Virus inconnu: TROJ_SERVU.Q
Résolu
beez
Messages postés
24
Statut
Membre
-
Cyril -
Cyril -
Bonjour!
Un message pour quelque specialiste en désinfection virale... car cette question ne semble pas avoir ete resolue partout ou j ai cherche sur le Net.
Je tiens a preciser que je suis un professionnel dans le domaine des reseaux, donc je sais me contenter d'un language de specialiste, sans necessiter trop d'explications de votre part.
Mon probleme:
Un Scan chez TrendMicro m a revele la presence du virus TROJ_SERVU.Q ayant infecte le fichier C:\WINDOWS\system\DRIVER\csrss.exe.
Cet executable etant, si je ne m'abuse, le gestionnaire de fenetres de windows, il m est impossible de le supprimer (solution proposee par TrendMicro), il faut donc le desinfecter.
Seulement, c'est un virus inconnu de tous les fournisseurs d'antivirus, ainsi que les sites specialistes: IANA, CVE, DSHIELD...
Seul TrendMicro le connait et le detecte.
Pour finir, TROJ_SERVU.Q est, d'apres TrendMicro, un code executant un simple server FTP, ouvrant des ports aleatoires. Heureusement, j'avais toujours ferme l'acces au Net a csrss.exe, car je ne voyais pas pourquoi elle avait besoin de se connecter a Internet.
Le mal est donc stoppe, mais je prefererais l'eradiquer...
Quelqu'un a-t-il des informations qui m'auraient echappees?
Sauriez-vous comment recuperer un executable csrss.exe sain, sans devoir tout formatter?
Merci et @bientot
BeeZ
Un message pour quelque specialiste en désinfection virale... car cette question ne semble pas avoir ete resolue partout ou j ai cherche sur le Net.
Je tiens a preciser que je suis un professionnel dans le domaine des reseaux, donc je sais me contenter d'un language de specialiste, sans necessiter trop d'explications de votre part.
Mon probleme:
Un Scan chez TrendMicro m a revele la presence du virus TROJ_SERVU.Q ayant infecte le fichier C:\WINDOWS\system\DRIVER\csrss.exe.
Cet executable etant, si je ne m'abuse, le gestionnaire de fenetres de windows, il m est impossible de le supprimer (solution proposee par TrendMicro), il faut donc le desinfecter.
Seulement, c'est un virus inconnu de tous les fournisseurs d'antivirus, ainsi que les sites specialistes: IANA, CVE, DSHIELD...
Seul TrendMicro le connait et le detecte.
Pour finir, TROJ_SERVU.Q est, d'apres TrendMicro, un code executant un simple server FTP, ouvrant des ports aleatoires. Heureusement, j'avais toujours ferme l'acces au Net a csrss.exe, car je ne voyais pas pourquoi elle avait besoin de se connecter a Internet.
Le mal est donc stoppe, mais je prefererais l'eradiquer...
Quelqu'un a-t-il des informations qui m'auraient echappees?
Sauriez-vous comment recuperer un executable csrss.exe sain, sans devoir tout formatter?
Merci et @bientot
BeeZ
A voir également:
- Virus inconnu: TROJ_SERVU.Q
- Numero inconnu - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Mms numéro inconnu - Forum Mobile
22 réponses
C est deja fait!
Ce trojan n est pas repertorie dans la base de connaissance de SYmantec, donc mon antivirus ne risque pas de connaitre sa signature...
Une analyse hijackthis n a rien revele, et ce certainement car le trojan ne peut pas acceder au net car mon firewall lui interdit.
D'autres specialistes comme F-Secure etc... ne connaissent pas ce trojan.
D'autres propositions? :)
BeeZ
Ce trojan n est pas repertorie dans la base de connaissance de SYmantec, donc mon antivirus ne risque pas de connaitre sa signature...
Une analyse hijackthis n a rien revele, et ce certainement car le trojan ne peut pas acceder au net car mon firewall lui interdit.
D'autres specialistes comme F-Secure etc... ne connaissent pas ce trojan.
D'autres propositions? :)
BeeZ
Voici un dernier scan hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:27:55, on 25/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\programs\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\pctspk.exe
D:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
D:\Programs\QuickTime\qttask.exe
D:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\programs\networks\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\programs\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\programs\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
D:\programs\Mozilla\firefox.exe
D:\eMule\eChanblard\emule.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Programs\networks\Spamihilator\spamihilator.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Nico\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.looksmart.com/p/search?pi=lstb2&tv=1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/sygate/sygate_info.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programs\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\programs\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\programs\networks\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SmcService] D:\programs\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programs\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] D:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\programs\networks\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FUIClearHis] D:\programs\FreshDevices\FreshUI\freshui.exe 16
O4 - HKCU\..\Run: [Skype] "D:\programs\networks\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spamihilator] "D:\Programs\networks\Spamihilator\spamihilator.exe"
O4 - Startup: Hosts Manager.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\programs\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programs\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110211299620
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1F3A84-80A1-4D68-B133-8BE0AB26DFF7}: NameServer = 80.118.196.41 80.118.192.111
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\programs\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NVIDIA Display Driver Service (Omega P 1.5672a) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\programs\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\programs\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
BeeZ
Logfile of HijackThis v1.99.1
Scan saved at 13:27:55, on 25/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\programs\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\pctspk.exe
D:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
D:\Programs\QuickTime\qttask.exe
D:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\programs\networks\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\programs\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\programs\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
D:\programs\Mozilla\firefox.exe
D:\eMule\eChanblard\emule.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Programs\networks\Spamihilator\spamihilator.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Nico\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.looksmart.com/p/search?pi=lstb2&tv=1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/sygate/sygate_info.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programs\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\programs\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\programs\networks\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SmcService] D:\programs\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programs\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeVersionCue] D:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\programs\networks\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FUIClearHis] D:\programs\FreshDevices\FreshUI\freshui.exe 16
O4 - HKCU\..\Run: [Skype] "D:\programs\networks\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spamihilator] "D:\Programs\networks\Spamihilator\spamihilator.exe"
O4 - Startup: Hosts Manager.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\programs\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programs\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110211299620
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1F3A84-80A1-4D68-B133-8BE0AB26DFF7}: NameServer = 80.118.196.41 80.118.192.111
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\programs\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NVIDIA Display Driver Service (Omega P 1.5672a) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\programs\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\programs\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
BeeZ
salut
ton fichier infecte est dans :\WINDOWS\system\driver\csrss.exe
l original lui se trouce dans \WINDOWS\system32\csrss.exe si je ne me trompe pas
je te conseille de scanner se fichierWINDOWS\system\driver\csrss.exe ici
19 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html
ton fichier infecte est dans :\WINDOWS\system\driver\csrss.exe
l original lui se trouce dans \WINDOWS\system32\csrss.exe si je ne me trompe pas
je te conseille de scanner se fichierWINDOWS\system\driver\csrss.exe ici
19 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ta reponse est tout a fait fondee... d apres le log de hijackthis, le fichier incriminine est dans le repertoire c:\windows\system\drivers, mais celui-ci n existe pas.
Le seul fichier csrss.exe que j ai se trouve bien a l emplacement que tu dis, ie c:\windows\system32\csrss.exe
Je l ai donc soumis au site dont tu m as donne le lien, mais il ne trouve rien, le fichier semble sain!
Comme je l ai dit seul TrendMicro connais ce fameux Trojan TROJ_SERVU.Q, sinon je ne trouve aucune trace de ce type de probleme nul part. Serais-je victime d' un nouveau type de strategie marketing nippone ou l on fait croire aux gens qu ils sont infectes par un virus alors qu ils ne le sont pas?
Quoi qu il en soit, mon probleme tient toujours!
Essayons d'aborder le probleme dans un autre sens:
csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall? comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller?
Je me vois mal installer une Debian a ma femme!!! :)
Merci de votre aide!
BeeZ
Le seul fichier csrss.exe que j ai se trouve bien a l emplacement que tu dis, ie c:\windows\system32\csrss.exe
Je l ai donc soumis au site dont tu m as donne le lien, mais il ne trouve rien, le fichier semble sain!
Comme je l ai dit seul TrendMicro connais ce fameux Trojan TROJ_SERVU.Q, sinon je ne trouve aucune trace de ce type de probleme nul part. Serais-je victime d' un nouveau type de strategie marketing nippone ou l on fait croire aux gens qu ils sont infectes par un virus alors qu ils ne le sont pas?
Quoi qu il en soit, mon probleme tient toujours!
Essayons d'aborder le probleme dans un autre sens:
csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall? comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller?
Je me vois mal installer une Debian a ma femme!!! :)
Merci de votre aide!
BeeZ
salut
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
et tu pourra le localiser
a+
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
et tu pourra le localiser
a+
Oui merci... j'apprecie l exacte precision de ta reponse!
Mais c est pour ca que j ai precise que je suis un professionnel de l informatique (exactement specialise dans les protocoles de couches 3 et 4, et je fais aussi un peu de recherche en securite informatique en general: protocolaire/crypto mais aussi recherche sur Honeypots...), pour passer ce genre d etapes!
donc oui, je peux voir tous les fichiers...
du reste, je navigue avec total commander qui fait fi des options de windaube!
Je reitere donc mes questions:
csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall?
Comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller?
Avez vous des infos essentielles sur la facon de recouvrer un fichier csrss.exe sain SANS reinstaller?
Merci a tous de votre participation
Mais c est pour ca que j ai precise que je suis un professionnel de l informatique (exactement specialise dans les protocoles de couches 3 et 4, et je fais aussi un peu de recherche en securite informatique en general: protocolaire/crypto mais aussi recherche sur Honeypots...), pour passer ce genre d etapes!
donc oui, je peux voir tous les fichiers...
du reste, je navigue avec total commander qui fait fi des options de windaube!
Je reitere donc mes questions:
csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall?
Comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller?
Avez vous des infos essentielles sur la facon de recouvrer un fichier csrss.exe sain SANS reinstaller?
Merci a tous de votre participation
le fichier sain ne le touche pas
l autre si le scan le vois tu doit le trouver
ou alors essai ceci
Kill Box :
(ici) http://www.florensac-chasse-trap.com/ section virus
-Ouvre-le
-Sélectionne le fichier à supprimer,
ou met le chemin exact
C:\WINDOWS\system\driver\csrss.exe
clic sur la croix blanche
réponds "oui"
-Vide la corbeille.
l autre si le scan le vois tu doit le trouver
ou alors essai ceci
Kill Box :
(ici) http://www.florensac-chasse-trap.com/ section virus
-Ouvre-le
-Sélectionne le fichier à supprimer,
ou met le chemin exact
C:\WINDOWS\system\driver\csrss.exe
clic sur la croix blanche
réponds "oui"
-Vide la corbeille.
Fiou...
J ai fait ce que tu m as dit, j ai clique sur la croix blanche et...
un magnifique ecran bleu suivi d un reboot en ordre...
Puis la sequence de boot s est arretee, et a ce moment la, j avoue t avoir deteste...
mais apres 2 min, ma souris a reapparu, donc toute animosite est retombee... :D
treve de plaisanteries, j ai refait un scan avec hijackthis, et il me dit toujours la meme chose.
Mes conclusions seraient que:
- l instance du programme csrss.exe s'execute dans c:\windows\system\drivers\ , en temoigne l ecran bleu que j ai recu.
- le fichier csrss.exe normal (donc infecte!) se trouve bien dans c:\windows\system32\
Qu en pensez vous?
J ai fait ce que tu m as dit, j ai clique sur la croix blanche et...
un magnifique ecran bleu suivi d un reboot en ordre...
Puis la sequence de boot s est arretee, et a ce moment la, j avoue t avoir deteste...
mais apres 2 min, ma souris a reapparu, donc toute animosite est retombee... :D
treve de plaisanteries, j ai refait un scan avec hijackthis, et il me dit toujours la meme chose.
Mes conclusions seraient que:
- l instance du programme csrss.exe s'execute dans c:\windows\system\drivers\ , en temoigne l ecran bleu que j ai recu.
- le fichier csrss.exe normal (donc infecte!) se trouve bien dans c:\windows\system32\
Qu en pensez vous?
celui qui est dans c:\windows\system32\ il est bon ne le touche pas
l autre en passent par l explorateur en suivant le chemin tu devrait le trouver si hj le vois
l autre en passent par l explorateur en suivant le chemin tu devrait le trouver si hj le vois
déjà, ces services sont bizarres
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
http://www.bleepingcomputer.com/startups/NTsrv.exe-3794.html
les recherche sur ntsrv.exe menent à servu
celui ci est un ver
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
http://www.bleepingcomputer.com/startups/Winregs326a.exe-8325.html
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
http://www.bleepingcomputer.com/startups/NTsrv.exe-3794.html
les recherche sur ntsrv.exe menent à servu
celui ci est un ver
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
http://www.bleepingcomputer.com/startups/Winregs326a.exe-8325.html
salut, pour les services:
http://castlecops.com/O23.html,
les 2 ont 2possibilites, une infecte et une non
a+
http://castlecops.com/O23.html,
les 2 ont 2possibilites, une infecte et une non
a+
Salut à tous
N'y aurait-il pas un rapport avec ça ?
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FNIMDA%2EE&VSect=T
@+
N'y aurait-il pas un rapport avec ça ?
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FNIMDA%2EE&VSect=T
@+
ouai, j ai vu apres avoir poster, je vieillis ou je suis fatigué, je merde en ce moment grrr
si ca peut aider
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSERVU%2EQ&VSect=T
si ca peut aider
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSERVU%2EQ&VSect=T
fiou...
apres moulte reboots et hijackthis scans, j ai reussi a virer les 2 fichiers en question. Le systeme semble stable, tout fonctionne bien.
Le chasseur n a pas manque sa proie... j ai ete un peu depasse pour ma part! :)
Cependant, il me reste l alerte suivante:
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)
Comme vous pouvez le constater le fichier a ete efface. Cependant, cette alerte ne peut etre corrigee avec hijackthis, Norton est dans les choux, et mes autres utilitaires sont tout autant inefficaces...
Cela veut-il dire qu il y a une entree dans la base des registres qui fait reference au fichier efface?
Dans ce cas, dois me plonger dans le regedit pour le trouver, ou avez vous un cheat pour localiser cette clef rapidement?
Peux tu m aider a terminer proprement le travail?
Merci et @+
BeeZ
apres moulte reboots et hijackthis scans, j ai reussi a virer les 2 fichiers en question. Le systeme semble stable, tout fonctionne bien.
Le chasseur n a pas manque sa proie... j ai ete un peu depasse pour ma part! :)
Cependant, il me reste l alerte suivante:
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)
Comme vous pouvez le constater le fichier a ete efface. Cependant, cette alerte ne peut etre corrigee avec hijackthis, Norton est dans les choux, et mes autres utilitaires sont tout autant inefficaces...
Cela veut-il dire qu il y a une entree dans la base des registres qui fait reference au fichier efface?
Dans ce cas, dois me plonger dans le regedit pour le trouver, ou avez vous un cheat pour localiser cette clef rapidement?
Peux tu m aider a terminer proprement le travail?
Merci et @+
BeeZ
fait ceci
clik sur Démarrer->exécuter->tape: services.msc
Double-clique: NTBOOTMGR (NTBOOT)
Règle-le sur "Arrêté" et "Désactivé".
recoche le sur hijack et fix
-------------------------
clik sur Démarrer->exécuter->tape: services.msc
Double-clique: NTBOOTMGR (NTBOOT)
Règle-le sur "Arrêté" et "Désactivé".
recoche le sur hijack et fix
-------------------------
Ok! c est parfait!
Apres qqs recherches d infos j ai pu virer tout ce qui etait mauvais, j ai pige comment s'organisent les services de Windows!
Merci pour le petit cours et pour le depannage, je viendrai donc donner un coup de main sur le forum comme promis!
Par ailleurs, j ai trouve ca sur ton site:
Vin conseillé
* Pessac-léognan rouge château Gazin 1992
Je vois qu en plus tu as bon gout!!! :D
Encore merci et @+
BeeZ
Apres qqs recherches d infos j ai pu virer tout ce qui etait mauvais, j ai pige comment s'organisent les services de Windows!
Merci pour le petit cours et pour le depannage, je viendrai donc donner un coup de main sur le forum comme promis!
Par ailleurs, j ai trouve ca sur ton site:
Vin conseillé
* Pessac-léognan rouge château Gazin 1992
Je vois qu en plus tu as bon gout!!! :D
Encore merci et @+
BeeZ
Recapitulatif:
Presence du Trojan TROJ_SERVU.Q
Services s'executant:
c:\windows\system\drivers\ntuser.exe
c:\windows\system\drivers\ntsrv.exe
Verifier ces chemins d'acces avec Hijacthis, les effacer avec Killbox par exemple (ils sont invisibles sous l explorateur de Windows).
Stopper les services suivants dans la liste des services (demarrer-> executer : services.msc)
NTBOOT
NTBOOTMGR
MGRSRV (les noms peuvent differer mais font toujours reference a NT BOOT MGR et SRV)
Verifier au prealable que les adresses dans le registre font reference aux 2 executables ntuser.exe et ntsrv.exe ci-dessus.
Enfin, supprimer ces services en executant Regedit (demarrer-> executer : regedit.exe)
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
et supprimer les servies cites ci-dessus.
Rapport en anglais a l'adresse suivante:
http://www.beez.ch/beezness/Web/security/index.html?cat=TROJ_SERVU.Q
Conclusion:
Trendmicro online scan s est avere extremement efficace. Je recommande!!!
Symantec ne connaissait jusqu alors pas l existence de ce Trojan: Aucune alerte de Norton AV, et trojan inconnu des bases de donnees de Symantec.
BeeZ
Presence du Trojan TROJ_SERVU.Q
Services s'executant:
c:\windows\system\drivers\ntuser.exe
c:\windows\system\drivers\ntsrv.exe
Verifier ces chemins d'acces avec Hijacthis, les effacer avec Killbox par exemple (ils sont invisibles sous l explorateur de Windows).
Stopper les services suivants dans la liste des services (demarrer-> executer : services.msc)
NTBOOT
NTBOOTMGR
MGRSRV (les noms peuvent differer mais font toujours reference a NT BOOT MGR et SRV)
Verifier au prealable que les adresses dans le registre font reference aux 2 executables ntuser.exe et ntsrv.exe ci-dessus.
Enfin, supprimer ces services en executant Regedit (demarrer-> executer : regedit.exe)
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
et supprimer les servies cites ci-dessus.
Rapport en anglais a l'adresse suivante:
http://www.beez.ch/beezness/Web/security/index.html?cat=TROJ_SERVU.Q
Conclusion:
Trendmicro online scan s est avere extremement efficace. Je recommande!!!
Symantec ne connaissait jusqu alors pas l existence de ce Trojan: Aucune alerte de Norton AV, et trojan inconnu des bases de donnees de Symantec.
BeeZ
