Win32.horst.AF

Kroman007 · le 6 septembre 2006

Bonjour, cette vilaine bébête revient sans arret et ni avast, ni un autre anti virus n'a pu m'aider .

J'ai télécharger Hijackthis et post mon rapport ci dessous si quelqu'un peut me donner un coup de main ce serait cool . merci et a plus

Logfile of HijackThis v1.99.1

Scan saved at 16:01:52, on 06/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\QuickTime\qttask.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\HP\hpcoretech\hpcmpmgr.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\WINDOWS\system32\svchost.exe

D:\Documents and Settings\seb\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "D:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "D:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] D:\Program Files\Valve\Steam\\Steam.exe -silent

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1151529821421

O17 - HKLM\System\CCS\Services\Tcpip\..\{E7D08468-7A33-4BF4-AB09-035DD57F94B7}: NameServer = 86.64.145.140 84.103.237.140

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Windows Log - Unknown owner - D:\WINDOWS\system32\nvsvcd.exe

Malekal_morte · le 6 septembre 2006

Bonjour,

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

- Demarrer / executer / tape services.msc

- Cherche Windows Log dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

Sur HijackThis, refais un scan et coches les lignes suivantes :

O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

Supprime ces fichiers :

D:\WINDOWS\system32\nvsvcd.exe

D:\WINDOWS\system\smss.exe (Attention pas system32 mais system)

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

Aide : N'hésite pas à consulter l'Aide ewido pour tout problème.

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

Kroman007 · le 7 septembre 2006

Salut malekal !

J'ai suivi tes instructions a la lettre, et depuis plus de nouvelle de ce fameux win32. horst, un grand merci !!

Par contre l'analyse Kaspersky online n'est pas très clean comme je l'aurais souhaité : je te post tout les rapports et attends tes news . a plus

EWIDO:

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 18:34:55 06/09/2006

+ Scan result:

D:\Documents and Settings\seb\Local Settings\Temp\25exhdd.6.exe -> Downloader.Horst.d : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\63exhdd.6.exe -> Downloader.Horst.d : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\80exhdd.6.exe -> Downloader.Horst.d : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\82exhdd.6.exe -> Downloader.Horst.d : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\61exssd32.3.exe -> Proxy.Horst.av : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\73exssd32.3.exe -> Proxy.Horst.av : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\83exssd32.3.exe -> Proxy.Horst.av : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Local Settings\Temp\94exssd32.3.exe -> Proxy.Horst.av : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Cookies\seb@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Cookies\seb@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Cookies\seb@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Cookies\seb@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

D:\Documents and Settings\seb\Cookies\seb@weborama[2].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

::Report end

KASPERSKY :

Thursday, September 07, 2006 3:40:15 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 7/09/2006

Enregistrements dans la base antivirus Kaspersky : 208587

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

Statistiques de l'analyse

Total d'objets analysés 42295

Nombre de virus trouvés 3

Nombre d'objets infectés 16 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:31:22

Nom de l'objet infecté Nom du virus Dernière action

C:\ovsetup.exe/data.rar/pB/basic.mrc Infecté : Backdoor.IRC.Zapchast ignoré

C:\ovsetup.exe/data.rar/pB/commands.mrc Infecté : Backdoor.IRC.Zapchast ignoré

C:\ovsetup.exe/data.rar/pB/devcheck.exe Infecté : Virus.Win32.Parite.b ignoré

C:\ovsetup.exe/data.rar/pB/minge.ini Infecté : Backdoor.IRC.Zapchast ignoré

C:\ovsetup.exe/data.rar/pB/mirc.exe Infecté : Virus.Win32.Parite.b ignoré

C:\ovsetup.exe/data.rar/pB/system.mrc Infecté : Backdoor.IRC.Zapchast ignoré

C:\ovsetup.exe/data.rar Infecté : Backdoor.IRC.Zapchast ignoré

C:\ovsetup.exe RarSFX: infecté - 7 ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C23B6566-39A5-4982-B715-9EEDC327ECBA}\RP75\change.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\pB\basic.mrc Infecté : Backdoor.IRC.Zapchast ignoré

C:\WINDOWS\system32\pB\commands.mrc Infecté : Backdoor.IRC.Zapchast ignoré

C:\WINDOWS\system32\pB\minge.ini Infecté : Backdoor.IRC.Zapchast ignoré

C:\WINDOWS\system32\pB\system.mrc Infecté : Backdoor.IRC.Zapchast ignoré

D:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

D:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

D:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

D:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Cookies\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Historique\History.IE5\MSHist012006090720060908\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\seb\Local Settings\Temp\tmp1.tmp Infecté : Trojan-Proxy.Win32.Horst.av ignoré

D:\Documents and Settings\seb\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

D:\Documents and Settings\seb\NTUSER.DAT L'objet est verrouillé ignoré

D:\Documents and Settings\seb\NTUSER.DAT.LOG L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

D:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

D:\Program Files\HP\hpcoretech\hpcmerr.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{C23B6566-39A5-4982-B715-9EEDC327ECBA}\RP75\A0054424.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré

D:\System Volume Information\_restore{C23B6566-39A5-4982-B715-9EEDC327ECBA}\RP75\A0054439.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré

D:\System Volume Information\_restore{C23B6566-39A5-4982-B715-9EEDC327ECBA}\RP75\A0054440.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré

D:\System Volume Information\_restore{C23B6566-39A5-4982-B715-9EEDC327ECBA}\RP75\change.log L'objet est verrouillé ignoré

D:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

D:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

D:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

D:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

D:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

D:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

D:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

D:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

D:\WINDOWS\Temp\Perflib_Perfdata_624.dat L'objet est verrouillé ignoré

D:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

D:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

D:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

D:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

HIJACKTHIS :

Logfile of HijackThis v1.99.1

Scan saved at 15:42:31, on 07/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\Program Files\ewido anti-spyware 4.0\guard.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\QuickTime\qttask.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\HP\hpcoretech\hpcmpmgr.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\WINDOWS\system32\NOTEPAD.EXE

D:\Program Files\Windows Media Player\wmplayer.exe