TR/BegSMS.A - Trojan

Question

Bonjour,
TR/BegSMS.A - Trojan a été détecté sur mon ordi après avoir fait une analyse avec Antivir.
Est-ce grâve? et que dois-je faire?

J'en profite pour joindre le rapport du scan

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 30 décembre 2010 14:03

La recherche porte sur 2309809 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SAMI

Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 17:22:13
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:22:13
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:57:34
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 06:57:34
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 06:57:34
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 06:57:34
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 06:57:34
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 06:57:34
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 06:57:35
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 06:57:35
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 06:57:35
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 06:57:35
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 06:57:35
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 06:57:35
VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 17:53:48
VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 20:00:56
VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 17:17:19
VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 21:15:16
VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 18:25:36
VBASE018.VDF : 7.11.0.186 2048 Bytes 27/12/2010 18:25:37
VBASE019.VDF : 7.11.0.187 2048 Bytes 27/12/2010 18:25:37
VBASE020.VDF : 7.11.0.188 2048 Bytes 27/12/2010 18:25:37
VBASE021.VDF : 7.11.0.189 2048 Bytes 27/12/2010 18:25:37
VBASE022.VDF : 7.11.0.190 2048 Bytes 27/12/2010 18:25:37
VBASE023.VDF : 7.11.0.191 2048 Bytes 27/12/2010 18:25:37
VBASE024.VDF : 7.11.0.192 2048 Bytes 27/12/2010 18:25:38
VBASE025.VDF : 7.11.0.193 2048 Bytes 27/12/2010 18:25:38
VBASE026.VDF : 7.11.0.194 2048 Bytes 27/12/2010 18:25:38
VBASE027.VDF : 7.11.0.195 2048 Bytes 27/12/2010 18:25:38
VBASE028.VDF : 7.11.0.196 2048 Bytes 27/12/2010 18:25:38
VBASE029.VDF : 7.11.0.197 2048 Bytes 27/12/2010 18:25:39
VBASE030.VDF : 7.11.0.198 2048 Bytes 27/12/2010 18:25:39
VBASE031.VDF : 7.11.0.222 104448 Bytes 30/12/2010 11:00:34
Version du moteur : 8.2.4.134
AEVDF.DLL : 8.1.2.1 106868 Bytes 30/07/2010 17:45:49
AESCRIPT.DLL : 8.1.3.51 1286524 Bytes 30/12/2010 11:01:40
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 17:28:36
AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 17:29:17
AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 19:53:04
AEPACK.DLL : 8.2.4.7 512375 Bytes 30/12/2010 11:01:26
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22/11/2010 17:28:32
AEHEUR.DLL : 8.1.2.60 3158392 Bytes 30/12/2010 11:01:20
AEHELP.DLL : 8.1.16.0 246136 Bytes 02/12/2010 17:18:59
AEGEN.DLL : 8.1.5.0 397685 Bytes 02/12/2010 17:18:45
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 17:26:19
AECORE.DLL : 8.1.19.0 196984 Bytes 02/12/2010 17:18:26
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 07:42:19
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 07:30:27
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:17:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 18/09/2009 09:52:00
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 17:22:12

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : jeudi 30 décembre 2010 14:03

La recherche d'objets cachés commence.
'107279' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSCamS32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'imapi.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'29' processus ont été contrôlés avec '29' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '47' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Sylvie Roussin\Mes documents\Sylvie\install_mbam-setup.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
Recherche débutant dans 'D:\' <HP_RECOVERY>

Début de la désinfection :
C:\Documents and Settings\Sylvie Roussin\Mes documents\Sylvie\install_mbam-setup.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8fa41f.qua' !


