Mon analyse HJT à propos de stanit...

[skarface]

bonjour bonjour

 

tout d'abord merci pour votre travail et votre attention!

 

alors voila depuis quelques temps j'ai le virus stanit il me faisait rien au début mais là il commence a s'incruster un peu trop

 

alors voila j'ai suivi vos instructions,et voici mon rapport de hijack this:

 

Scan saved at 18:24:33, on 22/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A0C7559E-9F9E-4221-9834-2ADE47294146}: NameServer = 80.118.192.111 80.118.196.41

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

 

 

voila voila merciii

[megataupe]

Bonjour skarface. Je ne vois rien d'infectieux sur ce rapport. Peux tu faire un scan d'Ewido en mode sans échec et envoyer le rapport.

[le_facteur]

a voir

 

O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

 

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

[megataupe]

Salut Facteur. J'aimerai bien avoir l'avis de Stonangel ou d'IPL sur cette ligne 023

que tu cites car, j'hésite à toucher à ces 023 signalées par HijackThis :

 

System Startup Service svcproc.exe

 

This infection is identified as Trojan.Win32.Stervis.b. It is usually bundled with nail.exe, a Abetterinternet adware variant. It is notoriously difficult to remove and is usually bundled with other malware that are hard to remove as well. One method that we have found that is able to remove this infection and the other malware that are bundled with it is the ewido security suite which you can download and try for free.

 

Celui-là semble en effet être un utilitaire douteux à désinstaller :

 

File Name Apptoport.dll (2)*

State M

Description (See previous entry) Added by "rogue" anti-spyware programs - BPS Spyware & Adware Remover, Adwareremovergold, and possibly others

 

plus d'infos sur assiste :

 

http://assiste.free.fr/p/faux_utilitaires/..._logitheque.php

Modifié le 22 septembre 2005 par megataupe

[le_facteur]

oui, fait comme Charles, attend

[Thanos]

salut skarface,megataupe,le_facteur

 

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

-

Télécharge cet outil de désinfection LSPFix de Cexx.org

http://www.cexx.org/lspfix.htm

Ce programme tente de corriger les problèmes de connexion à Internet résultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.

 

Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé, explications assiste.com.

Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître

 

les ascenseurs horizontaux et verticaux, masquant un bouton.

 

Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.

 

Coche la case "I know what I'm doing" ("Je sais ce que je fais").

 

Sélectionne toutes les instances des dll suivantes

apptoport.dll

 

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé

 

"Remove".Clique sur le bouton "Finish".

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

-Démarrer> Exécuter> Entre: cmd> sc stop SvcProc

puis sc delete SvcProc

Quitte le programme.

 

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:(si tu les trouve)

 

-BPS Spyware & Adware Remover

-NewdotNet

 

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

 

O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

=>ne pas faire fixer cette ligne par hijackthis!!

 

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

-c:\program files\bulletproofsoft

-c:\windows\SvcProc.exe

-c:\program files\BPS Spyware & Adware Remover

-c:\program files\NewdotNet =>hijackthis ne montre rien de tel mais vire le si tu trouves!

 

-Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.-

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Edit: Peux tu faire un scan d'Ewido en mode sans échec et envoyer le rapport,comme te l'as demandé Mégataupe?

Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis.

Par Mégataupe

Modifié le 23 septembre 2005 par charles ingals

[le_facteur]

Bonjour skarface. Je ne vois rien d'infectieux sur ce rapport. Peux tu faire un scan d'Ewido en mode sans échec et envoyer le rapport.

576416[/snapback]

 

 

heureusement qu'il n'y avait rien d'infectieux !

faut vite appeler les gouroux sinon tu es pommé !

[megataupe]

Si tu veux faire les analyses à ma place, ne te gène surtout pas puisque tu sembles très doué pour les réponses éclair .

[ipl_001]

Bonsoir le_facteur,

 

S'il te plaît... nous ne sommes pas sur ce forum pour nous accrocher !

 

A la place et au lieu de lacher 4 lignes, tache de poster une solution complète !

[ipl_001]

Bonsoir à tous,

 

Charles ingals, je ne te vois pas sur le forum à cette heure... j'aurais préféré te donner ces informations par MP mais comme je ne reviendrai pas avant demain soir, j'apporte une correction...

 

-Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.-

Il y a plusieurs types de lignes O10 ; dans mon tutorial, j'en distingue 3 :

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing

O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

O10 - Hijacked Internet access by New.Net

Pour ce cas, traiter en désinstallant NewDotNet : par Ajout-Suppression de programmes ou le programme uninstall

O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Le programme vmain.dll existe sur le disque.

Vérifier son caractère légitime/néfaste en consultant les bases de données LSPs List de Zupe ( http://www.angeltowns.com/members/zupe/lsps.html ), CastleCops ( http://computercops.biz/LSPs.html ) ou SpywareData ( http://spywaredata.com/spyware/lsp.php? )

Si le fichier est néfaste, traiter par LSPfix en faisant passer toutes les occurrences du fichier de la colonne de gauche vers celle de droite avant de cliquer sur Finish !!!

O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing

Ce fichier cnmib.dll n'existe pas sur le disque et c'est dans ce cas (inexistance) et ce cas seulement qu'on lance LSPfix et qu'on clique sur Finish... lorsque le fichier n'est pas trouvé, LSPfix le met automatiquement dans la colonne de droite !