infecté par Win32:Horst-C; aidez moi please!!!(RESOLU)

[macAmber]

Bonsoir tout le monde. J'ai effectué toute la procédure de pré-nettoyage (qui est très bien faite pour les débutants CHAPEAU!!).

 

Voila ce que me donne HIJACKTHIS:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:23:17, on 16/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\TuneUp Utilities 2006\RegistryDefrag.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Documents and Settings\Marion\Bureau\HijackThis.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://votreportail.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F42EF13-3CD4-418A-86E0-C0D034DA086D}: NameServer = 193.252.19.3,193.252.19.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

 

 

 

Alors bien entendu c'est du charabia complet pour moi, alors j'ai besoin de vos lumières si vosu voulez bien bien sur .

 

En ce qui concerne Antivir il ma trouvé 5 virus qui ont été supprimés. (Je sais pas si sa peut aider...) et pour ce qui est de ma protection sur l'ordi, j'ai AVAST pro, AdAware SE et comme chui parano avec sa je fais plein de scan sur Panda.

 

Voilà je crois que j'ai tout di ou du moins je crois. MErci d'avance pour votre aide vraiment très précieuse.

 

Bonne soirée @+

 

MacAmber

Modifié le 31 juillet 2006 par macAmber

[Malekal_morte]

Bonsoir macAmber,

 

ton rapport semble propre.

 

Tu peux faire ce scan en ligne :

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

 

Sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[macAmber]

 

 

Re bonsoir Malekal_morte,

 

alors si mon log à l'air propre je ne comprend pas car Avast s'affole avec le Trojan WIn32:Horst-C. peut être qu'il s'est viré en faisant un scan normal avec antivir, je c pas

 

tu vas rigoler mais le scan de panda ne démarre absolument pas meme après avoir suivi toutes les instructions avec IE et Avast. En fait tout va bien jusqu'a ce que je choisisse de scanner "my computer", la fenêtre s'ouvre mais le scan démarre pas.

 

Je ne sais absolument pas de quoi cela peut venir, j'ai rebooté l'ordi et sa me fait pareil.

 

Donc mystère mystère tu sais je suis très entouré de mystères dans ma vie de tous les jours

 

merci @+

[Malekal_morte]

C'est possible qu'antivir l'ait massacré.

Mais ça serait bien de faire un scan en ligne.

 

Essaye sur Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Copie/colle le rapport du scan ici

 

 

Sinon essaye ceci :

1/ Ajout/supp de programmes : désinstalle Panda Active Scan

Supprime le dossier C:\WINDOWS\system32\ActiveScan et supprime l'objet "activeScan installer class" dans C:\WINDOWS\Downloaded Program Files\

 

2/ dans outils/options internet.

onglet sécurité => places toi sur la zone "internet" et cliques "valeurs par défaut". Vas ensuite à l'onglet avancé et cliques aussi sur valeurs par défaut.

 

3/ Retente le scan Panda avec tous les logiciels de protections désactivés!

 

 

Pour Avast, donne le fichier détecté.

Regarde si tu as les fichiers C:\WINDOWS\system32\mscfg.dll et C:\WINDOWS\system\smss.exe (attention system pas system32)

Modifié le 17 mai 2006 par Malekal_morte

[macAmber]

oki merci à toi je m'occupe de ça ce soir après le boulot. Je te tiens au courant .

 

Encore merci

 

a+

 

mercamber

[macAmber]

Salut Malekal, finalement j'ai peu faire un scan en ligne avec panda,ça a marché après avoir désinstallé active scan. Donc c bon. Il m'a trouvé 29 logiciels espions. Je colle le rapport du scan:

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.247realmedia.com/]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.2o7.net/]

Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.adopt.hbmediapro.com/]

Spyware:Cookie/PointRoll No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.ads.pointroll.com/]

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.as-eu.falkag.net/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.bs.serving-sys.com/]

Spyware:Cookie/BurstNet No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.burstnet.com/]

Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.casalemedia.com/]

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.com.com/]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.microsofteup.112.2o7.net/]

Spyware:Cookie/WUpd No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.revenue.net/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.statcounter.com/]

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.toplist.cz/]

Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.tribalfusion.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/Yadro No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.yadro.ru/]

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[.zedo.com/]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[fl01.ct2.comclick.com/]

Spyware:Cookie/Searchportal No Désinfecté C:\Documents and Settings\Marion\Application Data\Mozilla\Firefox\Profiles\qouj4abd.default\cookies.txt[searchportal.information.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marion\Cookies\marion@weborama[1].txt

 

 

 

voila pour panda.

 

Ensuite je n'ai pas les fichiers:

 

- C:\WINDOWS\system32\mscfg.dll

- C:\WINDOWS\system\smss.exe

 

 

Pour ce qui est de Avast voila les fichiers infectés que j'ai laissé en quarantaine:

 

20exmodul32.exe

29exmodul32.exe

 

et plein de fichiers (12 autres) du meme genre avec un numéro suivi de exmodul32.exe, ils se trouvent dans TEMP du C:\ ; ils sont infectés par WIN32:horst-C

 

ensuite il y a d'autres fichiers du genre:

A0055944.exe qui se trouvent dans System Volume Information: Tous cela sont infecté par Win32:Trojano-G

 

 

Voilà ce que j'ai pu trouver et ce que tu m'a demandé.

 

Je voulais aussi savoir si je pouvais supprimer tous les fichiers de la quarantaine d'AVast.

 

Merci pour ton aide, A +, je repars o boulot

[Malekal_morte]

Ok Antivir t'a supprimé la grosse partie, le trojan n'est plus actif.

 

- Demarrer / executer / tape services.msc

- Cherche Windows Log dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

 

- Nettoye et corrige les erreurs avec CCleaner

 

puis

 

Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

 

 

Avast détecte-t-il tjrs des éléments?

Modifié le 17 mai 2006 par Malekal_morte

[macAmber]

re,

 

merci pour ta rapidité. Je suis rassuré gràce à Antivir lol

 

En rentrant chez moi ce soir je ferai ce que tu m'a dit et j'espère que j'aurai enfin mon ordi propre!!!!

 

En ce qui concerne Avast apparemment il ne me détecte plus le virus donc c positif déjà. Je l'avai déjà fait fonctionner au démarrage de l'ordi par la fonction "planifier un scan au démarrage" et il m'avait trouvé plein de truc. Tous les éléments sont dans la quarantaine, tu crois que je peux les supprimer?

 

A o fait, j'oubliai: A quoi cela sert il de désactiver "windows log" stp? merki

 

 

JE te remercie beaucoup pour tes aides. Je voulais aussi te dire ke ton site est super bien fait j'ai imprimé plein de pages .

 

Voila a+

Modifié le 17 mai 2006 par macAmber

[macAmber]

re,

 

ça y est j'ai fait tout ce que tu m'as demandé, il y a l'air de ne plus y avoir de petites bestioles dans mon PC. MAis bon je ne vends pas la peau de l'ours avant de l'avoir tué. Donc pour l'instant c bon.

 

S'il y autre chose à me faire faire j'attends de t nouvelles.

 

JE te remercie vraiment beaucoup, c génial de pouvoir etre aidé aussi efficacement. BRAVO

[Malekal_morte]

Je pense que c'est OK.

 

Je te conseil de jeter un coup d'oeil à ces liens.

 

______

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses, plus nous serons nombreux, plus nous aurons de poids : crées un message selon ton infection, cela prend 5 minutes!