help! ordinateur infesté par trojan Win32:Horst-HA [Trj]

help! ordinateur infesté par trojan Win32:Horst-HA [Trj] - Sécurité - Windows & Software

Marsh Posté le 19-02-2007 à 17:24:57    

Bonjour à tous,
 
Je suis infesté par un trojan Win32:Horst-HA [Trj] et je n'arrive pas à m'en débarasser!!
Je suis sous XP service pack avec avast comme antivirus...avast n'arrive pas a le virer et trojan remover non plus.  
En plus de ca avast commence à me notifier "Il y a trop de mails identiques envoyés dans un faible intervalle de temps" et je vois apparaitre une liste d'adresse qui sont apparamment envoyé de mon compte...ca craint!!
 
deseperement je demande de l'aide...
 
Merci d'avance à tout ceux qui voudrons bien m'aiguiller...
 
Amicalement, bien à vous tous.

Reply

Marsh Posté le 19-02-2007 à 17:24:57   

Reply

Marsh Posté le 20-02-2007 à 02:29:39    

moai a écrit :

Bonjour à tous,
 
Je suis infesté par un trojan Win32:Horst-HA [Trj] et je n'arrive pas à m'en débarasser!!
Je suis sous XP service pack avec avast comme antivirus...avast n'arrive pas a le virer et trojan remover non plus.  
En plus de ca avast commence à me notifier "Il y a trop de mails identiques envoyés dans un faible intervalle de temps" et je vois apparaitre une liste d'adresse qui sont apparamment envoyé de mon compte...ca craint!!
 
deseperement je demande de l'aide...
 
Merci d'avance à tout ceux qui voudrons bien m'aiguiller...
 
Amicalement, bien à vous tous.


Salut.
Tu dois être infecté par un trojan de type spambot qu'avast détecte (Il y a trop de mails identiques envoyés dans un faible intervalle de temps).
Suis cette procédure http://www.malekal.com//Trojan-Proxy.Win32.Horst.php
A+.

Reply

Marsh Posté le 20-02-2007 à 12:51:34    

merci pour ta réponse mais apparemment ce n'est pas ca...
+++

Reply

Marsh Posté le 20-02-2007 à 16:15:18    

moai a écrit :

merci pour ta réponse mais apparemment ce n'est pas ca...
+++


Oui mais le lien que je t'ai donné, si tu a pris soin de tout lire, renvoie vers celui-ci http://www.malekal.com/Trojan_SpamBot.php  qui lui-même renvoie eventuellement vers http://www.malekal.com/Trojan_SpamBot2.php
et les symptômes que tu décris sont ceux évoqués dans ces derniers liens donc il faut tout lire.
De plus tu auras besoin de hijickthis  http://www.merijn.org/files/hijackthis.zip  
tu le dezippes dans un répertoire dédié par exemple C:\hijickthis; rentre dans le répertoire, clique sur hijickthis.exe, sur Do a system scan and save a logfile, à la fin du scan (c'est rapide), le bloc-notes s'ouvre, tu fais un copier-coller de tout son contenu que tu soumets eventuellement ici (faire attention, l'analyse est loin d'être parfaite) http://www.hijackthis.de/fr  puisque tu ne peux pas le poster sur ce forum.
Mais surtout, compare certaines des lignes de ton rapport avec celles contenues dans les 2 derniers liens.
C'est tout ce que je peux faire pour t'aider.
A+

Reply

Marsh Posté le 21-02-2007 à 00:25:34    

merci beaucoup! effectivement je n'avais pas tout décortiqué...
J'ai effectivement télécharger hijackthis et l'ai appliqué ... j'ai juste peur de faire des bétises en fixant les mauvaises lignes de codes...
Je copie quand même le rapport au cas ou :
 
Logfile of HijackThis v1.99.1
 
Scan saved at 16:50:06, on 20/02/2007
 
Platform: Windows XP SP2 (WinNT 5.01.2600)
 
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
 
 
 
Running processes:
 
