Infection Braviax. Antivirus BitDefender.

Résolu/Fermé
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 - 17 août 2009 à 18:58
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 26 sept. 2009 à 00:34
Bonjour,

J'ai consulté plusieurs sujets dans le forum sur Braviax, mais les solutions semblent toutes personalisées.
Je vais donc décrire ma situation.

Mon antivirus (BitDefender) a détecté le virus Braviax.

J'ai fais une première détection qui a donnée ceci :
----------------------------------------------------------------
Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 16:05:34 17/08/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1250517934_1_02.xml

Analyse des chemins :Chemin0000: C:\

Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Oui

Options de sélection de cible :Analyse les clés du registre : Oui
Analyse des cookies : Oui
Analyser le secteur de boot : Oui
Analyse des processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun

Résumé de l'analyseNombre de signatures de virus : 3835899
Plugins archives : 45
Plug-ins messagerie : 6
Plugins d'analyse : 13
Plugins archives : 45
Plug-ins système : 5
Plug-ins décompression : 7

Résumé de l'analyse généraleEléments analysés : 60543
Eléments infectés : 7
Eléments suspects : 2
Eléments résolus : 5
Virus individuels trouvés : 4
Répertoires analysés : 3520
Secteur de boot analysés : 2
Archives analysés : 83
Erreurs I/O : 2
Temps d'analyse : 00:00:13:28
Fichiers par seconde : 73

Résumé des processus analysésAnalysé(s) : 48
Infecté(s) : 3

Résumé des clés de registre analyséesAnalysé(s) : 916
Infecté(s) : 0

Résumé des cookies analysésAnalysé(s) : 517
Infecté(s) : 0

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\WINDOWS\system32\braviax.exe (memory dump) Generic.Malware.Yd!dld!!sp!.3D8117F6 Aucune action possible
[System]=]C:\WINDOWS\system32\braviax.exe (full dump) Generic.Malware.Yd!dld!!sp!.3D8117F6 Aucune action possible
C:\WINDOWS\system32\drivers\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection
C:\WINDOWS\system32\dllcache\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection

Problèmes résolusNom de l'objet Nom de la menace Etat final
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP227\A0046152.sys Gen:Rootkit.Heur.cuW@euflJti Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP227\A0046161.sys Gen:Rootkit.Heur.cuW@euflJti Effacé
C:\Documents and Settings\mss\Local Settings\Temporary Internet Files\Content.IE5\JG5CY9BB\Install[1].exe Gen:Trojan.Heur.lq1@vnoF72pix Effacé
[System]=]C:\WINDOWS\System32\svchost.exe (memory dump) Trojan.Downloader.Cutwail.J Effacé
[System]=]C:\WINDOWS\System32\svchost.exe (memory dump) Trojan.Downloader.Cutwail.J Effacé

Objets non scannés :Nom de l'objet Raison Etat final

----------------------------------------------------------------------

Puis j'ai supprimé le fichier Braviax.exe, arrêté mon PC (qui en a profité pour mettre 10 maj windows).

A la relance du PC, j'ai relancé l'analyse par Bit Defender.
La voici :
----------------------------------------------------------------------
Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 16:37:50 17/08/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1250519870_1_02.xml

Analyse des chemins :Chemin0000: C:\

Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Oui

Options de sélection de cible :Analyse les clés du registre : Oui
Analyse des cookies : Oui
Analyser le secteur de boot : Oui
Analyse des processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun

Résumé de l'analyseNombre de signatures de virus : 3908061
Plugins archives : 45
Plug-ins messagerie : 6
Plugins d'analyse : 13
Plugins archives : 45
Plug-ins système : 5
Plug-ins décompression : 7

Résumé de l'analyse généraleEléments analysés : 62987
Eléments infectés : 5
Eléments suspects : 2
Eléments résolus : 3
Virus individuels trouvés : 3
Répertoires analysés : 3618
Secteur de boot analysés : 2
Archives analysés : 85
Erreurs I/O : 2
Temps d'analyse : 00:00:17:04
Fichiers par seconde : 60

Résumé des processus analysésAnalysé(s) : 45
Infecté(s) : 1

Résumé des clés de registre analyséesAnalysé(s) : 914
Infecté(s) : 0

Résumé des cookies analysésAnalysé(s) : 517
Infecté(s) : 0

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\WINDOWS\system32\svchost.exe (full dump) DeepScan:Generic.PWStealer.0B993D89 Echec de la désinfection
[System]=]C:\WINDOWS\system32\svchost.exe (memory dump) Generic.PWStealer.0E96BF1A Echec de la désinfection
C:\WINDOWS\system32\drivers\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection
C:\WINDOWS\system32\dllcache\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection

Problèmes résolusNom de l'objet Nom de la menace Etat final
C:\WINDOWS\Temp\wpv861249896312.exe Trojan.Downloader.Kobcka.H Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP228\A0046405.exe Trojan.Downloader.Kobcka.H Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP228\A0046406.exe Trojan.Downloader.Kobcka.H Effacé

Objets non scannés :Nom de l'objet Raison Etat final

--------------------------------------------------------------------

Je suis donc maintenant avec les fichiers "ntfs.sys" (2 fois) et "svchost.exe" infectés.
BitDefender n'arrive pas à les nettoyer et la suppression de ces fichiers ne va pas aider le systeme.

Puis je simplement écraser ces fichiers avec des fichiers d'un autre PC non infecté ?
Quels sont les risques en cas de versions différentes ?

J'ai téléchargé combofix, mais je ne l'ai pas encore passé, l'analyse de son log étant une affaire de professionel.
Dois je le lancer ? (j'ai bien lu et imprimé les indications de précaution et d'usage)

Merci de votre aide.
Cordialement
André
A voir également:

50 réponses

Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
24 août 2009 à 21:50
Merci à Clem et Al pour le lien vers la documentation.

Kaspersky n'a trouvé aucun virus.

J'attends lasuite de tes conseils de bonne hygiène informatique.

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, August 24, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Sunday, August 23, 2009 23:35:58
Records in database: 2681921
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\

Scan statistics:
Objects scanned: 51175
Threats found: 0
Infected objects found: 0
Suspicious objects found: 0
Scan duration: 01:26:50

No threats found. Scanned area is clean.

Selected area has been scanned.
0
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
24 août 2009 à 21:52
Me donne tu ton aval pour passer l'incident en résolu, Le sioux (et grand Shaman informatique) ?
0
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
24 août 2009 à 23:23
Bonsoir Andre V

Me donne tu ton aval pour passer l'incident en résolu, Le sioux (et grand Shaman informatique) ?

--> Oui, les rapports sont cleans de mon coté, c'est OK, si c'est de même pour toi que le fonctionnement de ton PC est redevenu normal, on va pouvoir conclure. ;)

Je te rajoute des conseils de sécurité à appliquer des que possible (je poste du travail, à ma prochaine pause , je vois ce que je peux faire ;) )

@ suivre donc ;)
0
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
25 août 2009 à 19:57
Merci Le Sioux pour ton aide précieux et toutes ces indications.

Encore une question...
wuauserv, que tu me conseilles de supprimer, sert à la mise à jour de windows, si je ne dit pas de bétise.
Si je le supprime, il faudra que j'aille manuellement me mettre à jour chez "MicroMou".
Comme je ne suis pas expert, comment savoir quelle mise à jour autoriser et quelle mise à jour refuser ?

Cordialement
André-V
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
26 août 2009 à 01:10
Bonsoir Andre V

wuauserv, que tu me conseilles de supprimer, sert à la mise à jour de windows, si je ne dit pas de bétise.
Si je le supprime, il faudra que j'aille manuellement me mettre à jour chez "MicroMou".


--> Non, pas de soucis, c'est un service malsain, il n'a pas de rapport avec Windows update.

Comme je ne suis pas expert, comment savoir quelle mise à jour autoriser et quelle mise à jour refuser ?

