infection trojan Horst-AF

lahulotte · le 4 septembre 2006

Bonjour,

tout d'abord merci de m'accueillir sur votre forum

Voilà mon soucis, j'ai attrapé un trojan (je me demande si cela n'est pas à la suite du téléchargement de google desktop toolbar, bref) et en faisant quelques recherches sur le net avec le nom de ce trojan, j'ai trouvé un post similaire sur votre forum.

Je vais donc faire toutes les manipulations que vous conseillez et pendant ce temps, est-ce que quelqu'un pourrait analyser mon rapport hijackthis que voici...

Logfile of HijackThis v1.99.1

Scan saved at 10:57:29, on 04/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\Program Files\eMule\emule.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\sebastien\Bureau\sécurité\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.incredimail.com/french

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.ceget...FAutoConfig.ocx

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

merci d'avance

lahulotte · le 4 septembre 2006

re...

j'ai installé ewido sans problème, par contre, pas moyen d'exécuter easy cleaner... comprends pas!!!

dans un de vos post qui concerne le même soucis que le mien, il est demandé de redémarrer en mode sans échec, mais lorsque je suis dans le bios, que je choisis mode sans échec, qu'on me demande sous quel systémé d'exploitation je veux démarrer et que je réponds windows XP édition familial, j'ai l'info suivante :

"windows n'a pas pu redémarrer car le fichier suivant est manquant ou endommagé racine windows /system32/hal.dll.

que faire?

lahulotte · le 4 septembre 2006

re bonjour

c'est bon, j'ai téléchargé ewido, ccleaner, easy cleaner, j'ai nettoyé tout cela.

Voilà le rapport ewido :

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 12:01:45 04/09/2006

+ Scan result:

C:\Documents and Settings\sebastien\Local Settings\Temp\0exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Local Settings\Temp\17exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Local Settings\Temp\18exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Local Settings\Temp\26exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Local Settings\Temp\50exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Local Settings\Temp\95exhdd.5.exe -> Downloader.Horst.a : Cleaned with backup (quarantined).

C:\Documents and Settings\sebastien\Cookies\sebastien@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@incredimailltd.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@microsoftwlmessengermkt.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@advertising[2].txt -> TrackingCookie.Advertising : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@casalemedia[2].txt -> TrackingCookie.Casalemedia : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@as1.falkag[1].txt -> TrackingCookie.Falkag : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@media.fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@ehg-ati.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@ehg-avanquest.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@ehg-francetel.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@ehg-francetelecom.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@data2.perf.overture[1].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@overture[2].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@perf.overture[1].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@serving-sys[1].txt -> TrackingCookie.Serving-sys : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@valueclick[1].txt -> TrackingCookie.Valueclick : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@weborama[1].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.

C:\Documents and Settings\sebastien\Cookies\sebastien@zedo[1].txt -> TrackingCookie.Zedo : Cleaned.

::Report end

toutes les cartes sont entre vos mains, moi j'exécuterais bêtement, en espèrant comprendre, mais là c'et pas gagné!!!

pipodog · le 4 septembre 2006

merci de ne pas tenir compte de ce mail, je suis le compagnon de la hulotte, je veux juste suivre ce post ) partir de mon PC en étant averti des réponses...merci!

bruce lee · le 4 septembre 2006

bonjour,

analyse en cours, retour dans 10 minutes

bruce lee · le 4 septembre 2006

re,

Dans ton rapport il y a emule, je te recommande fortement de le supprimer.

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

2/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

eMule

si ce programme est present desinstalle le.

3/fais:

demarer executer services.msc repere Windows Log

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

6/supprime ce qui est en gras:

C:\WINDOWS\system32\ nvsvcd.exe<== tout le dossier

C:\Program Files\ eMule<== tout le dossier

C:\WINDOWS\system\ smss.exe<== le fichier ATTENTION ne supprime surtout pas le smss.exe qui se trouve dans le system32

7/redemarre en mode normal

8/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

bon courage, et si tu as la moindre question n'hesite surtout pas

@+

pipodog · le 4 septembre 2006

bonjour bruce lee

merci de me consacrer de ton attention et de ton temps...

je lis que tu souhaites que je désinstalle e mule... je l'utilise depuis 2 ans sans soucis et j'avoue que ça me ferait tort!!!mais bon si tu souhaites que je le fasse..;

en attendant ton avis là dessus, je te poste les derniers rapports hijack et ewido car depuis que j'ai effectué tous les nettoyages recommandés, je ne suis plus embêtée par le trojan...

hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 14:37:34, on 04/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\Program Files\eMule\emule.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\freecell.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\sebastien\Bureau\sécurité\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.incredimail.com/french

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =