Erreur RUNDDL de efhnwknn.ddl

Fermé
Marguerite - Modifié par Marguerite le 16/06/2010 à 09:26
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 16 juin 2010 à 19:15
Bonjour,
Récemment mon ordinateur portable a été victime de plusieurs Chevaux de Troie ainsi que de quelques Trojans lors d'une mauvaise manip' sur le web. Je pense avoir supprimé tout les virus, sans exception. Mais depuis cette petite invasion, une erreur se lance systématiquement au démarrage de mon PC.
J'ai fais une capture d'écran:
https://i67.servimg.com/u/f67/14/87/36/96/sans_t12.png

Pour résoudre ça, je suis allée dans le menu "Démarrage" , "Exécuter...", j'ai entré "msconfig" et dans l'onglet "Démarrage". Je ne trouve pas le fichier "efhnwknn" dans la liste.
Que pourrais-je faire ?
Merci de votre attention.

10 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
16 juin 2010 à 09:41
Bonjour,

Je pense avoir supprimé tout les virus, sans exception
Avec quels outils, de quelle façon ?

Nous allons utiliser cet outil de diagnostic afin d'essayer d'identifier les problèmes.

Télécharge OTL (de OldTimer) sur ton Bureau.

!! Ferme toutes tes applications en cours !!

* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Coche également les cases Recherche LOP et Recherche Purity
* Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
* Clique sur le bouton Analyse, patiente pendant le balayage du système.
* Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)

Ne les poste pas sur le forum, ils seraient trop long !

Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport.

A +
0
Seulement avec AVG. J'ai passé quelques coups de CCleaner également.

Voici les rapports
OTL.Txt : http://www.cijoint.fr/cjlink.php?file=cj201006/cij0PmNaTh.txt
Extras.Txt : http://www.cijoint.fr/cjlink.php?file=cj201006/cijgPtVF2U.txt
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
16 juin 2010 à 10:21
re,

Plusieurs infections, AVG n'a supprimé que partiellement les éléments néfastes.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

*****

Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
* Double clique sur l'icône UsbFix présent sur le bureau pour lancer l'outil
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

A +
0
Malheureusement je n'ai qu'une seule clé USB comme support amovible. La manipulation est toujours possible ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
16 juin 2010 à 10:50
Bien sûr, tu peux continuer.
Une des infections se propage par supports amovibles, si tu en as une, tu la branches, A +
0
Voici le rapport:

############################## | UsbFix 7.010 | [Recherche]

Utilisateur: Mégan Martinez (Administrateur) # MÉGAN [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 10:57:37 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
RAM -> 1014 Mo
C:\ (%systemdrive%) -> Disque fixe # 72 Go (46 Go libre(s) - 64%) [] # NTFS
D:\ -> Disque fixe # 70 Go (70 Go libre(s) - 100%) [] # NTFS
E:\ -> Disque amovible # 31 Go (27 Go libre(s) - 86%) [] # FAT32

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\sshnas21.dll
Présent! C:\DOCUME~1\MGANMA~1\LOCALS~1\Temp\a.dat
Présent! C:\DOCUME~1\MGANMA~1\LOCALS~1\Temp\Gpx.exe
Présent! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Présent! C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
Présent! C:\Recycler\S-1-5-21-130787254-2737400340-3235437270-1005
Présent! C:\Recycler\S-1-5-21-1432328505-203197542-1601955974-1003
Présent! C:\Recycler\S-1-5-21-484763869-1275210071-1644491937-1003
Présent! D:\Recycler\S-1-5-21-130787254-2737400340-3235437270-1005

################## | Registre |

Présent! HKCU\Software\M5T8QL3YW3
Présent! HKCU\Software\Microsoft\Handle
Présent! HKCU\Software\XML
Présent! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\SYSTEM\ControlSet001\Services\SSHNAS
Présent! HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\SYSTEM\ControlSet002\Services\SSHNAS
Présent! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|M5T8QL3YW3

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{06f11358-0dea-11df-a9eb-002454105c95}
Shell\Auto\Command = cmd /C launch.bat
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

HKCU\.\.\.\.\Explorer\MountPoints2\{7905ccfc-f307-11de-a9ad-002454105c95}
Shell\AutoRun\Command = U3ROM/flyhigh.exe
Shell\Explore\Command = U3ROM/flyhigh.exe
Shell\opeN\Command = U3ROM/flyhigh.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
16 juin 2010 à 11:19
Re,

