Infection avec TROJAN win32 :TratBHO[Trj] sur vista pro..

[pear]

Bonjour Zonk,Lolof1,

 

Copiez collez dans le bloc notes,sans ligne vierge au début,

Enregistrez sous un nom quelconque avec extension.reg, sur le bureau.

Fusionnez (Clic droit sur le fichier .reg)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"I downloaded pirated Software from P2P "=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"cmds"=-

 

Télécharger DiagHelp.zip de Malekal_morte sur le bureau.

http://www.malekal.com/download/DiagHelp.zip

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ouvrez le et double-cliquez sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes, appuyez sur une touche quand on le demande

* Copier/coller le contenu entier du bloc-note qui s'ouvre et le joindre à la prochaine réponse.

Sinon, il est là:C:\resultats.txt

[lolof1]

Bonjour PEAR et merci de m aider dans mon problème , mais comme je suis pas balèze en informatique, je comprends pas trop la moitié de ton post pas la fin avec l install sur le bureau mais le début a

 

"

Copiez collez dans le bloc notes,sans ligne vierge au début,

Enregistrez sous un nom quelconque avec extension.reg, sur le bureau.

Fusionnez (Clic droit sur le fichier .reg)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"I downloaded pirated Software from P2P "=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"cmds"=-.

 

Cest cette partie Pears que je comprends pas a faire ..

 

Tu dois me prendre pour un idiot mais je suis pas trop caler en manip informatique.

 

A+++Pears et merci d avance pour une explication plus par étape plus clair pour mon cerveau de moineau

Modifié le 12 février 2008 par lolof1

[pear]

Bonsoir,

 

Mettez ceci en surbrillance avec clic gauche de la souris

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"I downloaded pirated Software from P2P "=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"cmds"=-

 

de façon à prendre l'ensemble du texte.

 

Quand tout est en rouge tapez Ctrl(la touche) C

 

Ouvrez le blocnotes(demarrer->tous les programmes-<accessoires->bloc notes)

 

faites touche ctrl v pour y coller le texte, sans ligne blanche au début.

 

A gauche , clic sur bureau

 

Quand c'est fait->Fichier->Enregistrer sous->essai.reg(en bas ,tous les fichiers->tapez essai.reg)

 

Allez sur le bureau, vous y trouvez ce fichier essai.reg

 

Clic droit, fusionner

 

A gauche , clic sur bureau

[lolof1]

Merci Pear de passer du temps a résoudre mon problème et double merci pour l explication du copier coller beaucoup plus compréhensible pour moi.

 

Donc j ai bien fait ce que vous m avez dit et je rappele que j ai windows vista professionel, et j ai un peu de mal , car trop habituer a WINDOWS xp, car des répertoires sous vista sont rediriger ailleurs et pour les trouver bah c est très dur dès fois Pear pour moi .

 

Enfin j ai réussi a installer le fichier essai sur le bureau avec l invit de commande qui as suivi sur la base de registre.

 

Bon ensuite j ai telecharger diaghelp sur le bureau et décompresser sur le bureau j ai double cliker comme vous me l avez dit sur diaghelp, et la il me demande de choisir les options , j ai mis 1 comme vous me l avez dit "Pour commencer le scan...

Appuyer sur une touche pour continuer...

 

Et la dans la console noir il saffiche:

 

Accps refusu.

Accps refusu.

 

Accps refusu.

Accps refusu.

Liste les derniers fichiers des repertoires windows...

Accps refusu.

 

DANS le bureau s affiche en meme temps.

 

Un carré blanc nomer LFiles

Erreur d execution "52":

Nom ou numéro de fichier incorrect

avec un onglet en dessous OK

 

Je clic ensuite sur ok :

Qui m affiche un autre carré blanc sur le bureau nomer LFiles

Erreur d execution `75 `:

Erreur dans le chemin d accès

avec un onglet en dessous OK

 

Je clic de nouveau sur OK:

et me ré écris de nouveau erreur 75 qu au dessus

 

Et encore un fois le meme carré je clic encore sur ok et le carre noir du scan disparait et VOILA..

"

JE ne sais plus quoi faire Pear avec vista de plus je n ai pas trouver le fichier "C:\resultats.txt" que vous m avez indiquer??

NI aucun fichier bloc notes a vous envoyer , et je crois bien que mon scan sans etre un savant n as pas réussi du tout sous vista.. ..

 

Voila ou j en suis pear, et a bientot peut etre

Modifié le 13 février 2008 par lolof1

[pear]

Bonjour lolof1,

 

Je ne connais pas du tout Vista, et n'ai pas envie de le connaitre.

Je raisonnerai donc comme si vous etiez sous Xp.

Diaghelp fonctionne normaleùent sous Vista.

 

Vous devez avoir des droits administrateur.

Désactivez les protections avant de relancer Diaghelp.

[lolof1]

Bonjour PEAR , et vous comment allez vous quand je vous embetes pas avec mon vista.

 

Bon comme je vous l ai dit Pear je suis pas une vedette en informatique et j ai les droits d administeurs de mon ordinateur, mais comment fait on ,pour désactiver les protections que vous dites pour pouvoir enfin lancer mon scan avec diaghelp..

 

Merci d avance , si vous me trouvez trop mauvais PEAR, dites le moi car quand on doit etre comme très caler en informatique des boulets comme moi cela doit souler a force ..

 

Bonne journée, et si quelqu un connait vista qu il vienne m aider car la je commencer a prendre la tete a Pear le pauvre..

 

a++++++

[pear]

Bonjour,

 

Cela doit souler a force ..

 

Il est vrai que je préfère un coup de blanc

 

Mais ne vous tracassez pas pour cela.

Désact.iver les protections , c'est décocher la protection en temps réel

Pour antivir par exemple, onfait clic droit sur l'icône, en bas , à droite et on décoche Guard Enable,pour Avg As, on décoche le bouclier résident,

pour le parefeu on le dsactive.

 

Vous êtes alors tout nu sur internet.

Il ne faut pas trainer sous peine de risquer une attaque.

 

Bonne route !

[lolof1]

Moi aussi PEAR je préfères et de loin un coup de blanc sur le cuivre d un bar que de vous prendre la tete comme cela..

 

Bon j ai désactiver la protection résidente d avast+ windows defender + mon pare feu et RIEN n y fais le scan ne se lance pas du tout ...

 

Voila Pear je n y peux rien et vive vista , mon xp était bien plus facile a utiliser ou alors je suis une quiche.

 

a+++Pear

[pear]

Tant pis,on ne va pas s'acharner.

 

lancez un hijackthis et postez le rapport svp.

[lolof1]

Voila PEAR , mon rapport de hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:44:24, on 12/02/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Logitech\Gaming Software\LWEMon.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\GrabClipSave\GrabClipSave.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - K:\PROGRA~2\SPYBOT~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ProfilerU] C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [GCS] "C:\Program Files\GrabClipSave\GrabClipSave.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\ddawx.dll,#1

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\oppqp.dll,c

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://K:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\Windows\runservice.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

 

--

End of file - 8365 bytes

 

a+