RESOLU win32:tratBHO

maxouille · le 7 janvier 2008

Résolu

Bonjour/soir,

Je suis infecté par WIN32:tratBHO.

je suis allé voir le post pour l'éradiquer mais ce que j'ai tenté ne fonctionne pas.

J'ai suivi la procédure de pré-nettoyage du PC avant de faire le log.

Mille merci(s) préalables à votre aide...je n'en peux plus !!

voici le log.

-----------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:08:21, on 07/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Safe mode with network support

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=566...amp;ibd=2070716

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: {ee7e3a95-2dca-483a-53d4-af2deb22e943} - {349e22be-d2fa-4d35-a384-acd259a3e7ee} - C:\Windows\system32\fuxfiusx.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7BFDAFEC-7459-4D7A-B651-F8CE025C45F8} - C:\Windows\system32\wvust.dll

O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\Windows\system32\gebxx.dll (file missing)

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask .exe" -atboottime

O4 - HKLM\..\Run: [starBoardDriver] "C:\Program Files\StarBoard Software\DGBoard.exe"

O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [switcher] C:\Program Files\Switcher\Switcher .exe /quiet

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: QuickSet.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O13 - Gopher Prefix:

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DomainService - - C:\Windows\system32\rtxxapjb.exe

O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common\Database\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Gestion de l'alimentation de l'adaptateur réseau interne Dell (nicconfigsvc) - Dell Inc. - C:\Program Files\Dell\QuickSet\NicConfigSvc.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\SCANTR~1\SYSENF~1.EXE

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--

End of file - 7146 bytes

----------------------------------------------------------------

Modifié le 13 janvier 2008 par maxouille

Gof · le 8 janvier 2008

Bonsoir maxouille

Messages: 1

Bienvenue sur les forums de Zebulon.

Quelques liens pour t'aider à commencer :

je suis allé voir le post pour l'éradiquer mais ce que j'ai tenté ne fonctionne pas.
J'ai suivi la procédure de pré-nettoyage du PC avant de faire le log.

As tu conservé les rapports des outils que tu as essayés ? Quels sont ils ? S'agit-il de la procédure de pré-nettoyage de Zebulon ?

Ton rapport révèle en effet des traces infectieuses. Tu es infecté notamment par une variante d'une infection assez pénible à éradiquer, et l'outil le plus approprié pour la traiter ne fonctionne pas sous Vista. On va essayer autrement, mais nombre d'outils ne fonctionnant pas encore sous Vista et comme j'ai un peu de mal avec ce système que je ne possède pas, on mettra sans doute un peu plus de temps.

Il te faut désactiver l'UAC, il risque de gêner le travail des outils. Réactive le ensuite quand tu auras posté les rapports, en attendant ma réponse.

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

Démarrer > Panneau de Configuration
Double clique sur l'icône Comptes d'utilisateurs
Clique ensuite sur Désactiver et valide.

Télécharge Vfind.exe sur ton bureau.

Copie-colle le dans ton répertoire C:\windows\system32

Télécharge RenV de sUBs sur ton bureau.

Double-clique dessus, l'outil va travailler et générer un rapport, copie-colle le à la suite.

Nota : Il est possible que l'outil ne fonctionne pas sous Vista, en ce cas précise moi les erreurs rencontrées.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

ferme toutes les applications et fenêtres
double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
- tu devras cliquer 2 fois sur le OK des boîtes de dialogue
  Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
- quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
  main.txt <- ouvert en premier plan et en plein écran
  extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)

S'il s'agit d'une utilisation supplémentaire de DSS :

tu n'auras pas de boîte de dialogue (pas de OK)
quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

Je travaille en semaine, et ne suis que tardivement sur le forum le soir. Merci de ta patience. A bientôt.

maxouille · le 8 janvier 2008

Bonsoir gof,

Merci pour ton aide, précieuse.

Je vais répondre point par point à ton post.

