Stanit/Tenga -> log Hijackthis : que faire ?

[TrollKZ]

Bonjour à tous,

 

en cherchant un solution à mon problème je suis tombé sur ce site (que j'avais deja croisé auparavant) et voyant les réponse claires et précises aux autres sujets ( ), je me suis inscrit, dans l'espoir de trouver une solution. J'ai bien vu deux autres sujets assze proches de mon problème mais je n'y vois pas la solution

 

J'ai été infecté par le virus Stanit (pour antivir) ou Tenga (nod32) qui infecte les .exe. J'ai beau chercher un fix ou une solution je ne trouve que des gens qui s'en plaignent, aucun qui s'en débarasse.

J'ai suivi votre méthode préliminaire (mode ss echec, antivirus + HJT)

malheureusement, votre citère de choix d'antivir me parait incorrect dans mon cas puisque c'est sous sa protection que j'ai été infecté , et j'ai donc basculé vers nod32 qui a le mérite de nettoyer les .exe sans les supprimer.

Pour Hijackthis, voici le rappport :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:54:43 PM, on 8/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open In &New Window - C:\Documents and Settings\Trollman\Application Data\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm

O8 - Extra context menu item: Translate Site with Google - C:\Documents and Settings\Trollman\Application Data\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA0FC78-B0B4-4565-9761-154D7E4820AC}: NameServer = 212.30.96.108,212.30.96.123

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC531930-B432-42FB-8210-28E92E6E19DB}: NameServer = 80.118.192.100 80.118.196.36

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

Il y a sans doute 1000 corrections à effectuer, je suis à l'écoute pour tout ce qui concerne des failles probables mais aussi pour tout autre conseil d'optimisation. J'ai cru voir que ce rapport pouvait être considérablement raccourci donc je suppose qu'il y a de quoi enlever ici.

 

sinon, pour information, j'avais antivir comme antivirus lors de l'infection, et maitenant nod32 et kerio personal firewall en firewall. Si vous pouvez m'aidez, ou que vous avez besoin d'autre info . . . je vous écoute attentivement

 

Merci d'avance pour tout les conseils et l'aide que vous pourrait m'apporter.

Bon après midi.

[Invité Stonangel]

Bonjour, ton rapport est propre. Il est possible d'optimiser. Concernant ton virus regarde cette page (n° 12 à gauche et à droite):

 

http://www.kellys-korner-xp.com/xp_tweaks.htm

[TrollKZ]

Concernant ton virus regarde cette page (n° 12 à gauche et à droite):

550875[/snapback]

 

J'ai importé les fichier .reg au cas ou, mais je pense pas que ce soit le même virus. J'ai lu le sujet ou vous parlez de cette solution et de ce virus qui change les .exe en .lnk, mais chez moi ca fait pas ça, je sais que les fichiers sont infecté, mais y'a pas de conséquence apparente, et mes .exe sont toujours des executables. Donc j'ai bien peur que ce soit un virus ou une version différente

 

Merci de ta réponse.

Si vous avez d'autres idées je reste à l'écoute.

 

...

[Invité Stonangel]

Rien pour le moment...

[ipl_001]

Bonsoir TrollKZ, Stonangel, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

As-tu recherché DL.EXE, GAELICUM.EXE et CBACK.EXE ?

 

As-tu parcouru ces pages ?

 

http://us.mcafee.com/virusInfo/default.asp...&virus_k=134857

 

http://securityresponse.symantec.com/avcen.../w32.licum.html

 

http://www.nod32.de/download/download.php

 

http://www.f-prot.com/

[TrollKZ]

J'ai regardé oui (sauf pour nod32, je lis pas l'allemand ) mais je ne vois rien qui puisse m'aider à éradiquer le virus malheureusement. Par contre, pour le dernier lien, me conseil tu leur produit antivirus ? si oui je pourrais bien l'essayer, mais leur liste de virus ne semble recenser aucun des alia suivant : stanit gael licum tenga.

 

sinon pour les 3 fichiers, ils sont introuvables. est ce un bien ou un mal je sais pas trop,mais en tout cas ca ne mavance pas du coup, galère ...

 

en tout cas merci pour ton aide, j'attend ton avis sur F-Prot.

Bonne soirée à tous, n'hésitez pas à me proposer dautres choses...