Pb avec le trojan Horst-c

Tointoin · le 30 avril 2006

Suite des événements:

j'ai quand même réussit a faire un scan avec panda, je n'ai pas trouvé le rapport mais il disait qu'il n'avait pas rien trouvé.

A tout a l'heure j'espère.

bon après midi

Thanos · le 30 avril 2006

salut Tointoin

Pour ce qui est de ce fichier: C:\windows\system32\activeScan\pskavs.dll

pas de soucis!!Tu as téléchargé l'active x de Panda scan,et c'est un faux positifs détecté par Avast => http://www.avast.com/eng/faq_panda.html (Avast et Panda sont en conflit....)

Pense à passer par Ajout/suppression de programme, pour désinstaller le Panda Active Scan

Par contre, pour celui ci=> C:\windows\system\smss.exe , il est infectieux !! le fichier légitime(qu'il ne faut pas éliminer!!) se trouve dans le répertoire C:\windows\system32.

Tu dis qu'avast a trouvé ces deux éléments, les as t'il éliminé?

Assure toi que ce fichier n'existe plus => C:\windows\system\smss.exe

et élimine le si il est présent. (pas dans le dossier system32 hein!!).

Pour les fichiers détectés par le scan de Kaspersky, ne t'inquiêtes pas, on s'en occupe après de manière très simple

Peux tu faire ce scan approfondi stp pour voir si rien ne subsiste s'il te plait:

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Tointoin · le 30 avril 2006

Voilà j'ai fini les manips que tu m'a demandées, désolé j'ai été un peu long.

Tout s'est trés bien passé sauf que je n'ai pas eu de rapport a l'endroit où tu m'a dit et je n'ai que le gros rapport en txt, comme il est trop long voici les lignes qui semblent avoir des erreurs, si tu veux que je te post tout le log dit le moi.

Voici donc les erreurs:

-Sun Apr 30 20:15:48 2006 => ERROR!!! Invalid Entry \??\C:\DOCUME~1\Tonio\LOCALS~1\Temp\lredbooo.sys in SYSTEM\CurrentControlSet\Services\lredbooo...

-Sun Apr 30 20:15:56 2006 => ERROR!!! Invalid Entry C:\WINDOWS\system32\nvsvcd.exe in SYSTEM\CurrentControlSet\Services\Windows Log...

-Sun Apr 30 20:22:57 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\Cookies\index.dat

-Sun Apr 30 20:23:04 2006 => ERROR!!! ScanFile fails fo rC:\DOCUME~1\Tonio\LOCALS~1\APPLIC~1\MICROS~1\Windows\UsrClass.dat

-Sun Apr 30 20:23:04 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\LOCALS~1\APPLIC~1\MICROS~1\Windows\USRCLA~1.LOG

-Sun Apr 30 20:23:05 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\LOCALS~1\HISTOR~1\History.IE5\index.dat

-Sun Apr 30 20:23:05 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\LOCALS~1\HISTOR~1\History.IE5\MSHIST~2\index.dat

-Sun Apr 30 20:23:40 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\LOCALS~1\TEMPOR~1\Content.IE5\index.dat

-Sun Apr 30 20:32:04 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\NTUSER.DAT

-Sun Apr 30 20:32:04 2006 => ERROR!!! ScanFile fails for C:\DOCUME~1\Tonio\NTUSER~1.LOG

-Sun Apr 30 21:05:27 2006 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Accès refusé. (0x5)

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\Antivirus.Evt

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\AppEvent.Evt

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SecEvent.Evt

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SysEvent.Evt

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system

-Sun Apr 30 21:14:43 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG

-Sun Apr 30 21:23:57 2006 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Merci et bon courage a tout a l'heure

Thanos · le 30 avril 2006

salut Tointoin

Pourrais tu stp faire une recherche comme ceci=>

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle les entrées en bleu dans les lignes de la zone de recherche:

Windows Log

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

Poste un nouveau rapport hijackthis en plus

Edit : as trouvé et éliminé ce fichier ? =>

C:\windows\system\smss.exe

Modifié le 30 avril 2006 par charles ingals

Tointoin · le 1 mai 2006

Salut Charles,

Ok je fais la manip ce matin.

Pour ce qui est de C:\windows\system\smss.exe, quand avast me l'a trouvé je l'ai mis en quarantaine puis supprimé, j'ai vérifié ensuite il n'existe plus.

a toute a l'heure pour la suite

Merci

Tointoin · le 1 mai 2006

Voilà j'ai ce que tu m'a demandé (je crois), je n'est pas trés bien compris ce qu'il fallai mettre dans la ligne "Enter string to exclude from results" de RegSearch alosr j'ai été dans C:\program files\windows, et là j'ai copié les noms des fichiers qui étaient en bleu. J'espère que c'était bien ça que tu voulais;

Dit moi si c'est bon ou pas .

Voici les rapports:

REGEDIT4

; Version: 2.0.0.1

; Results at 01/05/2006 10:29:37 for strings:

; 'control.ini'

; 'nsreg.dat'

; 'setuperr.log'

; 'sti_trace.log'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\control.ini]

[HKEY_LOCAL_MACHINE\SOFTWARE\TuneUp\Utilities\DiskCleaner\Categories\NullByteFiles]

"ExcludeFile"="data.sav;data.bak;W95UNDO.ini;*.myd;autoexec.bat;config.sys;io.sys;msdos.sys;control.ini;*.part;out*.prn;*.met;*.slt;*.sbd;admin.pub;*getright*;*__INCOMPLETE___*;cache.dat;cache.ind;chnicon.bmp;signatures.ini;*.idx;*.mbs"

; End Of The Log...

Logfile of HijackThis v1.99.1

Scan saved at 10:33:55, on 01/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\LVComS.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.fr/

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B67E451E-C120-4343-BCEB-910DDBFFB953}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci encore et a tout à l'heure

Tointoin · le 1 mai 2006

Salut Charles,

Je voulais juste dire que je n'avait pour l'instant plus de problème de trojan, donc est ce que tu crois que c'est bon et retse -t -il des manips

En tout cas ça va beaucoup mieux

merci

Thanos · le 1 mai 2006

salut Tointoin

Voilà j'ai ce que tu m'a demandé (je crois), je n'est pas trés bien compris ce qu'il fallai mettre dans la ligne "Enter string to exclude from results" de RegSearch alosr j'ai été dans C:\program files\windows, et là j'ai copié les noms des fichiers qui étaient en bleu. J'espère que c'était bien ça que tu voulais;
Dit moi si c'est bon ou pas .

Non, en fait je voulais que tu mettes cet élément(copie/colle le) dans la ligne de recherche de Regsearch=>

Windows Log

Ensuite tu postes le rapport stp

Tointoin · le 1 mai 2006

Bon et bien je crois que cette fois c'est bon , j'ai mis "windows log" dans la ligne de recherche de regsearch.

Voici les 2 rapports:

REGEDIT4

; Version: 2.0.0.1

; Results at 01/05/2006 15:31:04 for strings:

; 'windows log'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000]

"Service"="Windows Log"

"DeviceDesc"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log]

"DisplayName"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]

"Service"="Windows Log"

"DeviceDesc"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]

"DisplayName"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]

"Service"="Windows Log"

"DeviceDesc"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]

"DisplayName"="Windows Log"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log\Enum]

; End Of The Log...

Logfile of HijackThis v1.99.1

Scan saved at 15:34:39, on 01/05/2006