Infection avec TROJAN win32 :TratBHO[Trj] sur vista pro..

lolof1 · le 12 février 2008

Bonjour a tous ..

Je regarde de temps en temps votre site avec des informaticiens super sympa qui aident tellement de monde bénévollement merci encore , mais la j ai franchi le pas pour m inscrire et malheureusement vous embeter avec moi aussi un problème de trojan win 32:TratBHO[Trj] avec mon ordinateur ou est installer Windows vista professionnel.

J ai avast familiale sur mon ordinateur, et c est lui qui as découvert ce trojan mais il n arrives ps a le détruire comme beaucoup de monde vu le nombre de posts sur ce trojan Win32 et antivirus qu est avast..

Je suis pas fort du tout en informatique, c est pour cela que je vous demande si cela est possible de m aider...

J ai bien lu le post de Falkra , sur la facon de poster nos rapports et problèmes.

Voici mon rapport avec Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:17:01, on 12/02/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Logitech\Gaming Software\LWEMon.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\GrabClipSave\GrabClipSave.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - K:\PROGRA~2\SPYBOT~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ProfilerU] C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [GCS] "C:\Program Files\GrabClipSave\GrabClipSave.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\khfcy.dll,#1

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\oppqp.dll,c

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://K:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_09\bin\npjpi142_09.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\Windows\runservice.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--

End of file - 8186 bytes

MERCI d avance a celui ou celle qui pourras et voudras bien m aider ..

Car petit a petit mes exe de programe sous vista marche de moins en moins bien

a+++

Modifié le 12 février 2008 par lolof1

Zonk · le 12 février 2008

Bienvenue sur le forum

Ce que je te recommande est un minimum demandé par l' "Équipe Sécurité" .....et prend le temps de tout lire avant de commencer . Ça te donnera une idée des étapes (facile ) et des procédures à faire .....et en ayant une idée claire ça te sauvera ,peut être ,de possible dédoublements de manipulations .

Suppression des fichiers temporaires

Télécharge ATF Cleaner par Atribune (gratuit)

ATF

Double-clique ATF-Cleaner.exe afin de lancer le programme

Petit programme gratuit ne nécessitant pas d'installation ,sans danger. Parfois avec les ordis moins performants le nettoyage est lourd ,alors y aller deux cases à la fois. (si tes cookies te sont précieux ,exclu les)

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Antivirus Antivir Classic (free)

Le téléchargement est dans le lien du pré-nettoyage...mais ne commence pas tout de suite cette procédure

de pré-nettoyage.....seulement aller chercher le fichier d'installation Antivir et enregistre le sur ton bureau

Antivir avait dernièrement un problème pour les mises à jour sous Vista.....si tu vois que tout se passe bien, ,alors oublie le reste de ce paragraphe......mais si ça niaise ,alors tu devras aller ici une fois Antivir installé :

Message#4.....

http://forum.zebulon.fr/index.php?showtopi...=0#entry1160496

et appliquer cette démarche facile pour permettre a Antivir de se mettre à jour (IMPORTANT)

Téléchargement Antivir et Pré-Nettoyage

Avant d'installer Antivir,désactive ton antivirus durant tout le temps de ces procédures (c'est rare que des conflits majeurs surviennent mais comme exemple ,Antivir et Kaspersky ne font pas bon ménage ...surtout lors d'un redémarrage.

http://forum.zebulon.fr/index.php?showtopi...p;#entry1154506

Tutoriel Antivir

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector" (ces fonctions sont souvent oubliées par les gens).....

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection" )

Aide en image message #184

Aide en image message #113

Enlève les cd ou dvd qui peuvent être dans les lecteurs car ils seront analysés inutilement lors de vérifications

Avast

Selon les infos retrouvées ici ,Avast perd des plumes...malheureusement car foncièrement c'est un bon produit .Donc à toi d'y voir pour ce qui est du destin de celui-ci. (quand tu verras Antivir à l'action tu comprendras )

http://forum.zebulon.fr/index.php?showtopic=123053

http://forum.zebulon.fr/index.php?showtopic=127217

Demeure que l'un de ces deux antivirus doit obligatoirement disparaitre.

Si Avast et Antivir cohabite quelques instants, pense à désactiver Avast avant d'installer Antivir et garde Avast déactivé tant et aussi longtemps que Antivir sera présent.

Si Antivir t'intéresse:

Suppression d'Avast ?

-Désactiver Avast

-Terminer les processus Avast (certains parfois refusent d'être "terminer"...rien de bien grave et tu poursuis la démarche malgré tout

en allant émarrer /Exécuter et tapez taskmgr (onglet processus)

AshDisp.exe
Asmaisv.exe
ashserv.exe
ashwebsv.exe
aawservice.exe
aswupdsv.exe

tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...

Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Avast antivirus

.......en cas de problème lors de la désinstallation

Outil de désinstallation Avast

Antispyware

Va au message #4 et télécharge Ewido

Fait un point de restauration avant d'aller plus loin........

c'est un puissant antispyware qui ne nécessite pas d'installation :-? il ne fait que s'exécuter avec brio....avant de supprimer les items ,amène la liste s'il te plait

http://forum.zebulon.fr/index.php?showtopic=138415&st=0

Le Pré-Nettoyage de Megataupe

Pré-Nettoyage

Imprime le texte car en mode sans échec tu ne pourra avoir accès au net (tu auras les infos pour y aller dans le lien du pré-nettoyage). Parfois démarrer/fermer est plus long en mode sans échec...soit patient. L'affichage sera altéré...c'est normal....ca reviendra normal suite à un redémarrage ....le redémarrage suivant retournera ton ordi en mode normal

Mode sans échec Vista

Prend la solution 1 :

http://www.forum-vista.net/astuces_vista/d...a290.htm#astuce

Profite du mode sans échec pour passer tout tes logiciels de nettoyage en ce mode (Ewido ,Spybot et cie)...

On parle de supprimer Antivir suite à ce nettoyage ,alors prenant pour acquis qu'il est ton antivirus ,tu oublies la suppression de celui-ci ......

Si parfois tu gardes Avast ,alors désactive Avast durant le pré-nettoyage et durant tout le temps ou Antivir est activé (si tu désires malgré tout garder Avast ,alors tu devras obligatoirement supprimer Antivir...tu auras la procédure dans le lien du pré-nettoyage).

Souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tous tes rapports et ensuite l'Équipe Sécurité te guidera pour parfaire le travail....ou te confirmer que tout est sain

Vérification des logiciels non sécuritaires

Quand tu auras quelques minutes:

Secunia Software Inspector

Ce test ne nécessite aucune installation de logiciel mais tu devras avoir préalablement Java de SunSystem

Va à "Start Now"
Tu devras accepter l'analyse (sans obligation de cocher la petite case "Toujours faire confiance au contenu....." ) et ensuite tu fais "Exécuter"

Ensuite tu dois aller à "Start"
active la petite case à :

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

....et suit les recommandations....

@+

Modifié le 12 février 2008 par Zonk

lolof1 · le 12 février 2008

MERCI Zonk de m avoir répondu aussi rapidement..

J ai bien lu tout tes conseils et surtout le nettoyage de mes fichiers temporaires mais ton lien d exe marche seulement pour xp alors que j ai vista, mais je nettoie assez souvent mes fichiers temporaires manuellement, mais bon ton logiciel s il existe pour vista doit etre 1000 fois mieux..

BOn pour ce qui est du nettoyage de megataupe je l ai déja fais sur un autre site Zonk ou la procédure est identique.

Donc j ai déja installer antivir et scanner mes 5 disques durs il y as peu et c est vrai qu il m en as découvert des trojans et pleins de vilaines choses( 159 bébètes ).

J ai enlever tout facilement avec anti vir , mais aucunne trace de mon fameux trojan WIN32 Trat BHO ..

ALORS je me suis dit bon tout est bien nettoyer , et comme je joue beaucoup en simulation automobile sur le net antivir me bloquait trop souvent l accès a des serveurs sur rfactor .

Donc j ai désinstaller antivir et remis avast familiale, et pendant 2 jours tous marchait bien et rebelotte le WIN 32 réaparait..

Voila c est pour cela Zonk , bien qu ayant fait tout comme as indiquer megataupe , mon win 32 est toujours la le BOUGRASSE. ..

Donc MON RAPPORT avec Hijackthis , est bien un rapport avec déja tout un nettoyage facon megataupe..

Voici de nouveau mon rapport Zonk, et encore désoler de vous embéter sur ce trojan a la noix

Rapport:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:10:29, on 12/02/2008