rapport hijackthis : appel aux bonnes volontés

rapport hijackthis : appel aux bonnes volontés - Sécurité - Windows & Software

Marsh Posté le 14-07-2005 à 22:36:05    

Bonjour les gens,  
 
je viens d'être méchamment infecté par un virus qu'antivir guard nomme 'STANIT'. Il a infecté un bon gros tas d'exécutable, connaissez vous ce virus et savez vous s'il existe un logiciel de décontamination?


Message édité par hephaestos le 17-07-2005 à 09:49:05
Reply

Marsh Posté le 14-07-2005 à 22:36:05   

Reply

Marsh Posté le 14-07-2005 à 22:45:38    

Bonsoir, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Démo en image ici:
http://pageperso.aol.fr/balltrap34/demohijack.htm
 
;) Merci balltrap


Message édité par stonangel le 14-07-2005 à 22:53:50
Reply

Marsh Posté le 14-07-2005 à 22:51:40    

stonangel salut
tu peut utiliser ma demo pour hijack si tu veut
http://pageperso.aol.fr/balltrap34/demohijack.htm

Reply

Marsh Posté le 14-07-2005 à 22:55:24    

:hello: balltrap, c'est fait

Reply

Marsh Posté le 14-07-2005 à 23:04:26    

C'est cool je vais m'y lancer. Je craignais un peu la réponse vu que ce logiciel a l'air d'être le mantra de tous les informaticiens du coin...  
 
Donc au programme demain (paske là, dodo!) :
 
1 : comprendre à quoi sert ce mystérieux programme  :??:  
2 : le faire fonctionner efficacement :??:  :??:  :??:


Message édité par hephaestos le 14-07-2005 à 23:05:05
Reply

Marsh Posté le 14-07-2005 à 23:08:03    

hephaestos a écrit :


1 : comprendre à quoi sert ce mystérieux programme  :??:  
2 : le faire fonctionner efficacement :??:  :??:  :??:


 
 :D  Trop long à expliquer...

Reply

Marsh Posté le 16-07-2005 à 14:32:39    

Bon ben voila j'ai installé et fait tourner hijackthis, j'ai effacé les lignes suspectes que m'indiquait l'analyseur en ligne.
 
Je suis toujours infecté, et ni kaspersky ni antivir guard ne fonctionnent : il ne peuvent pas être activés, et mon PC plante lorsque je lance le scan de mon disque.
 
J'ai besoin d'aide   :cry:  :cry:  :cry:  
 
voici le log de hijackthis :  
 

Citation :

C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\programmes & patchs & cracks\hijackthis_199\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nskD.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Grenouille] D:\utilitaires\Grenouille\Grenouille.exe /NOSPLASH
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [PLUGIN_EBUYCLUB] C:\Program Files\PLEBICOM\Assistant eBuyClub\eBuyClub.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\minitel\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: Raccourci vers CoolerXP.exe.lnk = pcalert\CoolerXP.exe
O4 - Startup: Raccourci vers PCAlert4.exe.lnk = pcalert\PCAlert4.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21a89d [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0351881921
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?319
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAE0B7A8-2806-4A79-878E-0BDC6554DBE2}: NameServer = 80.118.196.41 80.118.192.111
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\HEPHAS~1\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Program Files\WZCBDL Service\WZCBDLS.exe
 
 


Message édité par hephaestos le 17-07-2005 à 09:49:27
Reply

Marsh Posté le 17-07-2005 à 09:50:49    

Y aurait il une bonne volonté ayant la capacité de m'aider dans les parages?

Reply

Marsh Posté le 17-07-2005 à 13:55:38    

Bon ben voila depuis tout à l'heure mn log a gagné quelques lignes :
 

Citation :


Logfile of HijackThis v1.99.1
Scan saved at 13:53:03, on 17/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\D-Link\Air Utility\AirCFG.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
D:\Program Files\iTunesHelper.exe
D:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinPoET\WrOS.EXE
C:\Program Files\WZCBDL Service\WZCBDLS.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
D:\programmes & patchs & cracks\hijackthis_199\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nskD.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Grenouille] D:\utilitaires\Grenouille\Grenouille.exe /NOSPLASH
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [PLUGIN_EBUYCLUB] C:\Program Files\PLEBICOM\Assistant eBuyClub\eBuyClub.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\minitel\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: Raccourci vers CoolerXP.exe.lnk = pcalert\CoolerXP.exe
O4 - Startup: Raccourci vers PCAlert4.exe.lnk = pcalert\PCAlert4.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21a89d [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0351881921
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?319
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAE0B7A8-2806-4A79-878E-0BDC6554DBE2}: NameServer = 80.118.196.41 80.118.192.111
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\HEPHAS~1\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Program Files\WZCBDL Service\WZCBDLS.exe
 

Reply

Marsh Posté le 18-07-2005 à 22:37:42    

Salut,
 
Je viens également de me faire méchamment infester par ce virus.
-->plus de 400 détections sous c:/windows/system32 donc c'est la merde
scan complet en cours avec Antivir PE qui bip à tour de bras, je lui ai donc donné carte blanche (1-repair 2-delete bip désactivé lol)
 
jee suis encore en ligne donc tout va bien :D  
mais je redoute un formatage....
 
Quel est donc ce virus? impossible de trouver sa piste sous google, secuser... peut être est il connu sous un autre nom?
 
si qqun est en mesure de donner plus d'information sur ce virus , alors qu'il s'exprime car ma machine est en danger  :(

Reply

Marsh Posté le 18-07-2005 à 22:37:42   

Reply

Marsh Posté le 18-07-2005 à 22:46:01    

voici d'autres nom de ce virus d'après vsantivirus.com
 
Alias: Tenga, GenPack:Backdoor.Robobot.AF, Trojan.Robobot.Ah, Virus.Win32.Tenga.a, W32.Licum, W32/Gael, W32/Gael.A, W32/Stanit, W32/Tenga-A, Win32.Gael.3666, Win32/Gael, Win32/Gaelicum.A, Win32/Tenga.A
 
http://www.vsantivirus.com/tenga-a.htm

Reply

Marsh Posté le 18-07-2005 à 23:01:15    

C'est donc apparement un virus bien méchant qui vient de sortir il y a quelques jours (détécté depuis le 13/14 juillet seulement)... donc un conseil faites vos maj à temps.. pas comme moi je viens de subir une premiere extincion brutale du PC
 
voici l'info vue sur alt.comp.anti-virus  :
 

Citation :


New virus - VERY DANGEROUS!
Scott Bolander   14 juil 19:07     afficher les options  
 
Nod32 does not know what it is, but sees it as a "Unknown win32 virus"  
and it still stops it.    
 
 
This virus replaces nearly ALL of the exe files on a machine with virus  
infected files.  Most AV products do not detect it; McAfee discovered it  
yesterday.  
 
 
This ended up on three machines yesterday at a client of mine; I had not  
been out in quite a while (he is incredibly cheap) so all his stuff was  
out of date or broken.  His Norton AV would not have caught it anyway.  
 
 
FYI:  
 
 
AntiVir 6.31.0.9        07.14.2005      W32/Stanit  
AVG     718     07.14.2005      Win32/Gaelicum.A  
Avira   6.31.0.9        07.14.2005      W32/Stanit  
BitDefender     7.0     07.14.2005      no virus found  
CAT-QuickHeal   7.03    07.14.2005      no virus found  
ClamAV  devel-20050501  07.14.2005      no virus found  
DrWeb   4.32b   07.14.2005      Win32.Gael.3666  
eTrust-Iris     7.1.194.0       07.13.2005      no virus found  
eTrust-Vet      11.9.1.0        07.14.2005      no virus found  
Fortinet        2.36.0.0        07.14.2005      suspicious  
F-Prot  3.16c   07.14.2005      could be infected with an unknown virus  
Ikarus  2.32    07.14.2005      no virus found  
Kaspersky       4.0.2.24        07.14.2005      Virus.Win32.Tenga.a  
McAfee  4535    07.14.2005      W32/Gael  
NOD32v2 1.1168  07.14.2005      probably unknown WIN32 virus  
Norman  5.70.10 07.14.2005      no virus found  
Panda   8.02.00 07.14.2005      no virus found  
Sybari  7.5.1314        07.14.2005      W32/Gael  
Symantec        8.0     07.13.2005      no virus found  
TheHacker       5.8.2.070       07.13.2005      no virus found  
VBA32   3.10.4  07.14.2005      no virus found  
 
 


 
souhaitez moi bonne chance...adieu!


Message édité par akio le 18-07-2005 à 23:02:11
Reply

Marsh Posté le 18-07-2005 à 23:10:38    

hephaestos, je te suggère (si tu est encore en vie
si possible dans l'ordre:
1)de nettoyer (désinfecter)  :love:  
2)d'éffacer(antivirus) puis de restaurer(cd de windows) :pfff:  
3)de sauvegarder tes données sur un autre disque :(  
4)si le probleme n'est pas résolu de formater...reinstaller windows (ou linux ;) )
puis vérifier tes documents avant de les récupérer :sweat:  
 
apparement ce virus s'attaque exclusivement aux executables (.exe).... take care all of you!
 
+ dinfos sur le virus :
http://groups.google.fr/group/alt. [...] um=1&hl=fr
 
toute info sur le virus est la bienvenue  :D

Reply

Marsh Posté le 19-07-2005 à 03:23:00    

akio a écrit :

hephaestos, je te suggère (si tu est encore en vie
si possible dans l'ordre:
1)de nettoyer (désinfecter)  :love:  
2)d'éffacer(antivirus) puis de restaurer(cd de windows) :pfff:  
3)de sauvegarder tes données sur un autre disque :(  
4)si le probleme n'est pas résolu de formater...reinstaller windows (ou linux ;) )
puis vérifier tes documents avant de les récupérer :sweat:  
 
apparement ce virus s'attaque exclusivement aux executables (.exe).... take care all of you!
 
+ dinfos sur le virus :
http://groups.google.fr/group/alt. [...] um=1&hl=fr
 
toute info sur le virus est la bienvenue  :D


 
Je ne peux pas faire fonctionner ni antivir ni kaspersky, le PC plante lorsque je scan mon disque et les deux logiciels rencontrent une erreur lorsqu'ils essaient de passer en mode actif. Idem en mode sans échec. :(

Reply

Marsh Posté le 19-07-2005 à 09:38:06    

Dans ce cas, tu n'a pas 36 solutions :
 
- soit tu essaie de récupérer ton système en essayant une désinfection avec un autre antivirus (antivirus en ligne, disque de boot, scan réseau) en fonction de ce qui fonctionne encore (internet, réseau (si tu a 2 pc ou+))
 
- si c'est vraiment désespéré, alors il te faut récupérer tes données à sauvegarder soit sur cd soit via un autre PC ou un autre disque dur, puis formater ton disque et reinstaller windows. A tu déjà installé windows?
 
Pour ma part j'ai fait un scandisk complet avec Antivir et je vais tenter de restaurer les fichiers manquant/ puis de rescanner avec d'autres AV, pour éviter une reinstalle de windows car j'ai plus de 40 applis a reinstaller  :D  
 
Si tu a besoin d'aide n'hésite pas à me contacter par MP

Reply

Marsh Posté le 19-07-2005 à 09:55:47    

Quelques infos supplémentaires sur ce virus
 
http://fr.mcafee.com/virusInfo/def [...] s_k=134857
 
http://securityresponse.symantec.c [...] licum.html
 
Ainsi que le topic FH suivant
 
http://forum.hardware.fr/hardwaref [...] 8802-1.htm
 
Bon courage  :hello:

Reply

Marsh Posté le 19-07-2005 à 10:41:24    

akio a écrit :

Dans ce cas, tu n'a pas 36 solutions :
 
- soit tu essaie de récupérer ton système en essayant une désinfection avec un autre antivirus (antivirus en ligne, disque de boot, scan réseau) en fonction de ce qui fonctionne encore (internet, réseau (si tu a 2 pc ou+))
 
- si c'est vraiment désespéré, alors il te faut récupérer tes données à sauvegarder soit sur cd soit via un autre PC ou un autre disque dur, puis formater ton disque et reinstaller windows. A tu déjà installé windows?
 
Pour ma part j'ai fait un scandisk complet avec Antivir et je vais tenter de restaurer les fichiers manquant/ puis de rescanner avec d'autres AV, pour éviter une reinstalle de windows car j'ai plus de 40 applis a reinstaller  :D  
 
Si tu a besoin d'aide n'hésite pas à me contacter par MP


 
Ah bah oui spa bete, ça de faire le scan avec mon autre PC, merci pour le tuyau  :)
 
Pour le reste, les sauvegardes sont faites depuis quelques jours mais j'aimerais bien quand meme ne pas avoir à tout formatter...
 
Sinon, cette nuit j'ai réinstallé kaspersky, qui a mystérieusement fonctionné et j'ai réussi à faire le scan complet de mon disque : il a trouvé quelques trojans (apparemment téléchargés grace à Stanit) mais plus de tracee de stanit. C'est peut-etre fini, je ferai quand meme le scan à partir de mon laptop pour etre sur...
 
 
Encore merci pour ton aide!
 
 :hello:  :bounce:

Reply

Marsh Posté le 19-07-2005 à 18:21:32    

pas de problème hephaestos! :)

Reply

Marsh Posté le 18-08-2005 à 00:45:18    

akio a écrit :


- soit tu essaie de récupérer ton système en essayant une désinfection avec un autre antivirus (antivirus en ligne, disque de boot, scan réseau) en fonction de ce qui fonctionne encore (internet, réseau (si tu a 2 pc ou+))


 
Il existe des antivirus en ligne qui désinfectent? Ca m'intéresse, j'ai chopé ce virus hier et impossible de m'en débarrasser. Il a pourri tous mes .exe, y compris ceux des anti virus et compagnie. :'(
Un truc bizarre aussi: Symantec et Kaspersky classent ce virus comme "peu dangereux"... C'est ça qu'ils appellent peu dangereux? Perdre tous ses éxécutables??? Quelquechosee m'échappe :/


---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed