Forum Clubic

Question-virus

Bonjour à tous :slight_smile:

Voilà j’aurais une petite question.
Je me suis chopé un ptit virus, apparement de type W32.beagle.
Je suis actuellement en train de chercher à l’éradiquer, là je traque les entrées suspectes dans la base de registres, enfin bref…^^

Le problème, c’est qu’avant de voir que c’était un virus (type trojan) je pensais à un simple spyware, et je virais quelques trucs dans les tâches exécutées. J’ai aussi fait quelques analyses avec des logiciels antispyware, mais plus je faisais d’analyses, plus j’en trouvais :confused:

Y’aurait-il quelqu’un qui sait exactement ce que peuvent faire les virus dérivés de w32.beagle?

Je suis un petit peu inquiet, ayant fait une transaction alors que j’étais infecté… Ca pourrait envoyer le numéro que j’ai tapé ou quelque chose comme ça? (je précise au cas-où que j’ai, pour une fois, lancé FireFox pour faire le virement, vu qu’IE semblait être le seul à être touché par l’ouverture de fenêtres indésirables)

Merci d’avance pour vos réponses!
Là je télécharge Sophos pro. qui apparement est un des premiers à avoir détecté ces infections. Il devrait pouvoir m’aider^^
Edité le 14/07/2007 à 14:08

C’est un ver qui pollue les boîtes mail (spam, phishing, …)
A eradiquer avec un scan en ligne et poster un log hijackthis.

Ah ok merci. Rien à voir alors avec mes quelques fenêtres publicitaires? Ni avec les blocages intempestifs de la connexion? Car (surtout IE mais tous ce qui fonctionne en ligne) se bloque, et tant que je ne rouvre pas ma page d’accueil, ça reste bloqué. Une fois la page d’accueil lancée, ça débloque pour quelque temps…
Surtout que pour la première fois, c’est USTART qui force la page de démarrage. J’ai beau l’enlever il revient. Etonnant non?
Je vais faire un log de suite ^^
sinon j’ai déjà tenté les scans en ligne… Erreur explorer, ou ‘aucun fichier infecté’ selon les logiciels…


Voilà le résultat d'Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 14:12:45, on 14/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\DCPFLICS\DCPFLICS.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Tablet.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Styler\Styler.exe
C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINXP\CTHELPER.EXE
C:\WINXP\system32\CTXFIHLP.EXE
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINXP\system32\Wtablet\TabUserW.exe
C:\Program Files\Privoxy\privoxy.exe
C:\Documents and Settings\Simon.XPSP2-44AA58B64\Bureau\FxBeagle.exe
C:\WINXP\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Simon.XPSP2-44AA58B64\Local Settings\Temporary Internet Files\Content.IE5\WT4076RO\hijackthis_hijackthis_1.99.1_anglais_17891[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ustart.org…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [AudioDrvEmulator] “C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe” -1 AudioDrvEmulator “C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll”
O4 - HKLM…\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [USIUDF_Eject_Monitor] C:\Program Files\Fichiers communs\Ulead Systems\DVD\USISrv.exe
O4 - HKLM…\Run: [ISUSPM] “C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe” -scheduler
O4 - HKLM…\Run: [EPSON Stylus CX3200] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 “EPSON Stylus CX3200” /O6 “USB001” /M “Stylus CX3200”
O4 - HKLM…\Run: [Styler] C:\Program Files\Styler\Styler.exe
O4 - HKLM…\Run: [CTDVDDET] “C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE”
O4 - HKLM…\Run: [RCSystem] “C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe” RCSystem * -Startup
O4 - HKLM…\Run: [VolPanel] “C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe” /r
O4 - HKLM…\Run: [UpdReg] C:\WINXP\UpdReg.EXE
O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM…\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [kav] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\CPF.exe” /background
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKCU…\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [TorCP] C:\Program Files\TorCP\torcp.exe
O4 - HKCU…\Run: [DynDNS Updater] “C:\Program Files\DynDNS Updater\DynDNS.exe”
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Privoxy.lnk = C:\Program Files\Privoxy\privoxy.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINXP\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - D:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - acs.pandasoftware.com…
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - 62.161.242.250…
O17 - HKLM\System\CCS\Services\Tcpip…{70557C8F-8E29-44D5-98B7-A216315BBA68}: NameServer = 212.30.96.108,212.30.96.123
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: klogon - C:\WINXP\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: DCPFLICS - Unknown owner - C:\Program Files\DCPFLICS\DCPFLICS.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: DirectX Service (Hopiv) - Unknown owner - C:\WINXP\system32\directx.exe
O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Program Files\Icecast2 Win32\icecastService.exe" “C:\Program Files\Icecast2 Win32 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe” -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINXP\system32\Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Précision, j’ai viré manuellement des tâches lancées un certain wintems.exe. C’est lui qui m’a fait penser à beagle… Il ne reste plus rien de suspect là d’après le log…
Mais bon c’était surtout pour savoir si il y avait un risque que ça ait envoyé quelque chose à une personne mal intentionnée quand j’ai fait mon paiement en ligne quoi…
Edité le 14/07/2007 à 14:20

:@:@:@Déjà que spybot installait tout sauf l’exécutable, le zip d’installation de Sophos est amputé des fichiers principaux… j’ai pas de chance je crois
Ah oui j’oubliais. je ne sais pas si c’est important, mais j’ai du mal à m’en débarrasser quoique je fasse… Au démarrage du PC, j’ai systématiquement 2instances explorer.exe que je dois virer à la main… Mais ensuite, régulièrement, explorer.exe se met à utiliser plus de 170Mo même si je ne fais rien…
Edité le 14/07/2007 à 14:30

Je vais chercher plus d’informations sur Beagle.


Trouvé!! Et un fix en cadeau!! (fix = logiciel pour éradiquer spécifiquement et totalement un virus)

www.tplpc.com…


Essaie de virer [B]tous[/B] les explorer, puis avec le gestionnaire des tâches, exécuter ==> explorer (un tout propre, tout neuf) Et cherche les occurences d'explorer dans les DD. S'il y en a plus de 2, danger! (1 .scf, extension spéciale, 1 extension .exe avec icône spéciale). Edité le 14/07/2007 à 15:43

Merci Ordiclic.
Je l’avais déjà trouvé celui-là, mais lui par-contre ne trouve rien.
Par contre, il y a le soft EliBaglA qui a l’air pas mal, il a fini de décontaminer les fichiers que je n’ai pas trouvé manuellement.
J’ai aussi reglé le problème du 2ème Explorer en faisant une recherche. Il se situe dans Windows\symbols
Je n’ai rien trouvé concernant cette chose-là, mais au moins, si quelqu’un voit se message et a des problèmes de PC, il saura où trouver ce fichier.
:wink:
Ah au passage… Je ne sais pas si c’est Beagle ou le 2ème Explorer, mais en tout cas c’est l’un des deux qui m’empêchait d’installer spybot en me retirant dès l’installation le .exe…
Edité le 14/07/2007 à 17:21

Normal, c’est un virus qui veut à tout prix empêcher un AV de le fixer.


Et tant mieux, ton problème est résolu!
Beagle ou le 2è explorer, c'était sans doute du pareil au même.