C:\WINDOWS\System32\smss.exe
 
C:\WINDOWS\system32\winlogon.exe
 
C:\WINDOWS\system32\services.exe
 
C:\WINDOWS\system32\lsass.exe
 
C:\WINDOWS\system32\svchost.exe
 
C:\WINDOWS\System32\svchost.exe
 
C:\WINDOWS\system32\brsvc01a.exe
 
C:\WINDOWS\system32\spoolsv.exe
 
C:\WINDOWS\system32\brss01a.exe
 
C:\WINDOWS\Explorer.EXE
 
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
 
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
 
C:\Program Files\Messenger\msmsgs.exe
 
C:\WINDOWS\system32\ctfmon.exe
 
C:\WINDOWS\system32\svchost.exe
 
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
 
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 
C:\Program Files\Alwil Software\Avast4\ashServ.exe
 
C:\WINDOWS\system32\nvsvc32.exe
 
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 
C:\WINDOWS\system32\svchost.exe
 
C:\Program Files\HijackThis.exe
 
 
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
 
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
 
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
 
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
 
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
 
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
 
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
 
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
 
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
 
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
 
O4 - HKLM\..\Run: [StartupDelayer] "C:\Program Files\r2 Studios\Startup Delayer\Startup Launcher.exe"
 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
 
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
 
O4 - Global Startup: ContrÙleur díÈtat.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
 
O11 - Options group: [INTERNATIONAL] International*
 
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
 
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
 
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
 
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
 
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
 
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
 
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
 
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 
 
encore merci de ta reactivité et de ton aide ;)
j'essaye de voir les lignes de codes qui ne vont pas.
++++
 

Reply

Marsh Posté le 21-02-2007 à 02:23:29    

Salut, c'est bien ce qui me semblait
Ton rapport HJT

moai a écrit :


 
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w


même s'il ne fallait pas le poster comme je te le disais (j'espère une indulgence des modos  ;) )
et dans le site de Malekal, (une réference !!)

Citation :

Détecter Trojan.SpamBot
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
 
Ce trojan créé des fichiers XXexmodul32.exe (où X est un chiffre entre 0-9) dans le répertoire temporaire de Windows. Ces fichiers servent à se connecter au serveur SMTP pour envoyer les mails.


donc en effet, tu dois fixer cette ligne 04, je ne sais pas si t'a fixé cette ligne 023 puisqu'elle n'apparaît plus.
Je le répete, suis toute la procedure décrite par Malekal, parce que c'est un trojan coriace; je vois que tu n'a pas installé AVG antispyware, fais-le et télécharge clean.zip etc... : applique toute la procédure qu'il est conseillé de faire dans le lien.
 
Je rajoute celle-ci :
Télécharge SdFix sur ton bureau au cas où il resterait un reliquat du service crée par le trojan:
http://downloads.andymanchesta.com [...] /SDFix.zip
Copie toutes les instructions de Malekal quand il te dit de les appliquer en mode sans echec, avec celles qui suivent dans un fichier texte pour l'appliquer en mode sans echec (tu n'a pas le réseau).
 
Redémarre en mode sans échec dans ta session.
fais un clic droit sur le fichier SDFix.zip et choisis extraire tout.
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le script.
Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du registre et il te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Si l'infection est toujours présente, ouvre le dossier de SDFix et copie/colle le contenu du fichier Report.txt.
Si tu n'a plus de problème, edit le titre de ton post, met résolu et rajoute trojan spambot à la fin du titre, pour aider les autres forumeurs victimes de cette infection.
A+.


Message édité par fal_du31 le 21-02-2007 à 02:38:59
Reply

Marsh Posté le 21-02-2007 à 11:40:03    

Tout refonctionne normalement!!
Un grand merci à toi pour ces precieux conseils et pour le temps passé, je vais faire passer l'info  autour de moi.
merci aussi à malekal pour ses explications!
j'edite le titre de mon post (avec grand plaisir!)
bien à vous tous ++++++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed