Win32:Horst-C [Trj]

[Mr. Mojo]

Bonjour à tous,

Avast m'indique qu'il a trouvé le cheval de Troie cité en en-tête. Après diverses tentatives, il résiste à tous mes assauts.

Pouvez-vous m'indiquer la marche à suivre pour l'éradiquer ?

Merci par avance.

[Jet Li]

Bonjour, et bienvenu. Fais ceci :

Télécharge hijackthis. Pour lancer l'annalyse, ouvres hijackthis et clique "Do a system scan and save a logfile", ensuite tu postes ton log ici (c'est le rapport de l'annalyse sous forme de bloc note )
Important : Mets hijackthis dans un dossier portant son nom, et non dans un dossier temporaires. Lors de l'annalyse, tu dois fermer tous tes programmes en cours.

Fais un scan panda et postes ton rapport de ce scan ici une fois terminé !

Pour poster tes rapports, fais de cette manière : clique ici
_________________
Jet Li

[Mr. Mojo]

Voici le log HijachThis : log HijackThis.

J'ai nettoyé ce qui me semblait louche mais peut-être en reste-t-il.

J'ai lancé le scan de Panda. Il va prendre au moins toute la nuit. Je poste le log demain matin.

[Mr. Mojo]

Et le log de Panda : log Activescan.

Apparemment il a déjà fait pas mal de ménage, et je ne vois pas le Win32:Horst-C [Trj]. Peut-être avais-je réellement réussi à le supprimer.

J'attends vos instructions.

[Jet Li]

Alors, télécharges :

ATF Cleaner
Ewido

1/ Installes Ewido (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").
Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

2/ Lance ATF-Cleaner : Double-clique sur ATF-Cleaner.exe
Coche ceci :

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin


Clique sur Empty Selected et au message "Done Cleaning" sur Ok

2/ Supprimes les fichiers en gras :

C:\Documents and Settings\Famille\Favoris\Fun & Games
C:\Documents and Settings\Famille\Application Data\[b]SpamExtract

Vas dans démarrer/Executer, et tapes regedit, ensuites vas dans fichier/exporter ( c'est pour faire une sauvegarde ), puis supprime ces clées :

hkey_current_user\software\Need2Find
hkey_classes_root\clsid\{147A976E-EEE1-4377-8EA7-4716E4CDD239}

3/ Lance Ewido et clique sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer ici.

4/ Vides ta corbeille, et redémarres ton PC

5/ Ensuites, refais un scan panda.
_________________
Jet Li

[Mr. Mojo]

Problème résolu, le dernier scan de Panda était nickel.

Merci pout ton aide Jet Li.

[Sév]

Bonjour à vous deux,

Mr. Mojo, ton rapport Panda est peut être propre, mais ce n'est pas le cas de ton log HJT. Il y a certaines choses qui ont échappé à Panda sur ce coup...

1. Vide la quarantaine de ton AV résident,
   
   
2. Télécharge & installe CCleaner et imprime le tuto.
   
   
3. Télécharge & installe a² Free, mais ne lance pas le scan pour l'instant.
   
   
4. Lance le nettoyage avec CCleaner comme c'est expliqué sur le tuto.
   
   
5. Redémarre en mode sans échec
   
   
6. Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
   
   O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
   O4 - HKLM\..\Run: [ScanRegistry] C:\W
   
   
7. Clique sur Fix Checked et accepte les modifications.
   
   
8. Lance a² Free, et supprime tout ce qu'il trouve.
   
   
9. Redémarre ton pc
   
   
10. Fais un scan en ligne avec KAV
    
    
11. Nouveau log HijackThis.

Bon courage
@+


[HS]Pour Jet Li : La version de HijackThis proposée sur les pages d'Informatruc contient un installeur intégré qui met HijackThis directement dans son propre dossier, à la racine de C:\ [/HS]
_________________

[Mr. Mojo]

Salut Lo,

Merci pour les infos.

J'avoue que je suis un peu feignant sur ce coup-là mais c'est l'ordinateur de mes parents et je repars demain vers Mayotte. Du coup, j'ai plein d'autres choses à faire aujourd'hui.

J'ai simplement supprimé les entrées que tu m'as indiqué avec HijackThis et ça ira bien comme ça.

En tout cas merci infiniment à vous deux pour le temps que vous m'avez consacré.

[Sév]