Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1933 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Résolu] Run32.dll cheval de troie tr/patched.gen2 post corrigé

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] Run32.dll cheval de troie tr/patched.gen2 post corrigé

n°2935562
HPIR40
Posté le 18-03-2010 à 15:21:12  profilanswer
 

Bonjour,
 
 
J'ai un soucis sur mon PC au bureau.
 
Antivir me gonfle depuis ce matin avec un Run32.DLL verolé par tr/patched.gen2. (DLL en majuscule)
 
Je ne sais pas d'ou cela vient mais bon pour le moment je demande a antivir de refuser l'accés a Run32.DLL mais ça m'enerve car il demande un accés regulierement.
 
merci pour votre aide
 
voila le rapport du scan antivir: http://www.cijoint.fr/cjlink.php?f [...] mTBffz.txt
 
et le rapport HijackThis: http://www.cijoint.fr/cjlink.php?f [...] Ic6lc6.txt


Message édité par HPIR40 le 24-03-2010 à 13:58:23
mood
Publicité
Posté le 18-03-2010 à 15:21:12  profilanswer
 

n°2935570
glops31
Posté le 18-03-2010 à 15:57:24  profilanswer
 

OK,essaie de récupérer le rapport de malwarebytes anti malware et de l'héberger sur cijoint.fr comme tu l'as fait pour les deux autres
pour cela, ouvre MBAM et trouves le fichier*.txt correspondant au dernier scan (date)sous l'onglet "Rapports"
 
un fichier système(user32.dll) a été patché par le malware => ne pas le mettre en quarantaine  et ne pas le supprimer
As tu le Cd de XP?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935574
HPIR40
Posté le 18-03-2010 à 16:17:02  profilanswer
 

merci pour ton aide
 
voici le rapport MBAM/ http://www.cijoint.fr/cjlink.php?f [...] iSaIJb.txt
 
Pour le CD d'XP oui je l'ai, c'est le CD de ma boite c'est un CD XP pro sans SP (c'est une version education car je travaille dans un centre de formation)

n°2935579
glops31
Posté le 18-03-2010 à 16:32:32  profilanswer
 

tu avais parlé de clé de registre infectées et mises en quarantaine hors ce rapport est vierge et fait à 16h14
montre moi celui de ce matin vers 10hoo stp


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935582
HPIR40
Posté le 18-03-2010 à 16:38:34  profilanswer
 

oups j'ai pris le mauvais log désolé
 
http://www.cijoint.fr/cjlink.php?f [...] nw09u8.txt
 
oui dans celui la il y a bien les 2 spy que j'ai mis en quarantaine avec MBAM.

n°2935587
glops31
Posté le 18-03-2010 à 17:18:57  profilanswer
 

Ok,nous allons nous assurer qu'il n'y est pas de rootkit caché la dessous
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935590
HPIR40
Posté le 18-03-2010 à 17:52:40  profilanswer
 

Bon ben ce n'est pas moi qui y met de la mauvaise volonté c'est mon PC maintenant
 
Je viens de lancer deux fois le programme et deux fois il a coupé net(extinction complete) pendant le scan.
 
je pense qu'il est fatigué comme je le pensais et soit il s'est mis en securité car le proc chauffe (ça je m'en suis rendu compte en été) soit la ram est fatiguée.
 
Bref ça ne change rien car je ne peux pas finir le scan avec Gmer :-((
 
Il n'y a pas une autre possibilité??

n°2935609
HPIR40
Posté le 18-03-2010 à 18:59:39  profilanswer
 

pas de solution??
 
on peut passer outre le passage de Gmer, j'ai tenté une 3eme fois le test et rebelotte le pc s'eteint :-((

n°2935621
glops31
Posté le 18-03-2010 à 20:08:34  profilanswer
 

laisse tomber Gmer pour l'instant.
 
la première chose à vérifier est la propreté des orifices de ventilation de ce PC et du ventirad sur le processeur qui pourrait expliquer la surchauffe.
 
nous allons ensuite vérifier qu'il ne s'agit pas d'un faux positif d'Antivir pour cela:

  • rends toi sur http://www.virustotal.com/fr/
  • dans le champ parcourir saisis le chemin vers le fichier infecté soit C:\WINDOWS\system32\user32.DLL
  • clique sur envoyer le fichier


Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 

  • héberge ensuite le rapport fourni sur cijoint.fr et poste moi le lien


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935695
HPIR40
Posté le 19-03-2010 à 08:55:28  profilanswer
 

merci
 
voila ci joint le rapport au format pdf: http://www.cijoint.fr/cjlink.php?f [...] 8FISpi.pdf

mood
Publicité
Posté le 19-03-2010 à 08:55:28  profilanswer
 

n°2935703
glops31
Posté le 19-03-2010 à 09:49:22  profilanswer
 

bonjour
 
le fichier est donc bien patché
 
tu vas d'abord essayer de le remplacer grace à la commande:  sfc /scannow
cela risque de ne pas fonctionner du fait que ton CD est sans SP
 

  • ferme toutes les applications  
  • Démarrer / Exécuter puis taper cmd :
  • Dans la fenetre d'invite, utiliser la commande sfc /scannow pour débuter la vérification immédiatement :
  • Windows peut demander d'insérer le CD d'installation :


c'est là que nous verrons si il le prend ou pas...


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935704
HPIR40
Posté le 19-03-2010 à 09:55:46  profilanswer
 

Merci
 
juste une question et si ça ne fonctionne pas ça ne risque pas de tout faire planter??

n°2935707
glops31
Posté le 19-03-2010 à 10:01:06  profilanswer
 

non, le CD sera refusé


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935712
HPIR40
Posté le 19-03-2010 à 10:27:00  profilanswer
 

Bon,
 
j'ai lancé la procedure, inséré a la demande le cd et il me demandait regulierement le cd avec  comme choix: Recommence, Information et Annuler
 
j'ai fais recommencer une dizaine de fois et rien il redemandait encore.
 
Dans information, en effet il demandait le CD avec la bonne version.

n°2935724
glops31
Posté le 19-03-2010 à 11:01:59  profilanswer
 

ok,nous allons faire autrement
 
le logiciel qui suit peut faire des dégats si il est mal utilisé
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération :tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Héberge ce rapport (C:\Combofix.txt) et poste le lien dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935732
HPIR40
Posté le 19-03-2010 à 11:34:23  profilanswer
 

merci
 
donc voila le rapport combofix: http://www.cijoint.fr/cjlink.php?f [...] L0HBEo.txt

n°2935846
glops31
Posté le 19-03-2010 à 21:59:43  profilanswer
 

Tu vas maintenant te servir d'un outil spécial pour réaliser la réparation du fichier patché,il s'agit de "winfilereplace de "loup_blanc"
 

  • télécharge winfilereplace et enregistre le sur ton bureau
  • ferme toutes les applications en cours et lance le programme par un double clic sur l'icône winfilereplace
  • choisi la langue français => tape 1 puis "entrée" puis laisse l'outil travailler
  • le bloc note s'ouvre ,tu dois inscrire le chemin du/des fichier à modifier  
  • dans ton cas:


C:\WINDOWS\system32\user32.DLL
C:\WINDOWS\system32\dllcache\user32.dll
 
 

  • ferme le bloc note et enregistre le changement
  • appuie sur une touche pour continuer
  • le service pack necessaire est alors téléchargé=> patiente
  • Accepter le contrat => clic sur j'accepte
  • confirme la restauration du fichier en appuyant sur la touche O et "Entrée"
  • le remplacement du fichier s'effectue redemarre l'ordinateur en  appuyant sur Opuis "entrée"
  • poste le rapport qui s'ouvre pour indiquer la réussite ou l'échec de l'opération


tu trouveras ici un tutoriel pour illuster


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2935866
HPIR40
Posté le 20-03-2010 à 08:35:08  profilanswer
 

ok merci
 
je ferrais donc ça lundi et je te tiens au courant
 
en tout cas merci beaucoup pour ton aide.

n°2936128
HPIR40
Posté le 22-03-2010 à 09:15:28  profilanswer
 

Bonjour
 
bon ben bizarre ce qui arrive:
 
J'ai bien suivi à la lettre les instructions et dés que j'ai validé oui aprés le téléchargement winfilereplace c'est arrété !!
 
j'ai donc redémarré tranquillement, je n'ai pas eu d'affichage de rapport mais je l'ai trouvé et le voila:http://www.cijoint.fr/cjlink.php?file=cj201003/cijCsoeGAc.txt
 
maintenant antivir me donne une alerte du cheval de trois tr/patched.gen2 sur le chemin suivant:
C:\Qoobox\Qarantine\C\WINDOWS\systeme32\user.dll.vir.vir
 
J'ai bien arrété antivir et spybot ainsi que tous les autres programmes avant d'appliquer le programme winfilereplace.