1. UsbFix 2

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

* Relance UsbFix en choisissant maintenant "Suppression"
Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


2. Désinstalle cette barre d'outil douteuse : Messenger_Plus_Live_France Toolbar par Ajout/Suppr de Programmes

3. Relance OTL

* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
PRC - C:\Documents and Settings\Mégan Martinez\Local Settings\Temp\Gpx.exe 
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll ()     
IE - HKCU\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll (Conduit Ltd.)     
O2 - BHO: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll (Conduit Ltd.)     
O3 - HKLM\..\Toolbar: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll (Conduit Ltd.)   
O3 - HKCU\..\Toolbar\WebBrowser: (Messenger Plus Live France Toolbar) - {59994074-C06D-4A75-9768-49E5A8C21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll (Conduit Ltd.)     
O4 - HKLM\..\Run: [skb]  File not found
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\Documents and Settings\Mégan Martinez\Local Settings\Temp\Gpx.exe ()     
O4 - Startup: C:\Documents and Settings\Mégan Martinez\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk = C:\Documents and Settings\Mégan Martinez\Application Data\E444190C90A3ECF19F36FB385ED1EE32\setupupdater0000.exe File not found
O4 - Startup: C:\Documents and Settings\Mégan Martinez\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk = C:\Documents and Settings\Mégan Martinez\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe File not found     
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0) 
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0) 
@Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:4CF61E54
@Alternate Data Stream - 140 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:8173A019
@Alternate Data Stream - 137 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:E36F5B57
@Alternate Data Stream - 132 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:5216CD26
@Alternate Data Stream - 131 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:478FEFC3
@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:4D066AD2
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:B623B5B8

:Files
C:\Program Files\Mozilla Firefox\searchplugins\pucuy.xml 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Messenger_Plus_Live_France     
C:\Documents and Settings\Mégan Martinez\Local Settings\Application Data\prvlcl.dat 
C:\WINDOWS\System32\gstiytptdj.exe 
C:\Documents and Settings\Mégan Martinez\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk     
C:\WINDOWS\System32\sshnas21.dll  
C:\WINDOWS\SetocxDj.set 
C:\WINDOWS\canptr.dll 
C:\WINDOWS\Hntxbin.dll 
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} 
C:\Documents and Settings\Mégan Martinez\Application Data\.# 
C:\Documents and Settings\Mégan Martinez\Application Data\E444190C90A3ECF19F36FB385ED1EE32 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"$NtUninstallMTF1011$" = -   
"$NtUninstallWTF1012$" = -
"gstiytptdj" = -
"Messenger_Plus_Live_France Toolbar" = -    
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"Antimalware Doctor" =-
"Notification de cadeaux MSN" =-

:Commands 
[emptyflash]
[emptytemp]

* Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
* Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

A +
0
Je ne parviens à aucun résultat quand je lance la correction à partir d'OTL. Celui ci ne répond plus. C'est la deuxième tentative que je fais. Dois-je encore attendre même si le logiciel parait bloqué ?

Ah oui, et une dernière chose que j'avais oublié de précise, depuis l'infection de mon PC, Internet Explorer démarre mais ne m'affiche aucune page internet.
Je ne me sers jamais d'IE, mais bon.

Merci ;)
0
Lorsque je lance OTL je n'obtiens aucun résultat car le logiciel ne répond plus. J'ai essayé jusque là deux tentatives. C'est normal ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
16 juin 2010 à 19:15
Ok, lu

1. Poste le rapport de suppression de UsbFix,

2. As tu désinstaller la toolbar ?

3. Pour Internet Explorer :
* Outils > Options Internet > Onglet Connexions
* Rubrique Paramètres de réseau local > Paramètres du réseau
* Décoche la case Utiliser un serveur proxy pour votre réseau local et valide par OK, puis Appliquer

Si besoin, redémarre la session

4. Pour OTL, toutes tes autres fenêtres et applications étaient fermées ? Laisse travailler l'outil, Si OTL ne marche pas passe à la suite.

5. Télécharge MBAM et installe le selon l'emplacement par défaut.
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +
0