Eh oui un autre problème de virus

Logiciel & apps Logiciel Général
1

Voilà j’ai reçu un message d’un ami:

"lol check modéré

et j’ai naïvement clické dessus. Il y a des pros ici ?

Voici mon log avec HiJackThis, merci de m’aider:

Logfile of HijackThis v1.99.1
Scan saved at 02:24:16, on 2006-09-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\cusrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\SealedMedia\sealmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Desktop_Calendar\Desktop Calendar\Desktop Calendar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Documents and Settings\user\Bureau\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com/?nopub=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\…\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\…\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\…\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\…\Run: [CMESys] “C:\Program Files\Fichiers communs\CMEII\CMESys.exe”
O4 - HKLM\…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [sealmon] C:\Program Files\SealedMedia\sealmon.exe
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [!ewido] “C:\Program Files\ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe” /WinStart
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msgs.exe” /background
O4 - Startup: Raccourci vers Desktop Calendar.lnk = C:\Program Files\Desktop_Calendar\Desktop Calendar\Desktop Calendar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Universite Laval Client VPN ULaval.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS…er.cab31267.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Unknown owner - D:\Université\VPN\cvpnd.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Si quelqu’un a une solution, je le remercierais infiniment.

2

[color=red]Merci de ne pas poster des liens de ce genre.

Ne pas cliquer dessus! Est potentiellement dangereux.
[/color]

Sinon, il existe un topic avec tout ce qu’il faut…

http://www.clubic.com/forum/-topic-officie…pc-t323378.html

:jap:

Merci d’éditer ton message pour retirer le lien…

Edit: merci Delvin d’avoir retiré le lien :jap:

3

Macalex > Ce n’est pas trés malin de mettre l’URL du programme qui t’a infecté… :riva:

4

désolé, je pensais que ça aiderait pour savoir quel type de virus c’était, finalement j’ai trouvé c’est un worm/Braban.H

Il n’est même pas sur symentec, je suis foutu :frowning:
On dirait que c’est de pire en pire en plus :expressionless:

5

Tu as suivi la procdéure que je t’ai indiqué?

6

Oui mais comme je ne suis pas très doué en informatique, il y a plusieurs choses que je ne sais pas comment faire. Tel que désactiver la restauration du système, vider le cache de votre navigateur, etc…

Et pour entrer en mode sans-échec c’est bien F8 ?

De toute façon ça semble être un trojan très puissant, je ne sais pas si ce sera suffisant, si au moins je savais lesquels clés de registres qui permettent le lancement du fichier infecté…

Merci de ton aide, c’est apprécié.

7

Etant nouveau içi je me permet de citer juju251 :smiley:

Pour desactiver la restauration systeme :
Démarrer==>Clic droit Poste de travail==>Propriétés==>Onglet Restauration systeme==>Cocher la caseDésactiver la restauration systeme==>Appliquer, Ok et tu redémarres
Pour démarrer en mode sans échec :
Appuyer sur F8 au démarrage et sélectionner Mode sans échec

Et pour te rassurer voici quelque infos sur ta bestiole : http://www.avira.com/fr/threats/section/fu…m_braban.h.html
Ca ne me pas semble parmis les plus virulentes

8

Merci Le_swiss, j’ai désactivé la restoration du système et je suis présentement en mode sans échec, je fais un scan avec AVG et après je vais en faire un autre avec Ewido, j’ai effacé tous les programmes suspect dans la base registre (run de windows). Et après tout cela je vais restarter en mode normal, en espérant que tout revienne à point.

merci de votre aide, si vous avez d’autres suggestions n’hésitez pas!

J’avais déjà vu le lien que tu mas envoyé le_swiss mais je n’en vois pas l’utilité… quelqu’un a une idée ? :frowning:

9

Voilà après prêt de 9 heures de tatonnement et de démêlées avec le registre j’en suis finalement arrivé à bout.

Merci à vous.

P.S. Si certains d’entre vous sont atteints du virus Braban.H, n’hésitez pas à me contacter. bye bye