Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Trojan TR/Crypt.TPM.Gen

Dernière réponse le 13 oct 2008 à 20:10:15 HCkev, le 13 oct 2008 à 19:58:09

Signaler ce message aux modérateurs

Bonjour,

Tout d'abord, un peu d'histoire afin de faire part de l'élément déclencheur....

Donc j'utilisais Avast! depuis plusieurs années, jusqu'au moment où il s'est mis à déconner en me demandant de redémarrer à chaque fois. La réinstallation n'avait rien donné. J'avais donc cherché sur internet et j'avais trouvé sur le site d'avast! une "solution" qui n'a absolument rien donné. J'ai donc passé plusieurs mois à ignorer la demande de redémarrage, me disant que ce bug allait probablement être corrigé dans une prochaine MAJ. Mais voilà, Alwil n'ont aparemment rien fait pour régler le problème, j'ai donc pensé à changer d'antivirus. Et puis, de toute mannière, cela faisait plusieurs fois que je lisais sur internet qu'Avast! n'était pas vraiment la meilleure protection. Suite aux conseils de plusieurs sites, j'ai passé à AntiVir.

Mais voilà que depuis que j'ai AntiVir, il me détecte un trojan, qui, apremment, passait innaperçu aux yeux d'avast, ou alors j'ai été infecté entre la désinstallation d'Avast et l'installation d'AntiVir (ça reste une possibilité)

Mais bref, AntiVir me détecte le trojan TR/Crypt.TPM.Gen et pas moyen de l'enlever. Je reçois des alertes concernant le trojan, mais quoique je fasse (empêcher l'accès, supprimer, mettre en quarantaine...), une autre alerte concernant le même trojan apparait dès que la première alerte est fermée... Le fichier infecté est toujours C:\WINNT\system32\*****_netapai.exe, où les astérisques représentent un nombre qui est différent à chaque alerte.

En gros, AntiVir supprime le ficheir infecté mais pas l'infection elle-même, qui s'amuse à recréer un fichier une fois le premier effacé.

J'ai fais des recherches sur internet mais je n'ai rien trouvé de pertinent(ou du moins, rien qui me permettre de le retirer). Cet infection semble aparemment pas trop connue...

Cependant, je ne reçois pas les alerte dès le démarrage. Les alertes surviennent lorsque je lance Firefox. Alors une alerte aparrait et Firefox ne se lance pas (probablement qu'AntiVir lui empêche l'accès?).

Et justement, à propos de Firefox, il a tendence depuis quelques semaines à faire planter mon PC (tout devient figé, rien à faire apart appuyer sur "Reset"). Je soupsonne Firefox car ça n'arrive que lorsque Firefox est lancé et habituellement ça plante quand je clique sur un lien, quand je ferme un onglet, au chargement d'une page, etc.

Peut-être que ce plantage est dû au trojan? Mais en même temps, comme je roule sur un PC vieux de 7 ou 8 ans, il est possible que ce soit causé par un manque de mémoire ou quelque vhose du genre, non? Étant donné que Firefox est une vraie usine à gaz... (Il est toujours celui qui prend le plus de mémoire dans le gestionnaire des tâches..)

Dans le cas où je ne lance pas Firefox (actuellement, je vous écris sur Opera, ne pouvant lancer Firefox), l'alerte n'apparait qu'après quelque minutes.

J'ai essayé un scan SpyBot (car dans le passé, il m'avait bien aidé à me débarasser de trojans qu'Avast! ne pouvais pas supprimer), mais dès que l'alerte AntiVir apparait, le scan se bloque.... Voici un screenshot du moment où ça bloque, si ça peut être utile:
http://img337.imageshack.us/img337/5882/spybotbloquexr5.png

D'ailleurs, une fois le scan figé, je ne peut même pas le fermer, sauf en faisant "Fin de tâche" dans le hestionnaire des tâches.

Et voici les processus actuellement actifs:
http://img381.imageshack.us/img381/9721/listeprocesxi5.png

Et un screenshot de l'alerte AntiVir:
http://img337.imageshack.us/img337/5234/alerteantiviruo3.png

Alors, je vous demande votre aide :)

Quelques infos utiles:

OS: Windows 2000 pro (SP4)
PC: Celeron 933mhz, 512mo Ram

À noter que, bien que ce ne soit pas très conseillé, cela doit faire 5 ou 6 ans que le PC tourne sans qu'il ait été formatté. Je ne l'ai jamais formatté, ne voyant pas l'utilité et ne voulant rien perdre.

Sinon, je crois que je devrais fournir un rapport Hijackthis ? Je n'ai jamais utilisé aupravant, est-ce que ça peut montrer des informations personelles? Enfin bon, je téléchage et je fais le rapport, entre temps, il y aura probablement quelqu'un qui va répondre au sujet ^^

Merci d'avance à tout ceux qui tenteront de m'aider :) S'il manque des détails, n'hésitez pas à me les demander.

Configuration: Windows 2000
Opera 9.26

Meilleures réponses pour « Trojan TR/Crypt.TPM.Gen » dans :

Trojan TR/CRYPT.XPACK.gen que faire? (Résolu) Voir

TR/Crypt.XPACK.Gen Trojan (Résolu) Voir

TR/Crypt.ZPACK.Gen Voir

Trojan horse TR/Crypt.XPACK.Gen Voir

Trojan horse TR/Crypt.FKM.Gen : help !!! Voir

TR/Crypt.XPACK.Gen = Dangereux? Voir

Posez votre question Répondre

HCkev, le 13 oct 2008 à 20:10:15

Alors, voici le rapport:

Ça été plutôt rapide, et le rapport est assez court:

-------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 14:06, on 2008-10-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\No-IP\DUC20.exe
C:\WINNT\system32\stisvc.exe
c:\wamp2\bin\apache\apache2.2.8\bin\httpd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\wamp2\bin\apache\apache2.2.8\bin\httpd.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Opera\Opera.exe
C:\WINNT\system32\LVComsX.exe
C:\Program Files\Game_Maker7\Game_Maker.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINNT\system32\taskmgr.exe
C:\DOCUME~1\Keven\LOCALS~1\Temp\Rar$EX00.963\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca/accueilpage.html
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} (HHCtrl Object) - http://secunia.com/internet_explorer_command_execution_vulnerability_test/hhctrl.ocx
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://creator.amenworld.com/app/static/activex/msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: windew32 - windew32.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\No-IP\DUC20.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\SYMPAT~1\GESTIO~1\app\pppoeservice.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Unknown owner - c:\wamp2\bin\apache\apache2.2.8\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp2\bin\mysql\mysql5.0.51a\bin\mysqld-nt.exe

-------------------------------------------------------------------------

Répondre à HCkev

Posez votre question Répondre