Pc infecté par horst-c:RESOLU PAR REGIS 56!! MERCI!!

[lionel34]

merci Regis 56 pour ta réponse.

J'ai malgrés tous ces bon conseil un soucis:

 

Lorsque je veux faire la sauvegarde du registre :demarer/executer/taper: regedit /Sav.reg

Je fait Ok (ou ouvrir je sais plus) et rien ne se passe .

 

Peux tu men dire plus?

Merci

[lionel34]

donne moi aussi STP des precision sur le fichier bloc note que je doit creer à l'étape suivante:

Ma question te paraitra peut etre béte mais comment fait on pour creer ce type de fichiers?

[regis56]

Re

 

Lorsque je veux faire la sauvegarde du registre :demarer/executer/taper: regedit /Sav.reg

Je fait Ok (ou ouvrir je sais plus) et rien ne se passe .

 

C'est normal !

Eventuellement tu vois le petit sablier c'est tout !

Par contre vérifie d'avoir le fichier Sav.reg à cet endroit

 

C:\Documents and Settings\Le nom de ta session\Sav.reg

 

Si tu l'as c'est que la sauvegarde à fonctionnée !

 

Pour créer le fichier .reg passe cette étape d'abord STP et ensuite rééssai

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

A plus !

[lionel34]

Salut Regis

donc voici le resultat de la procédure accomplie:

 

Les programmes My Way et SearchUpgrader n'etaient pas present donc je ne les ai pas desinstalles.(evidement !!)

 

Pour ce qui est de la supression des fichier:je les ai supprimés

Pour ce qui est du dossier C:\program files\MyWay, il etait présent mais vide.

Je l'ai malgrés ca supprimé.(j'ai essayé de suivre tes instruction à la lettre)

 

 

Pour ce qui est du scan easycleaner, voici le rapport des fichiers qu'il n'arive pas à supprimer:

 

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5 0 13/05/2006 18:08:38 S

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat 32768 Fichier DAT 14/05/2006 00:34:14 A

 

Pour ce qui est du scan ewido, voici le rapport:

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 09:53:15, 14/05/2006

+ Somme de contrôle: 2E0308F

 

+ Résultats du scan:

 

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@as.casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@zedo[2].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Pour ce qui est du scan hijacqThis voici le rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:06:25, on 14/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\Liveupdate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://www.press-vision.com/files/widelook/widelookX.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

Pour les dysfonctionnements, je ne sais pas, je vais faire le scan chez Panda puis je lancerai Avast pour voir si il me detecte tjrs ce "Horst-c.

 

Je te transmet le raport panda des que c'est terminé

A+

[lionel34]

voici le rapport du scan Panda:

 

Incident Status Location

 

Potentially unwanted tool:application/myway Not disinfected hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}

Spyware:Cookie/888 Not disinfected C:\Documents and Settings\AURELIEN\Cookies\aurelien@888[2].txt

Spyware:Cookie/Kazaa Networks Not disinfected C:\Documents and Settings\AURELIEN\Cookies\aurelien@desktop.kazaa[1].txt

Spyware:Cookie/TouchClarity Not disinfected C:\Documents and Settings\AURELIEN\Cookies\aurelien@intercasino.touchclarity[1].txt

Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@bluestreak[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\LIONEL VALAT\Cookies\lionel valat@xiti[1].txt

J'attends tes instructions et je démare un scan de Avast pour voir ce qu'il detecte.

A+

[regis56]

Bonsoir lionel34 !

 

Voici ce que tu vas faire !

 

faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper :

regedit /e Sav2.reg

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav2.reg

 

- Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}]

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.

 

- Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Ensuite refais un scan panda pour voir STP !

 

A plus !

[lionel34]

Salut Regis

Voici le résultat de Avast : Win 32:ctx est detecté ainsi que Horst-c

le virus est tjrs detecté et je te donnes la copie des mail envoyés à avast:

 

 

>>:_CHEST_ANALYZE_:<<

 

Virus name: Win32:Horst-C [Trj]

Original file location: C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\73exmodul32.exe

Computer name: SALLEAMANGERL

Transfer time: 13.05.2006 09:10:17

Modification time: 13.05.2006 07:10:14

Total size: 65024

Comment:

 

File ID: 17

Category: 1

 

>>:_CHEST_ANALYZE_:<<

 

Virus name: Win32:Horst-C [Trj]

Original file location: C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\40exmodul32.exe

Computer name: SALLEAMANGERL

Transfer time: 11.05.2006 23:51:16

Modification time: 11.05.2006 21:51:05

Total size: 65024

Comment:

 

File ID: 14

Category: 1

 

Virus name: Win32:Horst-C [Trj]

Original file location: C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\37exmodul32.exe

Computer name: SALLEAMANGERL

Transfer time: 12.05.2006 09:52:32

Modification time: 12.05.2006 07:52:20

Total size: 65024

Comment:

 

File ID: 15

Category: 1

 

Je précise qu'il bloque sur des fichiers qu'il ne peut pas scanner

 

 

Pour ce qui est de la dérnière manip a effectuer, je n'ai pas le temps ce matin car je part au boulot ais des ce soir je m'en occupe et je te tient au courant.

 

A+

[regis56]

Bonsoir lionel34 !

 

Alors on va continuer comme ceci !

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip

Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

Télécharge ATF Cleaner par Atribune.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\73exmodul32.exe

C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\40exmodul32.exe

C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\37exmodul32.exe

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds NON

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\DOCUME~1\LIONEL~1\LOCALS~1\Temp\

Le dossier va s'ouvrir

Séléctionne tout (clique droit /supprimer)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Redémarre en mode normal !

 

Refais un scan Avast STP

 

Bon courage à plus !

[lionel34]

Salut Regis

Voici le resultat de la procédure que tu m'as indiqué:

 

Lors de la suppression du dossier C:\DOCUMENT~1\LIONEL~1\LOCALS~1\Temp\ ou plutot de ses fichiers (c'est pareil en fait!) il a refusé de supprimer les fichiers suivant:

 

DF4C25 type tmp (je sais plus si c'est en maj les lettres du fichier et du type)

DF92BA type::Tmp

WRF0000 type :tmp

DF4FFA type :tmp

DF5974 type tmp

 

Voila pour la procédure.

 

Sinon un point à te souligner:

Lors du lancement de killbox, impossible de rentrer les trois fichiers en meme temps malgré la procédure et le lien explicatif que j'ai suivi à la lettre .

J'ai donc selectionné un à un les trois fichiers puis j'ai activé" single file "au lieu de "all files"puis le X en blanc sur fond rouge pour chacun.

Je ne sais pas si c'est important mais je préfere te le preciser au cas ou ca changerai quelque chose pour le resultat.

J

e viens de lancer Avast et comme je le régle sur "scan minutieux" il en à pour un moment.

Donc rapport de avast demain je pense

 

A+

Lionel

[lionel34]

salut Regis

Resultat du scan avast: !!!!!!!!!!plus aucun virus de detecté!!!!!!!!!!!!!

en revanche est il normal qu'il indique qu'il na pas pu scanné plus de 1600 lignes?(scan imposible)

Je fais un scan panda et je t'envoie le rapport

A+