Discussion :

[oroumgolok]

Bonjour !

Voila il y a déjà 2 semaines je me suis fait infecter par ce virus (stanit) et j'ai un peu fait la brute pour m'en debarasser . Ce virus infecte topus les .exe . IL les infecter sur ma machine uniquement sur une partition de données et j'ai fini par la reformater (même si depuis j'ai trouver un fix pour le degager) Cependant , Ce matin rebelotte il reapparait (j' ne vois pas par quel biais il viens m'infecter ).

J'ai suivi un certains nombres de sujet (google est mon ami ) , J'ai , je pense , fait tout comme il faut pour qu'il ne reviennent pas cette fois ci (mais jamais sûr)
systeme Win Xp pro SP2

Un passage de antivir pour le trouver et le mettre pour le moment en quarantaine (avant de decider si je le degage completement).

un passage de ce fix trouver au cas ou il faudrait reparer des fichiers.
Mise a jour de ce qui ne l'etait pas sur mon windows.
La restauration systeme n'etait pas activer depuis l'installation de win (il est conseiller de la desactiver face a ce virus)


Je souhaiterais quelques avis ou retour d'experiences sur cette veritable cochonnerie (j'estime pire que sasser et consors).

[pi-2r]

Bonsoir,
je me suis renseigner sur ce virus et il semblerait que les 3/4 des personnes infectées ont des programmes de protection tels que: avg, ad-aware, spybot, etc...( est-ce ton cas ?).
Concernant mon avis, voici ce que j'ai trouvé sur le net : http://original.avira.com/en/threats/W32_Stanit.html

[TheoBenson]

d'apres ce que j'ai trouvé, ce trojan effectue des telechargement de fichiers malveillants puis emploie les vulnérabilités de software tel que ton systeme OS.

la meilleur chose a faire est de faire des scans regulier avec un antivirus et un anti-spyware (bien sûr avec la dernier mise a jour).

[annedeblois]

...et ne pas oublier de mettre ton OS à jour (Windows Update) autant que possible.

[oroumgolok]

J'utilise en effet une partie des programmes suscités (antivir Pe / sygate firewall / ad-aware et spybot)

Pour le lien donné c'est un de ceux que j'ai etudier pour le comprendre.

En effet au moment de l'infection windows n'etait pas a jour mais c'est fait depuis. Ce qui me perturbe c'est que je le pensait degommer et qu'il est revenu me hanter. De plus je ne sais absolument pas par quel vecteur il est venu se loger chez moi se parasite. Et sa je voudrais le savoir pour que sa ne se reproduise pas.

Au moment de la 1ere infection j'ai telecharger un fichier .exe (que je pensait sûr sur un site que j'estimais de confiance; aparament je ne suis pas encore assez parano).
et j'avais une fenetre web ouverte sur une webradio (peut etre un fichier infecter de leur part car la recidive c'est faite apres le dl de la musique sur ce même site) et d'autres fenetres ouvertes vers des sites que je mettrais hors de cause sinon il y aurait eu des retour consequent sur leurs forums .

[TheoBenson]

bonsoir,

ce qu'il faut savoir, c'est que rien n'est sûr a 100% dans le domaine informatique y a meme des trojan ou certain virus qui ne sont pas encore detecter, ton n'infection aurai pu etre l'oeuvre d'un spyware ou d'un programe .exe telecharger a partir du net qui aurai pu resider dans ton systeme.

et pas besoin d'etre parano, ce qu'il faut, c'est etre prudant et pour cela la (mise a jour de l'OS patch, de l'anti-virus et anti-spyware (patch et definition) ainsi une bonne configuration du parefeu).

[oroumgolok]

J'ai toujours cette cochonnerie que je croyais eradiquer.

Je n'arrive même pas a le deleter. Il semble bien cacher car juste apres le scan si je le repasse le virus n'est plus là. et 2 jours apres il est a nouveau là .Même l'outil de desinfection specifique ne le trouve pas . Pour l'instant a la même place et ne semble pas s'etendre. Mais sa reste inquietant.et galere.

[Jannus]

Tu as pensé à désactiver la restauration système avant de nettoyer ?

[oroumgolok]

oui oui c'est desactiver depuis longtemps.

Je crois que je vais essayer de le denicher depuis un linux live cd.

[TheoBenson]

Salut,

Peut-tu nous dire qu'elle est le nom de ton antivirus et anti-spyware? Merci

[oroumgolok]

antivirus : antvir PE

anti spyware : la combinaison ad-aware / spybot.

J'ai aussi tenter un HJT et apres analyse je n'ai rien vu de vraiment suspect . (mais je ne suis pas non plus verser dans les dechiffrages de ces logs, des choses ont pu mechapper)

[TheoBenson]

Donc essaye de nous faire par du resultat, peut etre que quellqu'un pourra remarqué quellque chose de suspect.

cdt

[oroumgolok]

voici le log HJT :


Logfile of HijackThis v1.99.1
Scan saved at 10:52:51, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
I:\logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{226BF64A-040F-45B9-AAF2-3A8131386B5B}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E0609D-0D24-4FFC-A3F1-022D3F4AFD1E}: NameServer = 192.168.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5709386-ADC0-4E97-A4DC-C76C56170E67}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C87A231D-26DC-457D-93EC-571A4D7EFE48}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6D1A5F9-A695-457C-B6BA-EBFD82E8BE05}: NameServer = 84.103.237.142 86.64.145.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\IPCheck Server Monitor 5\Firebird\bin\fbserver.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe



les references a firebird m'ont faites tiquer mais sans plus car je l'ai bien installé en le sachant. (ce qui me semble louche serait un service demarrer qui pourrait etre arreter)

[pi-2r]

Je crois que je vais essayer de le denicher depuis un linux live cd.

Bonsoir,
bon je sais que ce n'est pas "trop" en référence à ton probléme, mais pourais tu m'indiqué comment tu t'y prend pour trouvé et supprimé un virus qui est sur Windows lorsque tu es sous Linux?

[oroumgolok]

Tu lance ton linux puis tu monte ta partition (celle que tu veut acceder) et là tu peut explorer voir ecrire dessus.

Mais tu fait bien d'en parler je viens de me rendre compte d'un probleme : le support NTFS ! on ne peut que lire a l'heure actuelle a ma connaissance.

Sinon pour trouver le virus et bien je connait deja son chemin. Le fait de le debusquer par linux me permettrai de ne pas activer la cochonnerie au contraire de windows.