win32/privacyset.b: Infection ????Résolu/Fermé

Question

Bonjour,
Depuis hier mon poste de travail sur xp sp 2 met beaucoup de temps à s'ouvrir et parfois il plante et je suis obligé d'arreter son processus pour recommencer.
En cherchant j'ai trouvé bizarre qu'un rundll32.exe s'execute en tant qu'application lors de l'ouverture d'une partition ou de la clé usb.
Ce matin mon antivirus (NOD32 v3 version trial) a intercepter la connection suivante et l'a mis en quarantaine:

28/05/2008 07:51:41	Filtre HTTP	fichier	http://62.4.83.200/kb713501.exe?&uid=747C4E262C1C11DD8F6E154755CFFFFF&rid=mm2&guid=9B86F05AC06B40F4AA016E4C42540F79&affid=154755	Win32/PrivacySet.B cheval de troie	connexion arrêtée - mis en quarantaine	Une menace a été détectée lors de l'accès au Web par l'application : C:\Program Files\Internet Download Manager\IDMan.exe.

le bizarre dans tout ça est que cela est arrivé au lendemain d'une réinstallation de windows avec formatage complet du disque dur ( les 2 partitions C et D ).

PS: Cause probable: la réinstallation de mes documents personnels, sauvegardés auparavant dans un clé usb que j'utilise également sur d'autres pc du lieu de mon travil et que j'ai omis d'analyser par mon ex-antivirus ( AVAST).
Dans l'affirmative d'une infection, que me conseillez vous de faire SVP pour la désinfection.
Merci d'avance pour vos réponses.

Utilisateur anonyme · Answer

salut,
ta fait un scan complet ?

puis

fait un rapport hijackthis : 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile" 
tu colleras le fichier texte ici ;). 

PS : Ne fermes pas le programme

zayadi · Answer

rebonjour.
Merci Dorgane d'avoir pris en main mon problème.
Pour l'execution du scan complet c'est oui.
fichiers mis en quarantaine par l'antivirus:

- C:\DOCUME~1\Ahmed\LOCALS~1\Tempemovalfile.bat	Win32/Adware.Virtumonde application	nettoyé par suppression - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un nouveau fichier créé par l'application : C:\DOCUME~1\Ahmed\LOCALS~1\Temp\IXP000.TMP\file.exe.

Rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:11:14, on 28/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Program Files\WSTARTUP\Clavier\Clavier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WSTARTUP\TaskKiller\TaskKiller.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.fluo.com/?m=XP_Coccinelle
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [b86abc02] rundll32.exe "C:\WINDOWS\system32\qmbwjbmh.dll",b
O4 - HKLM\..\Run: [BMbb598f9e] Rundll32.exe "C:\WINDOWS\system32	ihlhrle.dll",s
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - Global Startup: Clavier.lnk = C:\Program Files\WSTARTUP\Clavier\Clavier.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: IcoSauve.lnk = C:\Program Files\WSTARTUP\IcoSauve\IcoSauve.exe
O4 - Global Startup: TaskKiller.lnk = C:\Program Files\WSTARTUP\TaskKiller\TaskKiller.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4A5BF25-D0F2-4ECC-A54F-61787A61BC6E}: NameServer = 212.217.1.17 212.217.0.3
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Utilisateur anonyme · Answer

ok,
je sais pas si tu peu lancer hijackthis la mais fix checked :
O4 - HKLM\..\Run: [b86abc02] rundll32.exe "C:\WINDOWS\system32\qmbwjbmh.dll",b
O4 - HKLM\..\Run: [BMbb598f9e] Rundll32.exe "C:\WINDOWS\system32	ihlhrle.dll",s


puis :


Télécharge 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 
sur ton Bureau et lance le. 

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée. 

Copie et colle les ligne ci-dessous dans l'encadré bleue de OTMoveIt nommé Paste Standard List of Files/Folders to move. 

C:\WINDOWS\system32\qmbwjbmh.dll
C:\WINDOWS\system32	ihlhrle.dll


Clique sur MoveIt! pour lancer la suppression. 
Si OTMoveIt propose de redémarrer ton PC, accepte ! 
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 

Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles

Utilisateur anonyme · Answer

ok mais t'avais pas fixé les lignes ?

O4 - HKLM\..\Run: [b86abc02] rundll32.exe "C:\WINDOWS\system32\qmbwjbmh.dll",b 
O4 - HKLM\..\Run: [BMbb598f9e] Rundll32.exe "C:\WINDOWS\system32	ihlhrle.dll",s 


fait ca :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

et tu mettra le rapport

raziel40 · Answer

bonjour moi aussi j'ai le meme probleme que zayadi. j'ai mon pc qui rame et pourtant j'ai oupost et nod32 mais j'ai la meme alerte de nod 32 et rien de outpost. est-ce normal??

Win32/privacyset.b: Infection ????

5 réponses

Discussions similaires

Newsletters