Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection avec TROJAN win32 :TratBHO[Trj] sur vista pro..

lolof1

Par lolof1
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Télécharger VundoFix.exe (par Atribune) sur leBureau.

http://www.atribune.org/ccount/click.php?id=4

* Double-cliquer VundoFix.exe afin de le lancer

* Cocher "Run VundoFix as a task".

Un message avertira que l'outil va se fermer et s'ouvrir à nouveau : cliquer "Ok"

* Cliquer sur le bouton Scan for Vundo

* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo

* Une invite demandera de supprimer les fichiers, cliquer YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Une invite annonce que le PC va redémarrer; cliquer OK

* Copier/coller le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans la prochaine réponse

 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "cliquer sur le bouton Scan for Vundo".

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Le moins qu'on puisse en dire, c'est que vous n'êtes pas verni!

Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

1) Clic sur le bouton Personnaliser le niveau...

2) Cocher tous les boutons radio Activer ou Demander.

3) Valider puis, relancer Internet Explorer.

4) Accéder de nouveau à l'onglet "Sécurité".

5) Cocher le bouton radio Niveau par défaut...

6) Valider puis, relancer Internet Explorer.

 

Essayez ceci:

 

* Télécharger OTMoveIt (de Old_Timer) sur leBureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Double-cliquer sur OTMoveIt.exe pour le lancer.

*Vérifier que Unregister Dll's and Ocx's soit coché.

* Copier-coller dans le cadre de gauche de OTMoveIt :

Paste List of Files/Folders to be moved

c:\windows\system32\command & conquer 3 tiberium wars.exe

c:\users\lolof1\appdata\local\temp\oppqp.dll

C:\Windows\system32\jkkjgff.dll

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\I downloaded pirated Software from P2P\\ C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\I downloaded pirated Software from P2P

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmds\ rundll32.exe C:\Users\lolof1\AppData\Local\Temp\\oppqp.dll,c

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmds\\rundll32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cmds

HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\\jkkjgff.dll

 

* Cliquer sur MoveIt! pour lancer la suppression.

* Le résultat apparaitra dans le cadre Results. Copier le résultat.

* Cliquer sur Exit pour fermer.

* Coller le résultat dans la prochain réponse.

Modifié par pear
lolof1 Member

lolof1

Posté(e)
  • Auteur
Posté(e)

BON voici le résultat de OTMovelt suite a votre demande Pear :

 

File/Folder c:\windows\system32\command & conquer 3 tiberium wars.exe not found.

File/Folder c:\users\lolof1\appdata\local\temp\oppqp.dll not found.

DllUnregisterServer procedure not found in C:\Windows\system32\jkkjgff.dll

C:\Windows\system32\jkkjgff.dll NOT unregistered.

File move failed. C:\Windows\system32\jkkjgff.dll scheduled to be moved on reboot.

File/Folder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\I downloaded pirated Software from P2P\\ C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe not found.

File/Folder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\I downloaded pirated Software from P2P not found.

File/Folder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmds\ rundll32.exe C:\Users\lolof1\AppData\Local\Temp\\oppqp.dll,c not found.

File/Folder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmds\\rundll32.exe not found.

File/Folder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cmds not found.

File/Folder HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\\jkkjgff.dll not found.

 

OTMoveIt2 v1.0.19 log created on 02132008_140313

 

a++Pear et merci :P

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

le coup de blanc, ce sera tout à l'heure.

 

Otmoveit a du faire choux blanc.

 

Lancez Hijackthis

Cochez ces lignes et cliquez sur fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1

 

Un rapport Hijackthis, svp.

Modifié par pear
lolof1 Member

lolof1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir PEAR, bon j ai essayer de trouver les lignes que vous m avez dit mais a part la dernière elle n apparaisse pas du tout au début de hijackthis dans la liste mais c est bizzarre elles sont bien dans le rapport???.

 

POUR la dernière "O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1", j ai bien cocher la ligne et clicker sur fix checked , mais il m affiche ensuite " Fix 1 selected items? This will permanently delete and/or repair what you selected" avec deux onglets en dessous oui ou non ..

 

Quand je répond oui l écran deviens tout blanc et en bas Scan est devenu en lettre noir..

QUE faire j ai bien essayer de répondre oui mais il me réaffiche tous les dossier mais ne m affiche plus de rappports???

 

Enfin Pear voici mon nouveau rapport hijackthis..

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:44:24, on 12/02/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

 

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Logitech\Gaming Software\LWEMon.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\GrabClipSave\GrabClipSave.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - K:\PROGRA~2\SPYBOT~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ProfilerU] C:\Program Files\Saitek\SD6\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\SD6\Software\SaiMfd.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [GCS] "C:\Program Files\GrabClipSave\GrabClipSave.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\windows sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\ddawx.dll,#1

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\oppqp.dll,c

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://K:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\Windows\runservice.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

 

--

End of file - 8365 bytes

AH aussi j ai de plus en plus de dysfonctionnement de ma barre des taches qui disparait et je suis obliger d éteindre mon ordi ensuite et de le réallumer??

 

Et aussi que faire de mon fichier essai.reg qui est sur mon bureau maintenant, de ma base de registre car spybot tout a l heure m as afficher qu une modification as été effectuer dans ma base de registre et me posait la quetion accepter ou refuser la modication et la badaboum que je réponde oui ou non ma barre des taches disparait et elle disparait de plus en plus sans avertissement de spybot je suis dans la merdasse :P

a bientot :P

Modifié par lolof1
lolof1 Member

lolof1

Posté(e)
  • Auteur
Posté(e)

Au secours Pear mon ordi déconne de plus en plus avec cette barre des taches qui disparait :P a tous les coup maintenant, mais quand je vais dans la session de ma femme mon ordi est stable :P .C est bien programme dans ma session qui commence a tout faire le dawa :P ..

 

JE commence a désespérer de l enlever ce win 32 TratBHO. :P

 

A+++++++PLUSHHHH Pear :P

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour lolof1,

 

Ce n'est pas simple.

On ne peut télécharger aucun outils.

 

Mais vous venez de me donner une idée.

Vous dites que sur la session de votre femme tout va bien.

 

J'envisage de vous faire copier la session de votre femme pour remplacer la vôtre qui semble "dérangée".

Y verriez vous un inconvénient ?

Avez vous les mêmes droits ou pas ?

Avez vous l'un et l'autre des documents personnels ?

Avez vous plusieurs partitions ?

 

Précisez tous ces points svp .

 

Auparavant,essayez encore ceci:

Démarrez en mode sans échec,session Administrateur:

Lancez Hijackthis

Cochez ces lignes et cliquez sur fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\Windows\system32\Command & Conquer 3 Tiberium Wars.exe

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkjgff.dll,#1

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\lolof1\AppData\Local\Temp\ddawx.dll,#1

Un rapport Hijackthis, svp.

Modifié par pear
lolof1 Member

lolof1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour PEAR , je vais faire le rapport après mon démarage en mode sans échec, mais pour ce qui est de la session de ma femme ; elle fonctionne très bien mais elle a aussi les alarmes avast du win 32 mais sa session est stable , de plus elle as les meme droits d administrateurs que moi.

 

La ou est installer windows c est sur 2 raptors 74 go en raid 0 et a part nos favoris de firefox, toutes nos données importantes sont sur 3 autres disques durs PEAR..

 

Et il n y as pas de partitions sur notre ordinateur.

 

A toute a l heure Pear et merci encore.. :P

Modifié par lolof1

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...