soucis msn

Bonjour à tous,

Ce soir j'ai reçu d'un contact un message avec un lien, et comme je ne fais jamais attention je clique et j'execute le fichier...depuis ralentissement du PC, connexion internet qui foire, enfin bref =)

Le fichier se présenter tout comme pour franduleux (faux lien imageshack, etc...), donc je suis sûr à 85% que ce n'est pas pour faire du bien à mon PC

Donc je dépose mon log HiJackthis =)

Merci d'avance pour votre aide.

(Spybot me detecte virtumonde sans réussir à le supprimer)

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:00, on 16/06/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\acersv.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ETQWmin.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\aMSN\bin\wish.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Users\Administrateur\Desktop\MSNFix\incl\swreg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {EF3A8D43-1631-4BB2-9502-CDDD095485B7} - C:\Windows\system32\hgGWomkj.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Windows Acer Service ] acersv.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ssqRLCtU.dll,#1
O4 - HKLM\..\Run: [b88bb276] rundll32.exe "C:\Windows\system32\tkgvwdcb.dll",b
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: ETQWmin.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

--
End of file - 8597 bytes

Bonjour Taz,

en mode sans echec, coche et fixe :

O2 - BHO: (no name) - {EF3A8D43-1631-4BB2-9502-CDDD095485B7} - C:\Windows\system32\hgGWomkj.dll

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ssqRLCtU.dll,#1

O4 - HKLM\..\Run: [b88bb276] rundll32.exe "C:\Windows\system32\tkgvwdcb.dll",b

Si tu ne connais pas "ETQWmin"

O4 - Startup: ETQWmin.exe

Effectue ensuite un scan avec MalwareByte que tu aura téléchargé, installé et mis à jour en mode "normal" au préalable.

De même pour Spyware Terminator.

De retour en mode normal, utilise LSPfix. Il te faudra refaire ton adressage IP fixe si c'est ta configuration actuelle.

@ suivre

Très amHicalement

Bonjour,

Merci de ta réponse.

J'ai bien supprimé en mode sans échec les lignes de HiJackThis, et fais les scans après installation en mode "normal".

Spyware Terminator ne trouve aucun élément, à l'inverse de MalwareByte qui me trouve des éléments infectés (voici la liste des problèmes, la plupart viennent de Trojan.Vundo)

Trojan.Vundo
Malaware.Trace
backdoor.bot
Hijack.StartMenu

Voici le rappport:

Citation :

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 863

09:43:10 17/06/2008
mbam-log-6-17-2008 (09-43-10).txt

Type de recherche: Examen rapide
éléments examinés: 35655
Temps écoulé: 4 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\vtUlLDUo.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\{7041761c-97aa-474a-b8f4-6fa3ead36bd0} (Trojan.Vundo) -> Quarantined and deleted

successfully.
HKEY_CLASSES_ROOT\CLSID\{7041761c-97aa-474a-b8f4-6fa3ead36bd0} (Trojan.Vundo) -> Delete on

reboot.
HKEY_CLASSES_ROOT\CLSID\{ac519e4e-edf0-48c7-8ada-2a4a5b1c81c9} (Trojan.Vundo) ->

Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted

successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted

successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a

c519e4e-edf0-48c7-8ada-2a4a5b1c81c9} (Trojan.Vundo) -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Acer Service

(Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages

(Trojan.Vundo) -> Data: c:\windows\system32\vtullduo -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

(Trojan.Vundo) -> Data: c:\windows\system32\vtullduo -> Quarantined and deleted

successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMy

Docs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\enwjpbdr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\rdbpjwne.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\vcjdefbu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ubfedjcv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\vtUlLDUo.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\oUDLlUtv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\oUDLlUtv.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\wnfuweam.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\maewufnw.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Administrateur\AppData\Local\Temp\tmp00008e55 (Trojan.Vundo) -> Quarantined and

deleted successfully.
C:\Users\Administrateur\AppData\Local\Temp\tmp00020594 (Trojan.Vundo) -> Quarantined and

deleted successfully.
C:\Users\Administrateur\AppData\Local\Temp\tmp0012d73e (Trojan.Vundo) -> Quarantined and

deleted successfully.
C:\Windows\System32\ljJAPFUn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\nnnnOgdB.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\sSmlJyYR.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\urqnoNhF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\urqpOffg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\wVpnMgfC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\acersv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Après un lancement de LSPfix il m'affiche "no problem found".

Tout semble être régler mais lorsque je navigue sur internet, windows m'affiche:

"l'explorateur windows à cessé de fonctionner"........."l'explorateur windows redémarre"

(j'ai dû écrire ce message sur un bloc note puis faire un copier coller, firefox plante avec le redémarrage de l'explorateur)
C'est peut-être dû à la suppression de malwareByte des fichiers présent dans System32 :s

Merci de ton aide ;-)

Très amicalement,

Taz

Re,

J'ai pu lire sur internet que le problème d'explorer qui redémarre était dû à java, même après désinstallation il me le fait toujours autant...(et des fois sans prévenir !)

Cordialement

Taz

PS: un problème en amène un autre.

bonjour
il faudrait un nouveau rapport hijack this après avoir fait ceci




Télécharge ComboFix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel officiel de ComboFix, afin de l’utiliser
correctement

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Désactive ton antivirus, antispyware, et
Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le
réactiveras ensuite, en fin de désinfection.

Voir ici comment désactiver tes protections

http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Double clique sur ComboFix.exe (ComboFix)

Tape 1 puis tape sur Entrée

A noter: une fois que ComboFix est lancé, il ne faut pas
cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du
programme.

Il est recommandé de laisser l'outil analyser et nettoyer le
PC sans utiliser quoi que ce soit d'autre...

A la fin de l’analyse, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse

Si le rapport n'apparaît pas, tu le trouves ici, à la
racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Bonjour,

Je te remercie de ta réponse

voici mon rapport de combofix:

http://taz6700.free.fr/temp/combofix.htm

Puis mon rapport de HiJackThis:

http://taz6700.free.fr/temp/logfile.htm

Amicalement,

Taz

connais tu ceci
ShellManager310E2D762.dll
WoW serveur privé
ETQWmin.exe
C:\Windows\DUMP4f1a.tmp
si tu ne les connais pas, je te conseille de les faire examiner sur virus total

http://www.virustotal.com/
fais ceci

Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.

Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):

Citation :

Folder::
C:\VundoFix Backups
File::
C:\Windows\system32\vtUlLDUo.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1014AC54-8F2E-48D5-8173-693DD2165BFD}]

Copie le texte sélectionné (CTRL+C).

Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)



Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe :
C:\ComboFix.txt (C:\ComboFix)

Bonsoir,

Pour les fichiers il n'y a pas de virus ou autre:

ShellManager310E2D762.dll (=nécessaire à nero 8 )
WoW serveur privé (=jeu installé)
ETQWmin.exe (=utilitaire pour réduire instantanément un jeu)
C:\Windows\DUMP4f1a.tmp (=inconnu mais ne présente pas de danger ==>virustotal)

J'ai fait la manipulation et voici le nouveau rapport:

http://taz6700.free.fr/temp/combofix02.htm

Merci de ton aide et bonne fin de soirée,

Cordialement

Taz

une autre question, ton antivirus c'est quoi? je n'en vois pas...
si tu n'en as pas installe en vite un! je te conseille antivir léger et très fiable




télécharge
Antivir

http://www.pcastuces.com/logitheque/antivir.htm
scanne ton PC an mode sans échec avec antivir mis à jour et poste le rapportà demain!