Comment ça se fait que le processus se relance toujours ?

Bonjour,

J'avais un processus douteux qui se lance toujours après kill !! Donc je suis allé à son source dans C:\WINDOWS\system32 pour le supprimer mais impossible car il est exécuté, normal mais ...
Et oui, c'est un virus mais je me demande comment il arrive à se relancer, quelle est sa technique pour l'éradiquer.
Avant de me lancer un truc sur le mode sans échec, donnez moi un autre tuyau

[Sbouli]

Salut,

Il existe surement un service qui relance le processus ou alors un second processus qui relance.
Le mieux est d'utiliser processXP pour visualiser tout ça.
Stéphane

[Djug]

peut etre que ce virus utilise deux process(ou plus)
l'un surveille si l'autre est en cours d'execution ou pas ( comme c'est le cas avec le virus .vbs) sinon il le lance de nouveau


peut etre il existe un service qui le relance


donner nous le nom du process

[Jean-Philippe Dubé]

Si tu as un virus sur ton ordinateur, tu devrais essayé de l'éradiquer au lieu de chercher à arrêter le processus. Pour commencer, prend toi un anti virus et lance un scan en mode sans échec. Tu peux aussi prendre avast un anti virus gratuit qui peu scanner avant le démarrage du système d'exploitation.

[cchatelain]

Quel est le nom de ce processus ?

Le nom du processus est efafe.exe, en fait il se situe dans le répertoire C:\Program Files\Uninstall Information mais pas dans C:\WINDOWS\system32
En fait, je ne pense qu'il y a un second processus qui le relance et de plus, l'entrée de démarrage (Run) ne lance que ce efafe.exe

[rlgrand]

Bonjour,

Tu peux aussi voir si ce fichier est vérolé.
Tu vas sur le site de VirusTotal et tu fais analyser ce fichier.

VirusTotal :

Citation:

http://www.virustotal.com/fr/

Salut.

[cchatelain]

Passe un hijackthis et donne nous le rapport et vérifie avec process explorer, tu verras par quel process c'est lancé :
http://www.microsoft.com/technet/sys...sExplorer.mspx

Citation:

Passe un hijackthis et donne nous le rapport et vérifie avec process explorer, tu verras par quel process c'est lancé :
http://www.microsoft.com/technet/sys...sExplorer.mspx

Je crois que cet outil ne permet de connaitre les entrées comme HKLM\..\Run et les processus lancés, il ne permet pas de savoir quel processus a lancé un autre !!

[rlgrand]

Pour info :

Citation:

http://www.f-secure.com/v-descs/worm_w32_autorun.shtml

C'est une histoire de fichier autorun.inf comme le nom du virus l'indique.
Il peut aussi infecter d'autres supports.

Salut.

[cchatelain]

Citation:

Envoyé par bruce-willis

il ne permet pas de savoir quel processus a lancé un autre !!

Tu parais bien sur de toi. Mais puisque tu connais mieux que moi cet outil

Citation:

Mais puisque tu connais mieux que moi cet outil

C'est à partir d'une recherche internet que j'ai su cela !!

[rlgrand]

Bonjour, bruce-Willis

Ca sent l'incompréhension totale avec cchatelain.
A mon avis, il parlait de processkiller, alors que toi ....

Pour Hijackthis, cet outil est plus compliqué qu'il n'y parait.
Il est utilisé dans tous les forums par les helpeurs qui vont aider à désinfecter une machine.

Citation:

Je crois que cet outil ne permet de connaitre les entrées comme HKLM\..\Run et les processus lancés,

C'est vrai, dans un log d'Hijackthis, sont visibles des processus, des éxécutables et des clès.

Mais son analyse permet de déterminer bien souvent le type d'infection et l'outil à utiliser.

Essaie l'outil mais comme il est dit il est préférable de ne pas s'amuser à supprimer des lignes sans conseil.

Salut.

[cchatelain]

Oui, c'est pour ça que je disais juste de publier la log ici. Avec toutes les bonnes volontés présentes on en tirera bien quelques informations intéressantes...

Et un conseil perso bruce-willis : parfois les membres de dvp vont te demander des infos qui ne te paraitront peut être pas essentielles. C'est juste que chacun a ses petites habitudes de travail et ses putils de prédilection. On essaie juste de t'aider en cherchant les infos comme on le ferait sur notre propre machine. Après, libre à toi de faire ou non ce qu'on te propose.