Virus inconnu: TROJ_SERVU.Q Résolu

Question

Bonjour!

Un message pour quelque specialiste en désinfection virale... car cette question ne semble pas avoir ete resolue partout ou j ai cherche sur le Net.
Je tiens a preciser que je suis un professionnel dans le domaine des reseaux, donc je sais me contenter d'un language de specialiste, sans necessiter trop d'explications de votre part.

Mon probleme:
Un Scan chez TrendMicro m a revele la presence du virus TROJ_SERVU.Q ayant infecte le fichier C:\WINDOWS\system\DRIVER\csrss.exe.

Cet executable etant, si je ne m'abuse, le gestionnaire de fenetres de windows, il m est impossible de le supprimer (solution proposee par TrendMicro), il faut donc le desinfecter.

Seulement, c'est un virus inconnu de tous les fournisseurs d'antivirus, ainsi que les sites specialistes: IANA, CVE, DSHIELD...

Seul TrendMicro le connait et le detecte.

Pour finir, TROJ_SERVU.Q est, d'apres TrendMicro, un code executant un simple server FTP, ouvrant des ports aleatoires. Heureusement, j'avais toujours ferme l'acces au Net a csrss.exe, car je ne voyais pas pourquoi elle avait besoin de se connecter a Internet.

Le mal est donc stoppe, mais je prefererais l'eradiquer...

Quelqu'un a-t-il des informations qui m'auraient echappees?
Sauriez-vous comment recuperer un executable csrss.exe sain, sans devoir tout formatter?

Merci et @bientot

BeeZ

Afficher la suite

oussema sfaihi · Answer

mettez votre anti-virus à jou et scannez le fichier il pourra peut-être le supprimer

beez · Answer

C est deja fait!Ce trojan n est pas repertorie dans la base de connaissance de SYmantec, donc mon antivirus ne risque pas de connaitre sa signature...Une analyse hijackthis n a rien revele, et ce certainement car le trojan ne peut pas acceder au net car mon firewall lui interdit.D'autres specialistes comme F-Secure etc... ne connaissent pas ce trojan.D'autres propositions? :)BeeZ

beez · Answer

Voici un dernier scan hijackthis:Logfile of HijackThis v1.99.1Scan saved at 13:27:55, on 25/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeD:\programs\Sygate\SPF\smc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\WINDOWS\System32\pctspk.exeD:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exeC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeD:\Programs\QuickTime\qttask.exeD:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\System32\ctfmon.exeD:\programs
etworks\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXED:\programs\Norton SystemWorks\Norton AntiVirus
avapsvc.exeD:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXEC:\WINDOWS\SYSTEM\DRIVER
tuser.exeC:\WINDOWS\SYSTEM\DRIVER
tsrv.exeC:\WINDOWS\system\driver\csrss.exeC:\WINDOWS\System32
vsvc32.exeD:\programs\NORTON~1\SPEEDD~1
opdb.exeC:\WINDOWS\System32\svchost.exeD:\programs\Mozilla\firefox.exeD:\eMule\eChanblard\emule.exeC:\WINDOWS\System32	askmgr.exeD:\Programs
etworks\Spamihilator\spamihilator.exeC:\WINDOWS\explorer.exeC:\Documents and Settings\Nico\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.looksmart.com/p/search?pi=lstb2&tv=1R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/sygate/sygate_info.htmR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programs\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\programs\FreshDevices\FreshDownload\fdcatch.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\programs
etworks\SPYBOT~1\SDHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dllO2 - BHO: (no name) - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programs\Norton SystemWorks\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dllO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquietO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [SmcService] D:\programs\Sygate\SPF\smc.exe -startguiO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\programs\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [QuickTime Task] "D:\Programs\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AdobeVersionCue] D:\Programs\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -bootO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\programs
etworks\Spybot - Search & Destroy\TeaTimer.exeO4 - HKCU\..\Run: [FUIClearHis] D:\programs\FreshDevices\FreshUI\freshui.exe   16 O4 - HKCU\..\Run: [Skype] "D:\programs
etworks\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Spamihilator] "D:\Programs
etworks\Spamihilator\spamihilator.exe"O4 - Startup: Hosts Manager.lnk.disabledO4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.htmlO8 - Extra context menu item: Convertir en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.htmlO8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.htmlO8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.htmlO8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.htmlO8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.htmlO8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.htmlO8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\programs\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\programs\MICROS~1\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programs\MICROS~1\OFFICE11\REFIEBAR.DLLO16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110211299620O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1F3A84-80A1-4D68-B133-8BE0AB26DFF7}: NameServer = 80.118.196.41 80.118.192.111O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - D:\programs\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\programs\Norton SystemWorks\Norton Utilities\NPROTECT.EXEO23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tuser.exeO23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exeO23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exeO23 - Service: NVIDIA Display Driver Service (Omega P 1.5672a) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\programs\Sygate\SPF\smc.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - D:\programs\NORTON~1\SPEEDD~1
opdb.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeBeeZ

balltrap34 · Answer

salutton fichier infecte est dans :\WINDOWS\system\driver\csrss.exe l original lui se trouce dans \WINDOWS\system32\csrss.exe si je ne me trompe pasje te conseille de scanner se fichierWINDOWS\system\driver\csrss.exe  ici19 editeur d anti virushttp://www.virustotal.com/xhtml/virustotal_en.html

beez · Answer

ta reponse est tout a fait fondee...  d apres le log de hijackthis, le fichier incriminine est dans le repertoire c:\windows\system\drivers, mais celui-ci n existe pas.Le seul fichier csrss.exe que j ai se trouve bien a l emplacement que tu dis, ie c:\windows\system32\csrss.exeJe l ai donc soumis au site  dont tu m as donne le lien, mais il ne trouve rien, le fichier semble sain!Comme je l ai dit seul TrendMicro connais ce fameux Trojan TROJ_SERVU.Q, sinon je ne trouve aucune trace de ce type de probleme nul part. Serais-je victime d' un nouveau type de strategie marketing nippone ou l on fait croire aux gens qu ils sont infectes par un virus alors qu ils ne le sont pas?Quoi qu il en soit, mon probleme tient toujours!Essayons d'aborder le probleme dans un autre sens:csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall? comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller?Je me vois mal installer une Debian a ma femme!!! :)Merci de votre aide!BeeZ

Utilisateur anonyme · Answer

salut Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système"clic sur ok pour valideret tu pourra le localisera+

balltrap34 · Answer

merci pour la suite moequand je dit que je suis trop pris en ce moment lol

beez · Answer

Oui merci... j'apprecie l exacte precision de ta reponse!Mais c est pour ca que j ai precise que je suis un professionnel de l informatique (exactement specialise dans les protocoles de couches 3 et 4, et je fais aussi un peu de recherche en securite informatique en general: protocolaire/crypto mais aussi recherche sur Honeypots...), pour passer ce genre d etapes!donc oui, je peux voir tous les fichiers...du reste, je navigue avec total commander qui fait fi des options de windaube!Je reitere donc mes questions:csrss.exe doit-il oui ou non se connecter au Net? que dit votre firewall? Comment puis-je recouvrir un fichier csrss.exe sain sans tout reinstaller? Avez vous des infos essentielles sur la facon de recouvrer un fichier csrss.exe sain SANS reinstaller?Merci a tous de votre participation

Utilisateur anonyme · Answer

bah, pas facile de s'occuper de sa famille/amis, travail et forum ccm lol !!!

balltrap34 · Answer

le fichier sain ne le touche pasl autre si le scan le vois tu doit le trouverou alors essai ceciKill Box :       (ici)               http://www.florensac-chasse-trap.com/   section virus-Ouvre-le  -Sélectionne le fichier à supprimer, ou met le chemin exactC:\WINDOWS\system\driver\csrss.exe  clic sur la croix blanche  réponds "oui"  -Vide la corbeille.

balltrap34 · Answer

celui qui est dans c:\windows\system32\ il est bon ne le touche pasl autre en passent par l explorateur en suivant le chemin tu devrait le trouver si hj le vois

Utilisateur anonyme · Answer

déjà, ces services sont bizarresO23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exe O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exe http://www.bleepingcomputer.com/startups/NTsrv.exe-3794.htmlles recherche sur ntsrv.exe menent à servucelui ci est un verO4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exehttp://www.bleepingcomputer.com/startups/Winregs326a.exe-8325.html

Utilisateur anonyme · Answer

salut, pour les services:http://castlecops.com/O23.html,les 2 ont 2possibilites, une infecte et une nona+

Rumbacampus · Answer

Salut à tousN'y aurait-il pas un rapport avec ça ?http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FNIMDA%2EE&VSect=T@+

balltrap34 · Answer

regis ce n est pas le meme executable

Utilisateur anonyme · Answer

ouai, j ai vu apres avoir poster, je vieillis ou je suis fatigué, je merde en ce moment grrrsi ca peut aiderhttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSERVU%2EQ&VSect=T

beez · Answer

fiou...apres moulte reboots et hijackthis scans, j ai reussi a virer les 2 fichiers en question. Le systeme semble stable, tout fonctionne bien.Le chasseur n a pas manque sa proie... j ai ete un peu depasse pour ma part! :)Cependant, il me reste l alerte suivante:O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tuser.exe (file missing)Comme vous pouvez le constater le fichier a ete efface. Cependant, cette alerte ne peut etre corrigee avec hijackthis, Norton est dans les choux, et mes autres utilitaires sont tout autant inefficaces...Cela veut-il dire qu il y a une entree dans la base des registres qui fait reference au fichier efface?Dans ce cas, dois me plonger dans le regedit pour le trouver, ou avez vous un cheat pour localiser cette clef rapidement?Peux tu m aider a terminer proprement le travail?Merci et @+BeeZ

balltrap34 · Answer

fait ceciclik sur Démarrer->exécuter->tape: services.mscDouble-clique: NTBOOTMGR (NTBOOT)Règle-le sur "Arrêté" et "Désactivé".recoche le sur hijack et fix-------------------------

balltrap34 · Answer

mercia++

beez · Answer

Recapitulatif:Presence du Trojan TROJ_SERVU.QServices s'executant:c:\windows\system\drivers
tuser.exec:\windows\system\drivers
tsrv.exeVerifier ces chemins d'acces avec Hijacthis, les effacer avec Killbox par exemple (ils sont invisibles sous l explorateur de Windows).Stopper les services suivants dans la liste des services (demarrer-> executer : services.msc)NTBOOTNTBOOTMGRMGRSRV (les noms peuvent differer mais font toujours reference a NT BOOT MGR et SRV)Verifier au prealable que les adresses dans le registre font reference aux 2 executables ntuser.exe et ntsrv.exe ci-dessus.Enfin, supprimer ces services en executant Regedit (demarrer-> executer : regedit.exe)HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Serviceset supprimer les servies cites ci-dessus.Rapport en anglais a l'adresse suivante:http://www.beez.ch/beezness/Web/security/index.html?cat=TROJ_SERVU.QConclusion:Trendmicro online scan s est avere extremement efficace. Je recommande!!!Symantec ne connaissait jusqu alors pas l existence de ce Trojan: Aucune alerte de Norton AV, et trojan inconnu des bases de donnees de Symantec.BeeZ

oussema · Answer

je suis content por toi et je voudraais savoir votre adresse mailpor qu'on se pose nos question mon mail est oussemasfaihi@yahoo.fr

Cyril · Answer

bonsoir les garsessayez http://securityresponse.symantec.com/avcenter/venc/data/w32.dalbug.worm.html

Virus inconnu: TROJ_SERVU.Q

22 réponses

Votre réponse

Discussions similaires

Newsletters