virus cnstat.exe

[minos]

salut à tous

malheureusement dans ma société plusieurs machines sont immobilisées par un virus cnstat.exe

 

sophos est le seul à indiquer qu'il le connait

http://www.sophos.fr/virusinfo/analyses/w32rbotlf.html

 

les pc étant équipés en nortont disent qu'il y a un virus mais ne permettent de rien faire (à part cliquer sur ok) : pas de quarantaine, pas de suppression, etc

j'ai testé avec antivir (à jour) mais il ne le détecte pas

 

l'éxécutable en question c'est installé dans le repertoire c:\WINNT\system32

il s'éxécute à chaque démarrage, et sa suppression dans msconfig ne fait rien, il se relance à chaque fois

cependant

 

les symptomes sont : plus de "ajout/suppression de programmes", plus de glisser/déplacer, plus de copier/couper/coller

etc

 

j'ai un log de hijack

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\mgabg.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\PDesk\PDesk.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Spybot\TeaTimer.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\WinBar\WinBar.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe

C:\DOCUME~1\ROMAIN~1.DEC\LOCALS~1\Temp\~e5d141.tmp

C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

C:\DOCUME~1\ROMAIN~1.DEC\LOCALS~1\Temp\~e5d141.tmp

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

E:\Romain\Perso\Progs\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\msconfig.exe /auto

O4 - HKLM\..\RunServices: [system Failure Statistic] cnstat.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

 

on arrive à supprimer le processus cnstat.exe dans le gestionnaire des tâches (c'est pour ça qu'il n'apparaît pas ici)

 

Merci

[megataupe]

Salut. Tu peux tenter le scan en ligne qui donne parfois de bons résultats :

 

http://support.f-secure.fr/fra/home/ols.shtml

[queruak]

Bonjour,

 

Tu dois d'abord telecharger les outis suivants:

Stinger:http://vil.nai.com/vil/stinger/

A² free :http://www.emsisoft.net/fr/

Ad-aware:

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

http://41822.aceboard.net/41822-232-6216-0...re-Personal.htm

Spybot:http://www.safer-networking.org/fr/download/index.html

tutoriel sur:

http://assiste.free.fr/p/frameset/07.php

Ezcleaner:http://personal.inet.fi/business/toniarts/ecleane.htm

 

 

 

1-Lance Hijackthis,scan,coche puis "fixcheked" le ligne suivante:

O4 - HKLM\..\RunServices: [system Failure Statistic] cnstat.exe

 

Tu dois fermer toutes les fenetres Internet Explorer,Outlook Explorer,aucune application ne sera lancée,tu dois etre hors connexion.

 

2-Redemarre en mode sans echec,et passe:

Ad-aware

Spybot

A²free

Stinger

Tous ces outils bien mis à jour.

 

3-Nettoyage par EZcleaner:nettoyage du registre et des fichiers inutiles(tu supprime tout ce qu'il trouvera)

 

 

4-Redemarrer normalement;poster un nouveau log Hijackthis.

 

NB:On ne voit pas le debut du rapport.Il est necessaire de l'afficher pour connaitre,la version du systeme,du navigateur,savoir s'ils sont à jour ou pas,et connaitre également la version de Hijackthis utilisée.

Modifié le 18 octobre 2004 par molaire