Bonjour,
je crois que mon PC est infecté par un trojan.
Voici les symptomes du "patient" :
- des fichiers .exe avec des noms aléatoires (ex : 15exinjs.a7.exe) sont automatiquement générés dans mon user/temp
- les mises à jour automatiques de windows sont désactivées à chaque redémarrage
- j'ai également eu un autre problème (j'entendais des clics comme quand on fait précédent/suivant/parent ce qui désactivait la fenetre ou je travaillais ou me faisait sortir des applications plein écran) mais cela semble avoir été réglé par NOD 32
- NOD 32 bloque régulièrement le téléchargement (même quand je coupe ma ligne) d'un fichier nommé http://ads.opernuz.com/up/setup.exe (qu'il associe à un cheval de troies win32/Medbot.HZ). Il s'agit peut être du fichier "setup" qui apparait (malgré tout) dans mon user/temp
J'avais fait un scan online avec kaspersky et il avait repéré un trojan dans mon System Volume Information. Depuis aucune nouvelle.
Voici le log Hijack this :
DEBUT DU LOG
Logfile of HijackThis v1.99.1
Scan saved at 00:13:38, on 26/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmes\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmes\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmes\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmes\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmes\Utilitaires\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmes\Utilitaires\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [nod32kui] "C:\Programmes\Securite\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Programmes\Utilitaires\SuperCopier2\SuperCopier2.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmes\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmes\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmes\Utilitaires\Diskeeper\DkService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmes\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Programmes\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmes\Securite\NOD32\nod32krn.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmes\Utilitaires\Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmes\Utilitaires\Sandra Lite XI.SP1\RpcSandraSrv.exe
FIN DU LOG
Si ca peut aider, l'analyse automatique du log en ligne me dit que :
- le fichier 15exinjs.a7.exe représente effectivement une menace
- idem pour C:\WINDOWS\system\smss.exe /w
pink_panzer
Messages postés2Date d'inscriptionjeudi 26 avril 2007StatutMembreDernière intervention26 avril 2007 26 avril 2007 à 15:55
C'est toujours Jonathan, mais je me suis inscrit sur le forum suite à mon premier message (quelqu'un utilise déja mon pseudo habituel "pinkpanzer", j'ai du ruser).
J'écris juste pour donner des informations complémentaires.
Tous les problèmes mentionnés semblent être liés à un processus svchost douteux (au sens ou il est lancé par ma session et non par le système).
Le processus 15exinjs.a7.exe, qui apparait systématiquement dans user/temp lors du boot, et les autres .exe aux noms bizzares (aléatoires ceux là) qui apparaissent par la suite, également dans user/temp, sont des processus fils de ce svhost.
Si je kill ce svchost avec process explorer, les problèmes disparaissent jusqu'au boot suivant, et plus rien de suspect n'apparait dans mon temp.
Voilà, en éspérant que ça aide.
Rien ne presse (il me suffit de tuer les processus après chaque boot), et je sais que vous êtes très solicité. En tout cas BRAVO pour ce forum d'aide !
pink_panzer
Messages postés2Date d'inscriptionjeudi 26 avril 2007StatutMembreDernière intervention26 avril 2007 26 avril 2007 à 16:21
C'est bon, je crois qu j'y suis arrivé tout seul !
Ccleaner ma indiqué qu'il y avait en effet un processus smss.exe /w qui démarrait automatiquement avec windows (mais dans system/ et non pas system32/).
Etant donné que hijackthis le considérait dangereux je l'ai mis en quarantaine et depuis tout marche bien : plus rien qui se lance sans qu'on lui demande, ca a l'air clean !
Il reste juste à voir si les mises à jour automatiques de windows se réactivent.