Avant ton premier post :

1 – J'ai effectué la procédure de pré-nettoyage de Zebulon, qui comprend :

l'installation d'antivir en lieu et place de avast

la série de manipulation pour afficher les dossiers cachés, etc...

le paramétrage d'antivir

la procédure hijackthis qui fait suite à ces manipulations

2 – Je suis allé faire quelques unes des manips qui concerne l'éradiquation du trojan Vundo , qui semble être mon copain du moment à savoir :

la désactivation de l'UAC

l'utilisation de l'outil virtumundo.exe > ne détecte rien

l'utilisation de l'outil fixvundo.exe > ne détecte rien

l'utilisation de l'outil vundoFix.exe que tu préconnises,.> trouve Rtxxapjb.exe dans system32, mais en cliquant sur remove et en relancant l'ordi le trojan est toujours là. mais je vais quand même resuivre ta procédure, cette fois en mode sans échec

Rien n'y a fait.

Concernant les logiciels et tests que tu me demandes, donc suite à la lecture de ton post :

J'ai copié/collé Vfind.exe dans system32 (tu ne demandes pas de le lancer; présumant que cela coulait de source je l'ai lancé, mais rien ne se passe...je présume donc qu'il n'y avait rien d'autre à faire que de la copier/coller ?)

Concernant RenV.exe, tes craintes sont confirmés. Cela ne fonctionne pas. En dble-ciquant dessus, l'exe se « transforme » en deux nouveaux .exe sur le bureau « sed.exe », qui ne fonctionne pas et « nircmd.exe ». En lancant sed.exe rien ne se passe, concernant nircmd.exe, il m'affiche une fenêtre qui me propose deux options

1- copier dans le répertoire windows >> en cliquant à nouveau sur ce choix une nvelle fenêtre s'affiche m'vaertissant que si je copie l'utilitaire NirCmd dans le répertoir windows, je serai à même d'utilise Nircmd sans spécifier le chemin complet de nircmd.exe : il me propose ensuite de répondre par OUI ou NON. Je présume que je devrai cliquer sur OUIet lancer ensuite cet exe depuis le répertoir windows mais je préfère attendre ta réponse.

2- ou cliquer sur OK, et donc fermer la fenêtre

(la copie écran ne fonctionne pas qui aurait été plus simple ne fonctionne pas, désolé. )

J'ai relancé en mode sans échecVfind.exe. Il trouve plus de de fichiers que la première fois (l'application a été lancé en mode sans échec cette fois-ci).Il me semble même que le trojan à été éliminé car antivir ne le signale plus et le log signale la réussite de suppressions de fichiers malveillants. Voici comme demandé la confirmation écrite de VundoFix.txt, suivi de MAIN.TXT et EXTRA.TXT (j'ai oublié de désactiver le firewall windows...MAIN.TXT a été relancé sans le firewall).

Le post se termine par le rapport HiJackThis, comme demandé, mais il me semble qu'il s'agit du même type de rapport que Main.txt...deux précautions valent mieux qu'une .

Je te remercie chaleureusement pour ton aide et le travail que tu effectues pour tous les malheureux de mon espèce.

A bientôt,

Maxime

PS : Au terme des manipulations, il semblerait que le trojan ait été éradiqué

u

VUNDOFIX.TXT

VundoFix V6.7.7

Checking Java version...

Scan started at 10:14:04 08/01/2008

Listing files found while scanning....

C:\Windows\System32\rtxxapjb.exe

C:\Windows\System32\tsuvw.ini

C:\Windows\System32\tsuvw.ini2

C:\Windows\System32\wvust.dll

Beginning removal...

Attempting to delete C:\Windows\System32\rtxxapjb.exe

C:\Windows\System32\rtxxapjb.exe Has been deleted!

Attempting to delete C:\Windows\System32\tsuvw.ini

C:\Windows\System32\tsuvw.ini Has been deleted!

Attempting to delete C:\Windows\System32\tsuvw.ini2

C:\Windows\System32\tsuvw.ini2 Has been deleted!

Attempting to delete C:\Windows\System32\wvust.dll

C:\Windows\System32\wvust.dll Has been deleted!

Performing Repairs to the registry.

Done!

------------------------------------------------------------------------------------------------------------------------

MAIN.TXT de DDS.EXE

Deckard's System Scanner v20071014.68

Run by max on 2008-01-08 10:41:27

Computer is in Normal Mode.

--------------------------------------------------------------------------------

-- HijackThis (run as max.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:41:28, on 08/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\rundll32.exe

C:\Windows\sttray.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\max\Desktop\dss.exe

C:\PROGRA~1\HIJACK~1\max.exe