--> Perso, j'accepte tout sauf l'outils de suppression de virus de Microsoft.

Voili, voila
0
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
12 sept. 2009 à 12:37
Bonjour Sioux

Je reviens après quelque temps d'utilisation te consulter, car il reste quelques problèmes en suspens.

Ce que je constate :
- Suite à la suppression de wuauserv, je n'arrive plus à mettre à jour mon PC avec maj windows
- Malwarebytes trouve régulièrement des clefs de registres mauvaises :
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

- Malwarebytes indique qu'il a réussit à les mettre en quarantaine ou à les supprimer, mais en fait ces clefs de registre sont toujours présentes et fausses (j'ai regardé avec Regedit)

Ce que j'ai essayé de faire :
- Avec Regedit, j'ai essayé de modifier les clefs de registre pour les corriger (%fystem32% --> %system32%) : un message m'indique "Impossible de modifier ImagePath : erreur lors de l'écriture du nouveau contenu de la valeur"
- J'ai regardé les autorisations des clefs suivantes pour me rendre compte que je n'avais que des droits de lecture :
* HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS
* HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv
- J'ai essayé de changer les droits de ces deux clefs pour en obtenir le controle total : sans succes, Rededit me laisse faire, sans rien dire, et quand je regarde de nouveau les autorisations de ces clefs, elles n'ont pas changées.
- Le compte que j'utilise est administrateur, je suis en contrôle total sur la clef supérieur (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services)
- Il m'a été impossible d'ajouter un compte au clefs BITS et wuauserv, alors que j'ai pu le faire à la clef Services

As tu des idées, stp ?
0
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
22 sept. 2009 à 08:19
Hello Andre

Je n'ai plus de nouvelles de toi depuis mon dernier message https://forums.commentcamarche.net/forum/affich-13926016-infection-braviax-antivirus-bitdefender?page=3#48

Je reviens sur ton sujet après quelques recherches :

1) Essaye de lancer Dial-a-Fix mais ce coup ci, va dans les outils, clique sur l'icône de marteau, et fais "Reinstall automatic updates service" , fais redémarrer ton PC et vois ce que ça donne.

2) Si cela n'a pas fonctionné, tente d'utiliser cet outil : Wus_Fix de Marcvn
--> http://users.telenet.be/marcvn/tools/WUS_Fix.exe
Fais redémarre le PC et dis moi ;)

Si ce n'est toujours pas bon, menu Démarrer / Exécuter copie colle regsvr32 /u wuaueng.dll puis clique sur OK

@ plus ...
0
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
25 sept. 2009 à 21:49
Bonjour Le Sioux

Désolé de mon absence de reponse, j'étais loin de mon PC.

Je viens de faire tout ce que tu m'a indiqué, mais les clés de registre sont toujours inchangées.

La dernière commande "regsvr32 /u wuaueng.dll" génére une erreur : "DllUnregisterServer dans wuaueng.dll a échoué. Le code renvoyé était 0c80070005."

J'ai fais aussi un essai sur les conseils d'un autre ami :
- démarrage en mode sans échec du PC
A ce moment là j'ai pu modifier les clés de registre et changer les droits de la clé juste au dessus.
Hélas, après un redémarrage en mode normal, les clés étaient de nouveau bloquées et fausses.
A croire qu'un programme les modifie et les bloque au lancement du PC.
0
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
25 sept. 2009 à 21:53
Bonsoir Andre V

Je m'inquiétais de l'absence de feedback ...

As tu appliqué la procédure expliquée ici :

http://assiste.com.free.fr/p/comment/comment_reparer_windows_sfc_scannow.html

(comme demandé ici https://forums.commentcamarche.net/forum/affich-13926016-infection-braviax-antivirus-bitdefender?page=3#48 )

@ suivre.
0
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
25 sept. 2009 à 22:57
Non.

Je n'ai plus le CD d'installation.
Il faut que j'en retrouve un.
0
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 496
26 sept. 2009 à 00:34
Re bonsoir Andre V

Préviens quand tu l'auras sous la main.

@ plus.
0