files\Avira\AntiVir Desktop\sched.exe 1488
D:\Program Files\Avira\AntiVir Desktop\avguard.exe 1508
D:\XP\system32\svchost.exe 1588
D:\XP\Explorer.EXE 1896
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1996
D:\Program Files\Bonjour\mDNSResponder.exe 2008
D:\XP\system32\svchost.exe 2036
D:\Program Files\Windows Live\Family Safety\fsssvc.exe 144
D:\XP\system32\svchost.exe 296
D:\XP\system32\wuauclt.exe 1000
D:\XP\System32\alg.exe 1776
D:\XP\system32\wbem\wmiprvse.exe 2308
D:\XP\system32\rundll32.exe 2392
################## | Fichiers # Dossiers infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1417001333-688789844-839522115-1005
Supprimé ! C:\Recycler\S-1-5-21-1454471165-1202660629-854245398-1005
Non supprimé ! C:\Recycler\S-1-5-21-1606980848-1979792683-725345543-1005
Non supprimé ! I:\autorun.inf
Non supprimé ! I:\welcome.exe
################## | Registre # Clés infectieuses |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Firevall Administrating"
################## | Registre # Mountpoints2 |
################## | Listing des fichiers présent |
[19/11/2009 17:42|--a------|1120587776] C:\a.avi
[04/10/2009 10:18|--a------|0] C:\AUTOEXEC.BAT
[14/12/2009 19:19|---hs----|224] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[04/10/2009 10:18|--a------|0] C:\CONFIG.SYS
[07/11/2007 08:00|--a------|17734] C:\eula.1028.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1031.txt
[07/11/2007 08:00|--a------|10134] C:\eula.1033.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1036.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1040.txt
[07/11/2007 08:00|--a------|118] C:\eula.1041.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1042.txt
[07/11/2007 08:00|--a------|17734] C:\eula.2052.txt
[07/11/2007 08:00|--a------|17734] C:\eula.3082.txt
[07/11/2007 08:00|--a------|1110] C:\globdata.ini
[07/11/2007 08:03|--a------|562688] C:\install.exe
[07/11/2007 08:00|--a------|843] C:\install.ini
[07/11/2007 08:03|--a------|76304] C:\install.res.1028.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.1031.dll
[07/11/2007 08:03|--a------|91152] C:\install.res.1033.dll
[07/11/2007 08:03|--a------|97296] C:\install.res.1036.dll
[07/11/2007 08:03|--a------|95248] C:\install.res.1040.dll
[07/11/2007 08:03|--a------|81424] C:\install.res.1041.dll
[07/11/2007 08:03|--a------|79888] C:\install.res.1042.dll
[07/11/2007 08:03|--a------|75792] C:\install.res.2052.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.3082.dll
[04/10/2009 10:18|-rahs----|0] C:\IO.SYS
[04/10/2009 10:18|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[07/10/2009 17:01|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[19/11/2009 17:42|--ahs----|21504] C:\Thumbs.db
[07/11/2007 08:00|--a------|5686] C:\vcredist.bmp
[07/11/2007 08:09|--a------|1442522] C:\VC_RED.cab
[07/11/2007 08:12|--a------|232960] C:\VC_RED.MSI
[29/03/2002 13:58|--a------|396509] D:\Picture1.jpg
[29/03/2002 13:59|--a------|382843] D:\Picture2.jpg
[14/12/2009 19:32|--a------|4510] D:\UsbFix.txt
[15/06/2001 10:22|-r-------|51] I:\AUTORUN.INF
[28/07/2004 12:38|-r-------|444392] I:\DVC90.EXE
[21/06/2004 09:01|-r-------|172719] I:\DVC90.cab
[21/06/2004 09:01|-r-------|12437] I:\DVC90.cat
[07/05/2004 13:00|-r-------|5253] I:\DVC90audio.inf
[30/04/2004 10:31|-r-------|13756] I:\DVC90video.inf
[23/10/2003 10:43|-r-------|621907] I:\DVXUSB.CAB
[04/12/2003 14:10|-r-------|11096] I:\DVXUSB.cat
[23/10/2003 10:43|-r-------|8247] I:\DVXUSBks.inf
[23/10/2003 10:43|-r-------|1627] I:\DVXUSBld.inf
[11/09/2003 14:33|-r-------|52203] I:\Fusion.cab
[11/09/2003 14:33|-r-------|0] I:\Fusion.cat
[23/10/2003 10:43|-r-------|2977] I:\Fusion.inf
