Gros problème avec un trojan !
Résolu
Laurent
-
Laurent -
Laurent -
Bonjour à tous,
PC Cillin m'indique que mon PC a été infecté par le trojan sartpge.ak. et je n'arrive pas à m'en débarrasser. J'ai donc besoin d'aide pour éradiquer cette sale bête.
Voici le scan de Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 22:10:21, on 18/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\schost.exe
C:\Program Files\Microsoft Money\System\reminder.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\PC-cillin 9\WebTrap.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\Documents and Settings\Stéphanie et Laurent\Mes documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [System Service] schost.exe
O4 - HKLM\..\RunServices: [System Service] schost.exe
O4 - HKCU\..\Run: [Reminder] C:\Program Files\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
Merci d'avance pour vos éventuelles réponses.
Laurent
PC Cillin m'indique que mon PC a été infecté par le trojan sartpge.ak. et je n'arrive pas à m'en débarrasser. J'ai donc besoin d'aide pour éradiquer cette sale bête.
Voici le scan de Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 22:10:21, on 18/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\schost.exe
C:\Program Files\Microsoft Money\System\reminder.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\PC-cillin 9\WebTrap.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\Documents and Settings\Stéphanie et Laurent\Mes documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [System Service] schost.exe
O4 - HKLM\..\RunServices: [System Service] schost.exe
O4 - HKCU\..\Run: [Reminder] C:\Program Files\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
Merci d'avance pour vos éventuelles réponses.
Laurent
A voir également:
- Gros problème avec un trojan !
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
6 réponses
Salut,
Telecharge ceci :
A2 Free (anti-trojans et worms)
http://www.emsisoft.net/fr/software/download/
Et scan ton pc avec !
Tiens moi au courant
A+
Telecharge ceci :
A2 Free (anti-trojans et worms)
http://www.emsisoft.net/fr/software/download/
Et scan ton pc avec !
Tiens moi au courant
A+
re,
*svchost.exe apparait 4 fois < c est tout a fait normal, rien de mechant, pas d inquietude
*relance hijack this et verifie que ces 2lignes ont disparu
O4 - HKLM\..\Run: [System Service] schost.exe
O4 - HKLM\..\RunServices: [System Service] schost.exe
*fais ce scan en ligne
http://www.bitdefender.com/scan/licence.php
copie/colle le rapport
*Dis moi si tu as des soucis
a+
*svchost.exe apparait 4 fois < c est tout a fait normal, rien de mechant, pas d inquietude
*relance hijack this et verifie que ces 2lignes ont disparu
O4 - HKLM\..\Run: [System Service] schost.exe
O4 - HKLM\..\RunServices: [System Service] schost.exe
*fais ce scan en ligne
http://www.bitdefender.com/scan/licence.php
copie/colle le rapport
*Dis moi si tu as des soucis
a+
Les deux lignes ont bien disparu sur hijack.
J'ai également fait le scan sur bitdefender et voici le rapport :
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Infected with: Trojan.Downloader.IstBar.JI
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Disinfection failed
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Deleted
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Infected with: Backdoor.Rbot.ANE
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Disinfection failed
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Deleted
C:\WINDOWS\system32\schost.exe
Infected with: Backdoor.SDBot.FA304CC0
C:\WINDOWS\system32\schost.exe
Deleted
Que penses-tu de tout ça ?
Encore merci pour ton aide.
Laurent
J'ai également fait le scan sur bitdefender et voici le rapport :
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Infected with: Trojan.Downloader.IstBar.JI
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Disinfection failed
C:\Documents and Settings\Stéphanie et Laurent\Local Settings\Temp\jfgudk.exe
Deleted
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Infected with: Backdoor.Rbot.ANE
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Disinfection failed
C:\System Volume Information\_restore{9E5C937A-7CFB-43E3-855F-F0A751E3DB76}\RP237\A0045729.exe
Deleted
C:\WINDOWS\system32\schost.exe
Infected with: Backdoor.SDBot.FA304CC0
C:\WINDOWS\system32\schost.exe
Deleted
Que penses-tu de tout ça ?
Encore merci pour ton aide.
Laurent
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
J'ai mis à jour Windows avec le SP2, tout semble fonctionner normalement mais il y a toujours ce fichier svchost.exe qui, lorsque que je l'arrête avec le gestionnaire des tâches, me fait redémarrer l'ordinateur en me laissant 1 minute pour enregistrer mon travail. Ca ne me dérange pas outre mesure mais je trouve ça bizarre. Qu'en penses-tu ?
Sinon, autre question, que me conseilles-tu comme logiciels pour m'éviter toutes ces mésaventures à l'avenir ?
A+
Laurent
J'ai mis à jour Windows avec le SP2, tout semble fonctionner normalement mais il y a toujours ce fichier svchost.exe qui, lorsque que je l'arrête avec le gestionnaire des tâches, me fait redémarrer l'ordinateur en me laissant 1 minute pour enregistrer mon travail. Ca ne me dérange pas outre mesure mais je trouve ça bizarre. Qu'en penses-tu ?
Sinon, autre question, que me conseilles-tu comme logiciels pour m'éviter toutes ces mésaventures à l'avenir ?
A+
Laurent
D'abord, merci pour ta réponse.
Après avoir parcouru le forum, et avant d'avoir lu ton message, j'avais déjà effectué quelques opérations : j'ai effectivement scanné mon PC avec A2, en mode sans échec et il a trouvé 4 malwares. J'ai aussi supprimé, avec hijackthis, la ligne suivante :
O4 - HKLM\..\RunServices: [System Service] schost.exe
Auparavant, avec msconfig, j'ai décoché les programmes suivants qui se lançaient au démarrage du PC : schost.exe, rserv.exe, msnq3insller, nwiz.exe (dont certains correspondent à des malwares enlevés par a2).
Depuis, ma connexion internet semble être redevenu normal et il ne semble plus y avoir de problèmes.
Mais, lorsque je fais ctrl+alt+suppr, svchost.exe apparait 4 fois ; lorsque j'essaye de terminer le processus pour l'un d'entre eux, le PC redémarre après m'avoir laissé une minute pour tout enregistrer, ce qui me laisse penser qu'il y a encore un virus dans mon PC.
Est-ce que tu peux me dire ce que tu penses de tout ça ?
Encore merci pour ton aide.
Laurent