n°2936141
glops31
Posté le 22-03-2010 à 11:27:13  profilanswer
 

bonjour
 
tout ceci est normal
combofix au cours de son passage a créé une sauvegarde du fichier infecté dans sa quarantaine ,c'est cela qu' Antivir détecte maintenant ;)  
 
tu vas maintenant utiliser un log pour supprimer les outils que nous avons utilisé pour la désinfection "gmer",  "combofix" et sa quarantaine....
hijackthis va aussi être désinstallé ce n'est pas grave nous le réinstallerons ensuite pour fournir un rapport que j'utiliserai pour finaliser
 
    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

  • Télécharge Toolscleaner sur ton Bureau  
  • Double-clique sur ToolsCleaner2.exe et laisse le travailler
  • Clique sur Recherche et laisse le scan se terminer.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter, pour que le rapport puisse se créer.
  • Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...heberge le sur cijoint.fr et colle le lien dans ta prochaine réponse


Message édité par glops31 le 22-03-2010 à 11:29:00

---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2936168
HPIR40
Posté le 22-03-2010 à 13:47:17  profilanswer
 
n°2936185
glops31
Posté le 22-03-2010 à 15:45:09  profilanswer
 

ok,supprime le raccourci combofix sur ton bureau;
 
ton Antivir ne doit plus sonner maintenant?
 
je te prépare la finalisation dans la soirée
 
A+


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2936187
HPIR40
Posté le 22-03-2010 à 16:00:24  profilanswer
 

En effet, c'est nickel  :D  :D  
 
Merci beaucoup pour ton aide et pour mes oreilles  :whistle:

n°2936240
glops31
Posté le 22-03-2010 à 19:02:34  profilanswer
 

j'ai oublié de te demander de télécharger un logiciel pour pouvoir d'abord vérifier qu'il n'y a plus de traces de malware et ensuite optimiser ton ordi
voilà ce que tu vas faire:
 

  • Télécharge Random's system information tool  ,(RSIT) et enregistre le sur ton bureau.
  • Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT  
  • Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)  
  • Sous vista ,clique droit sur le fichier et choisis "Exécuter en tant qu'administrateur".  
  • Clique sur "continue" à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.  
  • Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre des tâches.  


les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
héberge les sur ci-joint.fr et poste moi le/les liens
 
ne poste pas les rapports sur ce forum.
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour pour copier et CTRL+V pour coller )  


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2936310
HPIR40
Posté le 23-03-2010 à 08:52:27  profilanswer
 
n°2936516
glops31
Posté le 23-03-2010 à 23:33:44  profilanswer
 

Bonjour
 
Tu devrais mettre à jour ta version de Adobe reaser la dernière est la 9.3.1=> pour la sécurité il est important de maintenir ce logiciel à jour
tu peux le faire en ouvrant le programme ,sous l'onglet aide (point d'interrogation) => rechercher mise à jour
Pour plus de sécurité ,il faut désactiver l'interprétation du javascript comme ceci:
 
* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez
 
pour la même raison tu dois mettre à jour java , par le panneau de configuration => icône java => lancer le panneau de contrôle => onglet mise à jour => mettre à jour maintenant
 
verifie également que tu possèdes la dernière version du plugin et ActiveX flashplayer
 
Firefox vient de mettre en ligne une mise à jour,tu peux aussi sécuriser ton surf en lui rajoutant les modules Wot pour t'avertir des sites douteux et Adblock+ pour bloquer les publicités  
 
_______________________________________________________________________________________________
Lance ensuite  HijackThis en te rendant sur C:\Program Files\trend micro\Fred.exe => double clic sur Fred.exe  

  • clique sur "do a system scan only"
  • coche les cases devant ces lignes :


O4 - HKLM\..\Run: [nwiz] nwiz.exe /install  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
 
 

  • Ensuite  clique sur Fix Checked
  • ferme hijackthis


_______________________________________________________________________________________________
pour supprimer tous les outils qui ont servi à la désinfection
 

  • Télécharge ToolsCleanerenregistre le sur ton Bureau
  • Double-clique sur ToolsCleaner2.exe et laisse le travailler
  • Clique sur Recherche et laisse le scan se terminer.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter, pour que le rapport puisse se créer.
  • Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\)...colle le dans ta prochaine réponse


_______________________________________________________________________________________________
Pour nettoyer le registre et les fichiers temp

  • Télécharges et installes  C Cleaner :  
  • Lance C Cleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
  • Dans le menu nettoyeur , clique sur "Analyse.
  • Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
  • Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
  • Réponds a OUI a la question qui te sera posée.
  • Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
  • recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
  • [url=http://www.libellules.ch/phpBB2/ccleaner-t30432.html]un  tutoriel[/ur] pour t'aider :  


  • Tu peux conserver ce logiciel et l'utiliser régulièrement.[/list]

_______________________________________________________________________________________________
 
 TRES IMPORTANT
 
Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:
 

  • Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.
  • Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui-là


 
_______________________________________________________________________________________________  
 
Enfin je t'invite à lire ce fichier pdf sur la sécurité sur Internet
il fait partie d'un projet anti malware et je t'invite à le diffuser autour de toi
 
Voilà ,fais tout cela calmement,rien ne presse j'attends le rapport de suppression toolscleaner
 
Bonne journée ;)


Message édité par glops31 le 24-03-2010 à 11:07:44

---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2936539
HPIR40
Posté le 24-03-2010 à 09:21:31  profilanswer
 

Encore une fois merci
 
voila donc le rapport : http://www.cijoint.fr/cjlink.php?f [...] x4g49B.txt

n°2936561
glops31
Posté le 24-03-2010 à 11:09:57  profilanswer
 

Bonjour
tu peux supprimer les raccourcis de "comboFix" et "toolscleaner" sur ton Bureau
 
Content d'avoir pu t'aider,Bonne continuation ;)  


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2936563
HPIR40
Posté le 24-03-2010 à 11:18:07  profilanswer
 

Merci beaucoup pour ton aide glops31.
 
C'est super sympa  ;)  
 
J'espere pas a la prochaine fois sinon cela voudrais dire que j'aurais encore un probleme  :D  
 
Encore merci  :hello:

n°3046167
MQCS
Posté le 15-07-2012 à 19:43:08  profilanswer
 

Bonjour,  
 
Il se trouve que je suis dans une position similaire à HPIR 40; c'est à dire qu'antivir à détecté le virus suivant :
 
TR/Patched.gen2 sur ma machine.
 
Il se trouve que je suis novice en informatique, aussi lorsque j'ai vu le message, j'ai lancé plusieurs détections afin
de regarder si antivir retrouvais ce virus. Il se trouve que oui, j'ai donc par 2 fois demandé à antivir de suprimer
le problème.
Je relance une une détection afin de vérifier si la menace à été réellement suprimée. Il se trouve qu'antivir me retourne
un message d'erreur : "des fichiers cachés ont été trouvés : un ou plusieurs objets cachés indiquant la présence d'un virus
caché ou d'un  programme indésirable ont été trouvés.
Un contrôle de votre ordinateur avec le CD de secour Avira est nécessaire pour les identifier précisément et effectuer

n°3046169
MQCS
Posté le 15-07-2012 à 19:49:48  profilanswer
 

Excusez l'envoi du message non terminé...
 
...et effectuier la réparation.
 
N'ayant pas compris la manière dont marche ce CD et ne comprenant pas grd chose à la manière
dont on peut manipuler le bios je décide de formater le PC. Les cd de restauration ne sont actuellement  
pas en ma possesion, j'ai donc décider de redémarrer la machine, puis de faire F9 afin que le système ASUS
lance un formatage du système depuis recovery.
 
Après 2 jours de fonctionnement sans détection, voil qu'antivir reconfirme la présence du nuisible.
 
La raison pour laquelle j'ai cette salo..rie sur la machine est simple : un pote me file autocad sur une clé sans keygen.  
Je vais le chercher sans être sur du site ni du fichier exécutable et je ne prends pas la précausion de lancer un sandlebox.
 
Bingo!!
 
Quelqu'un pourrait-il me venir en aide SVP ?
Je suis novice dans le domaine donc je serai susceptible de poser pas mal de questions, merci d'avance.
 

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Résolu] Run32.dll cheval de troie tr/patched.gen2 post corrigé

 

Sujets relatifs
Run32.dll cheval de troie tr/patched.gen2[RESOLU] Plantage pilote graphique ATI HD5700 + Windows 7
[Résolu] Neuf Giga SFR - Internet Explorer 8 avertissement de sécuritéImpossible de régler la luminosité[Résolu]
[Résolu] Choix de l'OS au demarrage Hp pavilion dv 9000 
Plus de sujets relatifs à : [Résolu] Run32.dll cheval de troie tr/patched.gen2 post corrigé


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR