RESOLU infesté par trojan spambot Win32:Horst-HA GZ GN
RESOLU infesté par trojan spambot Win32:Horst-HA GZ GN - Sécurité - Windows & Software
Sujets relatifs:
Leave a Replay
Make sure you enter the(*)required information where indicate.HTML code is not allowed
Marsh Posté le 21-02-2007 à 12:02:58
Encore merci à fal_du31, à Malekal et aux moderateurs
Merci à tous et bon courage
Bonjour à tous,
Je suis infesté par un trojan Win32:Horst-HA [Trj] et je n'arrive pas à m'en débarasser!!
Je suis sous XP service pack avec avast comme antivirus...avast n'arrive pas a le virer et trojan remover non plus.
En plus de ca avast commence à me notifier "Il y a trop de mails identiques envoyés dans un faible intervalle de temps" et je vois apparaitre une liste d'adresse qui sont apparamment envoyé de mon compte...ca craint!!
deseperement je demande de l'aide...
Merci d'avance à tout ceux qui voudrons bien m'aiguiller...
Amicalement, bien à vous tous.
Message cité 1 fois
n°2644944
fal_du31
Posté le 20-02-2007 à 02:29:39 profilVoir le bbcodeansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
Salut.
Tu dois être infecté par un trojan de type spambot qu'avast détecte (Il y a trop de mails identiques envoyés dans un faible intervalle de temps).
Suis cette procédure http://www.malekal.com//Trojan-Proxy.Win32.Horst.php
A+.
n°2645202
moai
Posté le 20-02-2007 à 12:51:34 profileditEdition rapideansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
merci pour ta réponse mais apparemment ce n'est pas ca...
+++
Message cité 1 fois
n°2645369
fal_du31
Posté le 20-02-2007 à 16:15:18 profilVoir le bbcodeansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
Oui mais le lien que je t'ai donné, si tu a pris soin de tout lire, renvoie vers celui-ci http://www.malekal.com/Trojan_SpamBot.php qui lui-même renvoie eventuellement vers http://www.malekal.com/Trojan_SpamBot2.php
et les symptômes que tu décris sont ceux évoqués dans ces derniers liens donc il faut tout lire.
De plus tu auras besoin de hijickthis http://www.merijn.org/files/hijackthis.zip
tu le dezippes dans un répertoire dédié par exemple C:\hijickthis; rentre dans le répertoire, clique sur hijickthis.exe, sur Do a system scan and save a logfile, à la fin du scan (c'est rapide), le bloc-notes s'ouvre, tu fais un copier-coller de tout son contenu que tu soumets eventuellement ici (faire attention, l'analyse est loin d'être parfaite) http://www.hijackthis.de/fr puisque tu ne peux pas le poster sur ce forum.
Mais surtout, compare certaines des lignes de ton rapport avec celles contenues dans les 2 derniers liens.
C'est tout ce que je peux faire pour t'aider.
A+
Posté le 21-02-2007 à 00:25:34 profileditEdition rapideansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
merci beaucoup! effectivement je n'avais pas tout décortiqué...
J'ai effectivement télécharger hijackthis et l'ai appliqué ... j'ai juste peur de faire des bétises en fixant les mauvaises lignes de codes...
Je copie quand même le rapport au cas ou :
Logfile of HijackThis v1.99.1
Scan saved at 16:50:06, on 20/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [StartupDelayer] "C:\Program Files\r2 Studios\Startup Delayer\Startup Launcher.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ContrÙleur díÈtat.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
encore merci de ta reactivité et de ton aide
j'essaye de voir les lignes de codes qui ne vont pas.
++++
Posté le 21-02-2007 à 02:23:29 profilVoir le bbcodeansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
Salut, c'est bien ce qui me semblait
Ton rapport HJT
moai a écrit :
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
même s'il ne fallait pas le poster comme je te le disais (j'espère une indulgence des modos )
et dans le site de Malekal, (une réference !!)
Citation :
Détecter Trojan.SpamBot
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Ce trojan créé des fichiers XXexmodul32.exe (où X est un chiffre entre 0-9) dans le répertoire temporaire de Windows. Ces fichiers servent à se connecter au serveur SMTP pour envoyer les mails.
donc en effet, tu dois fixer cette ligne 04, je ne sais pas si t'a fixé cette ligne 023 puisqu'elle n'apparaît plus.
Je le répete, suis toute la procedure décrite par Malekal, parce que c'est un trojan coriace; je vois que tu n'a pas installé AVG antispyware, fais-le et télécharge clean.zip etc... : applique toute la procédure qu'il est conseillé de faire dans le lien.
Je rajoute celle-ci :
Télécharge SdFix sur ton bureau au cas où il resterait un reliquat du service crée par le trojan:
http://downloads.andymanchesta.com [...] /SDFix.zip
Copie toutes les instructions de Malekal quand il te dit de les appliquer en mode sans echec, avec celles qui suivent dans un fichier texte pour l'appliquer en mode sans echec (tu n'a pas le réseau).
Redémarre en mode sans échec dans ta session.
fais un clic droit sur le fichier SDFix.zip et choisis extraire tout.
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le script.
Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du registre et il te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Si l'infection est toujours présente, ouvre le dossier de SDFix et copie/colle le contenu du fichier Report.txt.
Si tu n'a plus de problème, edit le titre de ton post, met résolu et rajoute trojan spambot à la fin du titre, pour aider les autres forumeurs victimes de cette infection.
A+.
Posté le 21-02-2007 à 11:40:03 profileditEdition rapideansweranswer +answer -MPFavoris
Prévenir les modérateurs en cas d'abus
Tout refonctionne normalement!!
Un grand merci à toi pour ces precieux conseils et pour le temps passé, je vais faire passer l'info autour de moi.
merci aussi à malekal pour ses explications!
j'edite le titre de mon post (avec grand plaisir!)
bien à vous tous ++++++