Jump to content

[LOGICIEL] Trojan Win32 : Horst GH (trj).....


Nébaf

Recommended Posts

Bonjours a tous les INpactiens

et encore plus à ceux qui peuvent m'aider !!!! :cartonrouge:

J'ai quelque soucis a me débarraser de ce Trojan => Win32 : HorstGH(trj)

Aprés avoir scanner avec Avast!, utiliser l'outils de désinfection Avast! (présent sur le site...) et enfin essayé de supprimer tout le Dossier Temp de Windows (les fichiers infectés sont dedans) .... il revient toujours..... :cartonrouge:

Est-ce que quelqu'un en connait plus sur ce Trojan ?

Ou une a solution pour le dégager ?? :-D

Sinon tanpi formatage mais je vient de la faire ya un mois .......

Merci d'avance pour vos reponse !!!

-----------------------------------------------------------------------------------------

;)

Sorry j'me suis peut-être trompé d'endroit, j'ai vu qu'aprés la section sécurité dans la section "Windows(Logiciel)"

Si un modo passe par là....... merci !

Link to comment
Share on other sites

Merci pout tou ces conseil .....

Tout d'abort voici le scan navilog......

Je vous envoie le scan HiJackThis dans la journée ...

Merci....

---------------------------------------------------------------------------------------------------------------------

Search Navipromo version 1.0.2 commencé le 13/02/2007 à 11:50:06,18

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis D:\Jean-Marc\Mes documents\navilog1

Mise a jour le 14.01.2007 a 11h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of April, 2007.

Version information: 2.2.1055.

[+] Started on 02/13/07 at 11:50:07.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ...................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 02/13/07 at 11:52:53 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

Le résultat peut révéler des fichiers légitimes !

*

**

***

****

*****

******

*** Analyse Terminé le 13/02/2007 à 11:53:36,12 ***

Link to comment
Share on other sites

Salut,

Si je peux me permettre d'interférer.

http://www.malekal.com/Trojan-Proxy.Win32.Horst.php ne l'aidera pas (m'enfin tu peux faire la manip car il est peut-être à la source de ton infection).

Le tuto de cette page est fait pour les personnes qui se trouvent avec un fichier setup.exe infecté par Trojan.Horst qui revient (dû à une faille sur le serveur Windows et le partage de connexion accessible depuis l'internet). A l'issu de l'execution de ce fichier setup.exe la personne se trouve infecté par l'infection décrite ci-dessous dont Nébaf est victime.

Lui il parle plutot de fichiers dans %TEMP% infectés par Trojan.Horst, dans ce style là :

C:\WINDOWS\Temp\70exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\WINDOWS\Temp\70exmodulbf.exe Effacé

C:\WINDOWS\Temp\71exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\WINDOWS\Temp\71exmodulbf.exe Effacé

C:\WINDOWS\Temp\65exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\WINDOWS\Temp\65exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\7exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\7exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\67exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\67exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\97exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\97exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\50exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\50exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\77exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\77exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\82exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\82exmodulbf.exe Effacé

C:\Documents and Settings\Parents\Local Settings\Temp\89exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\Parents\Local Settings\Temp\89exmodulbf.exe Effacé

C:\Documents and Settings\guigui\Local Settings\Temp\52exmodulbf.exe Infecté avec: Trojan.Spambot.AZ

C:\Documents and Settings\guigui\Local Settings\Temp\52exmodulbf.exe Effacé

etc..

etc..

Cela signifie que tu es infecté par Trojan.Spambot.

Ton ordinateur est devenu une machine à envoyer des mails de spam. Si tu as un antivirus qui check les mails sortants (comme norton ou Avast!) il devrait crier de partout...

Cela créé plein de fichiers dans %TEMP% et sature par mal la CPU. Les fichiers dans le %TEMP% reviennent.. reviennent tant que le processus à l'origine de l'infection n'a pas été supprimé.

Ton infection n'est pas du tout difficile à supprimer... elle est même très simple.

Je te conseille de suivre plutôt cette procédure : http://www.malekal.com/Trojan_SpamBot.php pour que tout revienne niquel :)

NB : Le service "Windows Log" décrit dans la page peut ne pas être présent sur ton système, continue alors la procédure.

Voila !

Bonne journée à tous :)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...