soucis virus W32/stanit... sans gros bugs

nono55 · le 19 mars 2006

bonjour à toutes et tous !

en ce beau dimanche j'ai décidé de régler un ptit soucis de PC : Antivir s'alarme très souvent en me signalant la présence de W32/Stanit dans un fichier sous le disque J , fichier auquel je n'ai pas accès... ( system volume information )

j'ai donc passé un coup de A2Squared, un coup de Easy cleaner et enfin un scan de Antivir. Toujours le meme soucis.

j'ai néanmoins fait un scan HiJackThis, selon la procédure ( mais sans MAJ avant... )

Voyez le résultat :

Logfile of HijackThis v1.99.1

Scan saved at 11:55:17, on 19/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O1 - Hosts: AmsServer

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Program Files\MediaRing Talk\register.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "H:\qttask.exe" -atboottime

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - H:\Ebay\Ebay.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Qu'(en dites vous ? Merci par avance à ceux qui ont le courage d'y jeter un oeil ! ( peut etre ne fait il pas beau chez vous... )

Pollux_63 · le 19 mars 2006

Bonjour.

Le fichier C:\System Volume Information correspond à la restauration système. Donc le virus n'est pas actif.

En revanche il faut purger la restauration système, pour cela:

1/ clic droit sur le poste de travail --> onglet restauration système --> cocher "Désactiver la restauration

système sur tous les lecteurs".

2/ Redémarrae ton PC.

3/ Réactive la restauration système.

Ensuite la procéfure demande un rapport en mode normal et non en mode sans échec.

Merci de reposter un rapport HijackThis en mode normal.

tornado · le 19 mars 2006

Salut nono55,

Ton rapport hijackthis est propre...

Concernant ton problème d'alerte, la présence du fichier infectieux en question dans C:\system volume information signifie qu'il a infecté ta restauration système. Avant de la désactiver et de la réactiver (cela supprime le contenu de la restauration), j'aimerais que tu fasses le scan en ligne de panda pour vérifier si d'autres malwares n'ont pas infecté ton pc --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) :

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, sauve le rapport puis colle-le dans ton prochain post

Bonne chance

EDIT: Salut Pollux_63 (désolé),

La désinfection complète du pc (scan panda) n'est-elle pas préférable avant toute suppression de la restauration système?

eh ben Tornado!!!!! Fallait pas tant faire la fête hier soir

EDIT2: salut angélique,

Oui effectivement, la ligne de modification du host peut être illégitime, dans le cas où ce n'est pas nono55 qui a modifié le fichier host. Hoster ou Zebrestore peuvent aussi f'aire l'affaire...

Modifié le 19 mars 2006 par tornado

angelique · le 19 mars 2006

Antivir s'alarme très souvent en me signalant la présence de W32/Stanit dans un fichier sous le disque J , fichier auquel je n'ai pas accès... ( system volume information )

system volume information concerne la restauration system,et souvent les niarks s'y collent!

Donc désactives ta restau system sur tous tes lecteurs et reactives là ensuite.

Sinon ton rapport hijack ne me montre rien d'infectieux à part ça qui m'intrigue:

O1 - Hosts: AmsServer

donc relances hijack "do a system scan only" et coches:

O1 - Hosts: AmsServer

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "H:\qttask.exe" -atboottime

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

fermes tous tes programmes,sauf hijack, et fixcheck uniquement ces lignes.

*télécharge Hoster: http://www.funkytoad.com/download/hoster.zip

Dézippe le sur le bureau.

et lances le pour refaire ton host.

Puis t'iras en c:\windows\system32\drivers\etc\hosts<---tu clics droit sur ce fichier hosts/proprietes et tu le mets en lecture seule.

Repostes un log hijack

edit--->'jour pollux,tornado et ça??? O1 - Hosts: AmsServer à moins que je me gourre^^,mais Il vaut mieux effacer les inscriptions qui n’ont pas été introduites manuellement dans le fichier HOSTS.

non???as tu fais ton propre hosts nono55???

Pollux_63 · le 19 mars 2006

EDIT: Salut Pollux_63 (désolé),

eh ben Tornado!!!!! Fallait pas tant faire la fête hier soir

Plus sérieusement, tu as raison. Habituellement c'est ce qu'on fait.

Seulement dans le cas d'un log comme celui-là, où rien n'est inhabituel, je me permet de contourner la règle.

En revanche le rapport HJT en mode normal est essentiel car le mode sans échec peut parfois caché certaines choses.

EDIT:

Salut Angelique. Effectivement cette ligne est suspecte!! A fixer sans aucune hésitation!! Seulement j'attendais le rapport en mode normal.

Modifié le 19 mars 2006 par Pollux_63

nono55 · le 19 mars 2006

bon alors pour le moment j'ai desactivé-réactivé la restauration avec redémarrage entre les deux phases

ensuite j'ai passé un coup de scan Panda en ligne voila le resultat :

Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\12m59bu9.Utilisateur par défaut\cookies.txt[]

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\12m59bu9.Utilisateur par défaut\cookies.txt[dcsslz8gle9xjywrirft2687n_3b4y]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\12m59bu9.Utilisateur par défaut\cookies.txt[54687191]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\12m59bu9.Utilisateur par défaut\cookies.txt[]

Spyware:Cookie/24/7 Realmedia No Désinfecté C:\Documents and Settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\ltv5hw5z.default\cookies.txt[]

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Arnaud\Cookies\arnaud@bluestreak[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Arnaud\Cookies\arnaud@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Arnaud\Cookies\arnaud@xiti[1].txt

Dialer:Dialer.FFT No Désinfecté C:\WINDOWS\adiras.exe

apparemment il y a un dialer ! dois je simplement le supprimer ? ( adiras.exe )

ensuite je vais faire la manip suivante et je vous redis ça

nono55 · le 19 mars 2006

et voici un scan Hijackthis sans manip , simplement refait sous mode normal

Logfile of HijackThis v1.99.1

Scan saved at 16:02:15, on 19/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

H:\qttask.exe

C:\Program Files\iPod\bin\iPodService.exe