[10/01/2002 03:57|-r-------|157307] I:\LINX.CAB
[18/03/2005 16:15|-r-------|8402] I:\Leame.doc
[18/03/2005 16:15|-r-------|8090] I:\Leesmij.doc
[18/03/2005 16:15|-r-------|8811] I:\Leggimi.doc
[18/03/2005 16:15|-r-------|8780] I:\Leiame.doc
[18/03/2005 16:15|-r-------|8450] I:\Liesmich.doc
[13/02/2004 13:30|-r-------|10478] I:\Linx.inf
[24/02/2004 12:04|-r-------|182309] I:\Linx2.cab
[24/02/2004 12:04|-r-------|10149] I:\Linx2.cat
[24/02/2004 12:04|-r-------|41850] I:\Linx2.inf
[18/03/2005 16:15|-r-------|9192] I:\Lisezmoi.doc
[04/12/2003 14:10|-r-------|8098] I:\PCLEBend.cat
[04/12/2003 14:10|-r-------|11776] I:\PCLEBend.inf
[24/02/2004 12:04|-r-------|267060] I:\PCLEMBox.cab
[29/04/2005 09:39|-r-------|56774] I:\PCLEMBox_B.cab
[24/02/2004 12:04|-r-------|8025] I:\PcleMBox.cat
[24/02/2004 12:04|-r-------|13266] I:\PcleMBox.inf
[18/03/2005 16:15|-r-------|6828] I:\ReadMe.doc
[18/03/2005 16:15|-r-------|8073] I:\ReadMeDK.doc
[18/03/2005 16:15|-r-------|28320] I:\ReadMeJP.doc
[18/03/2005 16:15|-r-------|9912] I:\ReadMePL.doc
[18/03/2005 16:15|-r-------|26942] I:\ReadMeRU.doc
[18/03/2005 16:15|-r-------|17585] I:\ReadmeCN.doc
[18/03/2005 16:15|-r-------|10593] I:\ReadmeCZ.doc
[18/03/2005 16:15|-r-------|38371] I:\ReadmeKR.doc
[18/03/2005 16:15|-r-------|18016] I:\ReadmeTW.doc
[12/07/2002 16:07|-r-------|52407] I:\SDVPLUS.CAB
[12/07/2002 16:07|-r-------|5008] I:\SDVPlus.inf
[19/12/2003 11:29|-r-------|69632] I:\Welcome.exe
[25/09/2003 11:19|-r-------|180480] I:\bender.sys
[29/04/2005 09:39|-r-------|1882] I:\dvc120.Inf
[29/04/2005 09:39|-r-------|57271] I:\dvc120.cab
[16/02/2005 14:41|-r-------|8211] I:\dvc120.cat
[29/04/2005 09:39|-r-------|1542] I:\dvc12098.inf
[29/04/2005 09:39|-r-------|1538] I:\dvc120me.inf
[29/04/2005 09:39|-r-------|1778] I:\dvc150b.Inf
[29/04/2005 09:39|-r-------|56854] I:\dvc150b.cab
[16/02/2005 14:41|-r-------|8217] I:\dvc150b.cat
[29/04/2005 09:39|-r-------|1489] I:\dvc150b9.inf
[29/04/2005 09:39|-r-------|1486] I:\dvc150bm.inf
[11/09/2003 14:33|-r-------|846] I:\euiosmsd.inf
[08/11/2002 13:43|-r-------|2] I:\linx.cat
[29/04/2005 09:39|-r-------|1855] I:\pinnmb.Inf
[16/02/2005 14:41|-r-------|8211] I:\pinnmb.cat
[15/02/2005 11:39|-r-------|1549] I:\pinnmb98.inf
[15/02/2005 11:39|-r-------|1546] I:\pinnmbme.inf
[27/02/2002 17:29|-r-------|766] I:\uninst.ico
[19/08/2009 18:30|--a------|134217728] J:\The_Legend_of_Zelda_Spirit_Tracks_EUR.nds
[18/07/2007 15:41|--a------|497728] J:\_DS_MSHL.NDS
[24/04/2008 17:07|--a------|1410048] J:\_DS_MENU.DAT
[12/12/2009 19:13|--a------|4194304] J:\_DS_MENU.SYS
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.
################## | Cracks / Keygens / Serials |
"C:\Program Files\Hollywood FX for Studio\5.5\HfxSerial.exe"
09/11/2004 14:47 |Size 73728 |Crc32 0df87449 |Md5 81b2bb26ea7f741c2f5908c36057a5b7
################## | ! Fin du rapport # UsbFix V6.063 ! |

Mon virus était là : Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] MDR
A pui e t pour verifier qu'il n'ait vraiment plus là je suis aller dans msconfig -> démarrer et g regarder si y avais encore rndll.exe

[nardino]

Bonsoir.

Double-clique sur RSIT.exe afin de lancer l'outil, il ne nécessite pas d'installation.
Clique Continue à l'écran Disclaimer si tu acceptes les conditions.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et accepte la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt, celui qui va s'ouvrir et ferme info.txt qui est réduit dans la Barre des Tâches.

NB :
Ces rapports sont enregistrés dans le dossier C:\rsit
Sous Vista/Sept, il faut lancer le fichier en cliquant droit dessus et par Exécuter en tant qu'administrateur.

@+