Trojan.Proxy.Horst.CG impossible a virer, help

Trojan.Proxy.Horst.CG impossible a virer, help - Sécurité - Windows & Software

Marsh Posté le 30-09-2006 à 11:39:50    

J'ai été infecté par ce trojan, je truc c'est que je fais super gaffe aux mails, je scanne les rucs que je dl et mon anti-virus est toujours a jour :??:  
 
Ma petite soeur utilise souvent MSN vous pensez que ça a pu venir de la?
Du coup je sais pas si c'est lié mais internet est super lent avec IE et impec avec FireFox :??:  
un probleme de connection d'après windows
http://img139.imageshack.us/img139/4228/sanstitreye3.jpg
 
J'ai déjà eu un souci de trojan et on m'a aidé avec les logiciels ewido et killbox, mais la je sais comment refaire la manip mais cette fois-ci je dois cocher quoi vu que c'est un autre trojan?
 
Voici mon rapport hijack:

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 11:20:35, on 30/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Softwin\BitDefender9\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\program files\softwin\bitdefender9\bdnagent.exe
C:\program files\softwin\bitdefender9\bdswitch.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Softwin\BitDefender9\bdlite.exe
D:\Animes\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version7/Applet/vchatsign.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


 
 

Citation :

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les  manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
 
1 Télécharge Killbox.
http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît.
 
2 Clique sur Démarrer
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
 
3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.  
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
 
4 Relance un scan HijackThis et coche les lignes ci-dessous :
 
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)  
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w  
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)  
O23 - Service: DirectX Service (DirectHyfb) - Unknown owner - c:\windows\system32\directx.exe (file missing)  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
 
Dans la liste des services, cherche et sélectionne  
"DirectX Service" / double clique sur la ligne  
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "c:\windows\system32\directx.exe" / dans Type de démarrage,  
sélectionne Désactiver / valide la modification.
 
6 Lance le nettoyage avec CCleaner.
 
7 Lance Pocket Killbox.  
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard
 
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\XjSVgjl124.ini  
c:\windows\system32\directx.exe
C:\Documents and Settings\All Users\Documents\setup.exe  
 
* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :
 
- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder
 
8 Redémarre normalement  
 
9 Clique sur Démarrer  
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
 
10 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
 
C:\Documents and Settings\All Users\Documents
 
Poste un nouveau log HijackThis.


La dernière fois j'ai eu ces instructions (merci bcp chercheurbis)
Merci :jap:


Message édité par gaymer's le 30-09-2006 à 11:42:24
Reply

Marsh Posté le 30-09-2006 à 11:39:50   

Reply

Marsh Posté le 30-09-2006 à 12:10:56    

Bonjour
 
Chaque cas est différent.
Comment sais tu que tu es infecté ?
Quelle est la localisation donnée par BitDefender ?
 
HijackThis est propre.
 
Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
 
Colle son rapport ici.

Reply

Marsh Posté le 30-09-2006 à 12:17:40    

J'ai fait un scan bitdefender et j'ai trouvé ça:
C:\Documents and Settings\All Users\Documents\setup.exe Infecté avec: Trojan.Proxy.Horst.CG
 
En fait tout est venu du probleme avec IE qui affiche internet super lentement alors que c'est fluide sur FireFox
 
Je peux pas faire de Kaspersky online avec FireFox et comme IE marche pas je suis coincé

Reply

Marsh Posté le 30-09-2006 à 13:02:30    

Supprime ce dossier  
 
C:\Documents and Settings\All Users\Documents
 
En mode sans échec si cela résiste.
 
Avec Firefox.
Fais une analyse antivirus en ligne sur TrendMicro
http://fr.trendmicro-europe.com/co [...] launch.php
 
Colles le rapport ici.

Reply

Marsh Posté le 30-09-2006 à 14:03:56    

oki thanks je vais essayer

Reply

Marsh Posté le 30-09-2006 à 14:17:41    

Je peux pas effacer le fichier documents, par contre j'ai effacé le fichier setup.exe esperons juste qu'il revienne pas comme c'est souvent le cas avec les trojans.
 
Mon probleme avec IE est lié?

Reply

Marsh Posté le 30-09-2006 à 22:35:00    

Re
 
Peut être.
 
Poste le rapport de Trend Micro.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed