inquietude apres infection (virus stanit alias tenga ou licum)

oroumgolok · 22/09/2006, 13h18

Bonjour !

Voila il y a déjà 2 semaines je me suis fait infecter par ce virus (stanit) et j'ai un peu fait la brute pour m'en debarasser . Ce virus infecte topus les .exe . IL les infecter sur ma machine uniquement sur une partition de données et j'ai fini par la reformater (même si depuis j'ai trouver un fix pour le degager) Cependant , Ce matin rebelotte il reapparait (j' ne vois pas par quel biais il viens m'infecter ).

J'ai suivi un certains nombres de sujet (google est mon ami

) , J'ai , je pense , fait tout comme il faut pour qu'il ne reviennent pas cette fois ci (mais jamais sûr)
systeme Win Xp pro SP2

Un passage de antivir pour le trouver et le mettre pour le moment en quarantaine (avant de decider si je le degage completement).

un passage de ce fix trouver au cas ou il faudrait reparer des fichiers.
Mise a jour de ce qui ne l'etait pas sur mon windows.
La restauration systeme n'etait pas activer depuis l'installation de win (il est conseiller de la desactiver face a ce virus)

Je souhaiterais quelques avis ou retour d'experiences sur cette veritable cochonnerie (j'estime pire que sasser et consors).

pi-2r · 22/09/2006, 19h43

Bonsoir,
je me suis renseigner sur ce virus et il semblerait que les 3/4 des personnes infectées ont des programmes de protection tels que: avg, ad-aware, spybot, etc...( est-ce ton cas ?).
Concernant mon avis, voici ce que j'ai trouvé sur le net : http://original.avira.com/en/threats/W32_Stanit.html

TheoBenson · 22/09/2006, 20h06

d'apres ce que j'ai trouvé, ce trojan effectue des telechargement de fichiers malveillants puis emploie les vulnérabilités de software tel que ton systeme OS.

la meilleur chose a faire est de faire des scans regulier avec un antivirus et un anti-spyware (bien sûr avec la dernier mise a jour).

annedeblois · 22/09/2006, 20h08

...et ne pas oublier de mettre ton OS à jour (Windows Update) autant que possible.

oroumgolok · 22/09/2006, 20h40

J'utilise en effet une partie des programmes suscités (antivir Pe / sygate firewall / ad-aware et spybot)

Pour le lien donné c'est un de ceux que j'ai etudier pour le comprendre.

En effet au moment de l'infection windows n'etait pas a jour mais c'est fait depuis. Ce qui me perturbe c'est que je le pensait degommer et qu'il est revenu me hanter. De plus je ne sais absolument pas par quel vecteur il est venu se loger chez moi se parasite. Et sa je voudrais le savoir pour que sa ne se reproduise pas.

Au moment de la 1ere infection j'ai telecharger un fichier .exe (que je pensait sûr sur un site que j'estimais de confiance; aparament je ne suis pas encore assez parano).
et j'avais une fenetre web ouverte sur une webradio (peut etre un fichier infecter de leur part car la recidive c'est faite apres le dl de la musique sur ce même site) et d'autres fenetres ouvertes vers des sites que je mettrais hors de cause sinon il y aurait eu des retour consequent sur leurs forums .

TheoBenson · 22/09/2006, 23h41

bonsoir,

ce qu'il faut savoir, c'est que rien n'est sûr a 100% dans le domaine informatique y a meme des trojan ou certain virus qui ne sont pas encore detecter, ton n'infection aurai pu etre l'oeuvre d'un spyware ou d'un programe .exe telecharger a partir du net qui aurai pu resider dans ton systeme.

et pas besoin d'etre parano, ce qu'il faut, c'est etre prudant et pour cela la (mise a jour de l'OS patch, de l'anti-virus et anti-spyware (patch et definition) ainsi une bonne configuration du parefeu).

oroumgolok · 27/09/2006, 10h14

J'ai toujours cette cochonnerie que je croyais eradiquer.

Je n'arrive même pas a le deleter. Il semble bien cacher car juste apres le scan si je le repasse le virus n'est plus là. et 2 jours apres il est a nouveau là .Même l'outil de desinfection specifique ne le trouve pas . Pour l'instant a la même place et ne semble pas s'etendre. Mais sa reste inquietant.et galere.

Jannus · 27/09/2006, 11h03

Tu as pensé à désactiver la restauration système avant de nettoyer ?

oroumgolok · 27/09/2006, 11h12

oui oui c'est desactiver depuis longtemps.

Je crois que je vais essayer de le denicher depuis un linux live cd.

TheoBenson · 27/09/2006, 16h58

Salut,

Peut-tu nous dire qu'elle est le nom de ton antivirus et anti-spyware? Merci

oroumgolok · 27/09/2006, 21h48

antivirus : antvir PE

anti spyware : la combinaison ad-aware / spybot.

J'ai aussi tenter un HJT et apres analyse je n'ai rien vu de vraiment suspect . (mais je ne suis pas non plus verser dans les dechiffrages de ces logs, des choses ont pu mechapper)

TheoBenson · 28/09/2006, 05h01

Donc essaye de nous faire par du resultat, peut etre que quellqu'un pourra remarqué quellque chose de suspect.

cdt

oroumgolok · 28/09/2006, 11h00

voici le log HJT :

Logfile of HijackThis v1.99.1
Scan saved at 10:52:51, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
I:\logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{226BF64A-040F-45B9-AAF2-3A8131386B5B}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E0609D-0D24-4FFC-A3F1-022D3F4AFD1E}: NameServer = 192.168.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5709386-ADC0-4E97-A4DC-C76C56170E67}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C87A231D-26DC-457D-93EC-571A4D7EFE48}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6D1A5F9-A695-457C-B6BA-EBFD82E8BE05}: NameServer = 84.103.237.142 86.64.145.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

les references a firebird m'ont faites tiquer mais sans plus car je l'ai bien installé en le sachant. (ce qui me semble louche serait un service demarrer qui pourrait etre arreter)

pi-2r · 28/09/2006, 18h35

Citation:

Envoyé par oroumgolok

Je crois que je vais essayer de le denicher depuis un linux live cd.

Bonsoir,
bon je sais que ce n'est pas "trop" en référence à ton probléme, mais pourais tu m'indiqué comment tu t'y prend pour trouvé et supprimé un virus qui est sur Windows lorsque tu es sous Linux?

oroumgolok · 28/09/2006, 19h11

Tu lance ton linux puis tu monte ta partition (celle que tu veut acceder) et là tu peut explorer voir ecrire dessus.

Mais tu fait bien d'en parler je viens de me rendre compte d'un probleme : le support NTFS ! on ne peut que lire a l'heure actuelle a ma connaissance.

Sinon pour trouver le virus et bien je connait deja son chemin. Le fait de le debusquer par linux me permettrai de ne pas activer la cochonnerie au contraire de windows.

22/09/2006, 13h18	#1
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	inquietude apres infection (virus stanit alias tenga ou licum) Bonjour ! Voila il y a déjà 2 semaines je me suis fait infecter par ce virus (stanit) et j'ai un peu fait la brute pour m'en debarasser . Ce virus infecte topus les .exe . IL les infecter sur ma machine uniquement sur une partition de données et j'ai fini par la reformater (même si depuis j'ai trouver un fix pour le degager) Cependant , Ce matin rebelotte il reapparait (j' ne vois pas par quel biais il viens m'infecter ). J'ai suivi un certains nombres de sujet (google est mon ami ) , J'ai , je pense , fait tout comme il faut pour qu'il ne reviennent pas cette fois ci (mais jamais sûr) systeme Win Xp pro SP2 Un passage de antivir pour le trouver et le mettre pour le moment en quarantaine (avant de decider si je le degage completement). un passage de ce fix trouver au cas ou il faudrait reparer des fichiers. Mise a jour de ce qui ne l'etait pas sur mon windows. La restauration systeme n'etait pas activer depuis l'installation de win (il est conseiller de la desactiver face a ce virus) Je souhaiterais quelques avis ou retour d'experiences sur cette veritable cochonnerie (j'estime pire que sasser et consors).
	00

22/09/2006, 20h08	#4
annedeblois Modératrice Anne DeBlois Analyste informatique Inscription : août 2005 Messages : 1 406 Détails du profil Informations personnelles : Nom : Anne DeBlois Âge : 37 Localisation : Canada Informations professionnelles : Activité : Analyste informatique Secteur : Service public Informations forums : Inscription : août 2005 Messages : 1 406 Points : 1 653 Points : 1 653	...et ne pas oublier de mettre ton OS à jour (Windows Update) autant que possible. __________________ Anne, citoyenne canadienne Modératrice Windows, Hardware, Office et Autres logiciels Informaticienne, altiste et radioamateur... bref, originale Les règles... \| Note: Je ne réponds à aucune question technique posée par MP
	00

22/09/2006, 19h43	#2
pi-2r Rédacteur Inscription : juin 2006 Messages : 1 384 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 384 Points : 2 211 Points : 2 211	Bonsoir, je me suis renseigner sur ce virus et il semblerait que les 3/4 des personnes infectées ont des programmes de protection tels que: avg, ad-aware, spybot, etc...( est-ce ton cas ?). Concernant mon avis, voici ce que j'ai trouvé sur le net : http://original.avira.com/en/threats/W32_Stanit.html
	00

22/09/2006, 20h06	#3
TheoBenson Membre confirmé Inscription : août 2006 Messages : 219 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : août 2006 Messages : 219 Points : 229 Points : 229	d'apres ce que j'ai trouvé, ce trojan effectue des telechargement de fichiers malveillants puis emploie les vulnérabilités de software tel que ton systeme OS. la meilleur chose a faire est de faire des scans regulier avec un antivirus et un anti-spyware (bien sûr avec la dernier mise a jour).
	00

22/09/2006, 20h40	#5
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	J'utilise en effet une partie des programmes suscités (antivir Pe / sygate firewall / ad-aware et spybot) Pour le lien donné c'est un de ceux que j'ai etudier pour le comprendre. En effet au moment de l'infection windows n'etait pas a jour mais c'est fait depuis. Ce qui me perturbe c'est que je le pensait degommer et qu'il est revenu me hanter. De plus je ne sais absolument pas par quel vecteur il est venu se loger chez moi se parasite. Et sa je voudrais le savoir pour que sa ne se reproduise pas. Au moment de la 1ere infection j'ai telecharger un fichier .exe (que je pensait sûr sur un site que j'estimais de confiance; aparament je ne suis pas encore assez parano). et j'avais une fenetre web ouverte sur une webradio (peut etre un fichier infecter de leur part car la recidive c'est faite apres le dl de la musique sur ce même site) et d'autres fenetres ouvertes vers des sites que je mettrais hors de cause sinon il y aurait eu des retour consequent sur leurs forums .
	00

22/09/2006, 23h41	#6
TheoBenson Membre confirmé Inscription : août 2006 Messages : 219 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : août 2006 Messages : 219 Points : 229 Points : 229	bonsoir, ce qu'il faut savoir, c'est que rien n'est sûr a 100% dans le domaine informatique y a meme des trojan ou certain virus qui ne sont pas encore detecter, ton n'infection aurai pu etre l'oeuvre d'un spyware ou d'un programe .exe telecharger a partir du net qui aurai pu resider dans ton systeme. et pas besoin d'etre parano, ce qu'il faut, c'est etre prudant et pour cela la (mise a jour de l'OS patch, de l'anti-virus et anti-spyware (patch et definition) ainsi une bonne configuration du parefeu).
	00

27/09/2006, 10h14	#7
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	J'ai toujours cette cochonnerie que je croyais eradiquer. Je n'arrive même pas a le deleter. Il semble bien cacher car juste apres le scan si je le repasse le virus n'est plus là. et 2 jours apres il est a nouveau là .Même l'outil de desinfection specifique ne le trouve pas . Pour l'instant a la même place et ne semble pas s'etendre. Mais sa reste inquietant.et galere.
	00

27/09/2006, 11h03	#8
Jannus Expert Confirmé Sénior Inscription : décembre 2004 Messages : 19 671 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 19 671 Points : 17 664 Points : 17 664	Tu as pensé à désactiver la restauration système avant de nettoyer ?
	00

27/09/2006, 11h12	#9
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	oui oui c'est desactiver depuis longtemps. Je crois que je vais essayer de le denicher depuis un linux live cd.
	00

27/09/2006, 16h58	#10
TheoBenson Membre confirmé Inscription : août 2006 Messages : 219 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : août 2006 Messages : 219 Points : 229 Points : 229	Salut, Peut-tu nous dire qu'elle est le nom de ton antivirus et anti-spyware? Merci
	00

27/09/2006, 21h48	#11
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	antivirus : antvir PE anti spyware : la combinaison ad-aware / spybot. J'ai aussi tenter un HJT et apres analyse je n'ai rien vu de vraiment suspect . (mais je ne suis pas non plus verser dans les dechiffrages de ces logs, des choses ont pu mechapper)
	00

28/09/2006, 05h01	#12
TheoBenson Membre confirmé Inscription : août 2006 Messages : 219 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : août 2006 Messages : 219 Points : 229 Points : 229	Donc essaye de nous faire par du resultat, peut etre que quellqu'un pourra remarqué quellque chose de suspect. cdt
	00

28/09/2006, 11h00	#13
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	voici le log HJT : Logfile of HijackThis v1.99.1 Scan saved at 10:52:51, on 28/09/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE I:\logiciels\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{226BF64A-040F-45B9-AAF2-3A8131386B5B}: NameServer = 192.168.1.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{89E0609D-0D24-4FFC-A3F1-022D3F4AFD1E}: NameServer = 192.168.1.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{C5709386-ADC0-4E97-A4DC-C76C56170E67}: NameServer = 192.168.1.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{C87A231D-26DC-457D-93EC-571A4D7EFE48}: NameServer = 192.168.1.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{F6D1A5F9-A695-457C-B6BA-EBFD82E8BE05}: NameServer = 84.103.237.142 86.64.145.142 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe les references a firebird m'ont faites tiquer mais sans plus car je l'ai bien installé en le sachant. (ce qui me semble louche serait un service demarrer qui pourrait etre arreter)
	00

28/09/2006, 19h11	#15
oroumgolok Invité régulier Inscription : août 2006 Messages : 17 Détails du profil Informations forums : Inscription : août 2006 Messages : 17 Points : 7 Points : 7	Tu lance ton linux puis tu monte ta partition (celle que tu veut acceder) et là tu peut explorer voir ecrire dessus. Mais tu fait bien d'en parler je viens de me rendre compte d'un probleme : le support NTFS ! on ne peut que lire a l'heure actuelle a ma connaissance. Sinon pour trouver le virus et bien je connait deja son chemin. Le fait de le debusquer par linux me permettrai de ne pas activer la cochonnerie au contraire de windows.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email