Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

TrollKZ

Stanit/Tenga -> log Hijackthis : que faire ?

Messages recommandés

Bonjour à tous,

 

en cherchant un solution à mon problème je suis tombé sur ce site (que j'avais deja croisé auparavant) et voyant les réponse claires et précises aux autres sujets ( :P ), je me suis inscrit, dans l'espoir de trouver une solution. J'ai bien vu deux autres sujets assze proches de mon problème mais je n'y vois pas la solution :P

 

J'ai été infecté par le virus Stanit (pour antivir) ou Tenga (nod32) qui infecte les .exe. J'ai beau chercher un fix ou une solution je ne trouve que des gens qui s'en plaignent, aucun qui s'en débarasse.

J'ai suivi votre méthode préliminaire (mode ss echec, antivirus + HJT)

malheureusement, votre citère de choix d'antivir me parait incorrect dans mon cas puisque c'est sous sa protection que j'ai été infecté :-P , et j'ai donc basculé vers nod32 qui a le mérite de nettoyer les .exe sans les supprimer.

Pour Hijackthis, voici le rappport :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:54:43 PM, on 8/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open In &New Window - C:\Documents and Settings\Trollman\Application Data\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm

O8 - Extra context menu item: Translate Site with Google - C:\Documents and Settings\Trollman\Application Data\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA0FC78-B0B4-4565-9761-154D7E4820AC}: NameServer = 212.30.96.108,212.30.96.123

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC531930-B432-42FB-8210-28E92E6E19DB}: NameServer = 80.118.192.100 80.118.196.36

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

Il y a sans doute 1000 corrections à effectuer, je suis à l'écoute pour tout ce qui concerne des failles probables mais aussi pour tout autre conseil d'optimisation. J'ai cru voir que ce rapport pouvait être considérablement raccourci donc je suppose qu'il y a de quoi enlever ici.

 

sinon, pour information, j'avais antivir comme antivirus lors de l'infection, et maitenant nod32 et kerio personal firewall en firewall. Si vous pouvez m'aidez, ou que vous avez besoin d'autre info . . . je vous écoute attentivement

 

Merci d'avance pour tout les conseils et l'aide que vous pourrait m'apporter.

Bon après midi. :-(

Partager ce message


Lien à poster
Partager sur d’autres sites

Concernant ton virus regarde cette page (n° 12 à gauche et à droite):

550875[/snapback]

 

J'ai importé les fichier .reg au cas ou, mais je pense pas que ce soit le même virus. J'ai lu le sujet ou vous parlez de cette solution et de ce virus qui change les .exe en .lnk, mais chez moi ca fait pas ça, je sais que les fichiers sont infecté, mais y'a pas de conséquence apparente, et mes .exe sont toujours des executables. Donc j'ai bien peur que ce soit un virus ou une version différente :P

 

Merci de ta réponse.

Si vous avez d'autres idées je reste à l'écoute.

 

...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir TrollKZ, Stonangel, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

As-tu recherché DL.EXE, GAELICUM.EXE et CBACK.EXE ?

 

As-tu parcouru ces pages ?

 

http://us.mcafee.com/virusInfo/default.asp...&virus_k=134857

 

http://securityresponse.symantec.com/avcen.../w32.licum.html

 

http://www.nod32.de/download/download.php

 

http://www.f-prot.com/

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai regardé oui (sauf pour nod32, je lis pas l'allemand :P ) mais je ne vois rien qui puisse m'aider à éradiquer le virus malheureusement. Par contre, pour le dernier lien, me conseil tu leur produit antivirus ? si oui je pourrais bien l'essayer, mais leur liste de virus ne semble recenser aucun des alia suivant : stanit gael licum tenga.

 

sinon pour les 3 fichiers, ils sont introuvables. est ce un bien ou un mal je sais pas trop,mais en tout cas ca ne mavance pas du coup, galère ...

 

en tout cas merci pour ton aide, j'attend ton avis sur F-Prot.

Bonne soirée à tous, n'hésitez pas à me proposer dautres choses...

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×