Fin de la recherche : jeudi 30 décembre 2010 16:22
Temps nécessaire: 1:40:03 Heure(s)

La recherche a été effectuée intégralement

14590 Les répertoires ont été contrôlés
403835 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
403832 Fichiers non infectés
9525 Les archives ont été contrôlées
2 Avertissements
3 Consignes
107279 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Merci pour votre réponse
Cordialement, Brylama 

Ce message a été modifié par Brylama - 30 décembre 2010 - 22:09

Tigzy · Answer

salut

C:\Documents and Settings\Sylvie Roussin\Mes documents\Sylvie\install_mbam-setup.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A 

Tu l'as téléchargé ou ta version de malwarebytes?

Tigzy · Answer

Merci de ne pas multiplier les fils sur différents forums!

https://forum.zebulon.fr/topic/181970-trbegsmsa-trojan/

brylama · Answer

Bonjour, 

cela fait plusieur mois que je l'ai téléchargé et je ne me souviens pas où, hélas! Y a-t-il un moyen de le savoir?

Par ailleur, n'ayant pas de réponse sur un autre forum, je me suis permise d'essayer ailleurs...je ne pensais pas que cela pouvait poser un problème d'éthique! Sorry, il va falloir m'expliquer please.
Pour précision, je regardais un programme TV sur mon ordi et soudain il était écrit "VEUILLEZ PATIENTER" sur mon écran avec un fond noir et de la musique; cela n'avait rien à voir avec ce que je regardais! C'est aussi pour cela que j'ai décidé de rechercher une réponse ailleurs.

Autre chose, qu'est-ce que c'est "MP"?

Pouvez vous m'aider quand même? Mon ordi est lent, lent, lent...

Merci par avance

Cordialement, Brylama

Tigzy · Answer

ok, on va regarder tout ça.

MP = message privé.


* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape  1   et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

-----

Télécharger  sur le bureau  Malwarebyte's Anti-Malware

= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet 
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen 
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse

brylama · Answer

j'ai essayé de trouver dans "propriété" de MBM si je trouvais la source de téléchargement, mais je n'ai pas trouvé. Par contre il y a les dates de téléchargement: Créé le 29/07/09, modifié le 18/05/10 et dernier accès le 5/01/11 à 9H28!!! Je n'y étais pas allé aujourd'hui!! Mais ça correspond à l'heure de l'incident décrit tout à l'heure!
Ca apporte quelque chose de préciser tout ça?

Bon, je vois que vous m'avez laissé du travail; je m'y met tout de suite!

Par ailleurs, il ne me semble pas avoir créé de MP! Je comprend pas de quoi il s'agit!

En tous cas , merci d'avance

brylama · Answer

RogueKiller V3.7.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 05/01/2011 10:30:55

Bad processes:

Found:

Fichier HOSTS:
127.0.0.1 localhost

Finished

Tigzy · Answer

Non, tu n'as pas créé de MP, cela fait parti de ma signature ;)

Pour ce qui est de malwarebytes, je te conseille de désinstaller la version que tu avais et de le retélécharger par le lien que j'ai donné

Tigzy · Answer

Télécharger sur le bureau 
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport

Contributeur SECURITE 
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

brylama · Answer

Voilà donc le rapport post-nettoyage:

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 03/01/11 à 14:20
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:07:36 le 05/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Sylvie Roussin@SAMI ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\Sylvie Roussin\Application Data\Mozilla\FireFox\Profiles\ug1bo9ca.default\prefs.js.ask.bak
Dossier supprimé: C:\Documents and Settings\Sylvie Roussin\Local Settings\Application Data\Conduit

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Toolbar.CT1460988
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\AskSearchAsst
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ask Search Assistant

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Documents and Settings\Sylvie Roussin\Application Data\Mozilla\FireFox\Profiles\ug1bo9ca.default\Prefs.js --
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Live Search
browser.startup.homepage, hxxp://www.plusnetwork.com
browser.startup.homepage_override.mstone, rv:1.8.1.7
keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA2&q=
browser.startup.homepage, hxxp://www.plusnetwork.com
browser.startup.homepage, hxxp://www.durable.com/recherche
browser.search.defaultenginename, Durable
browser.search.selectedEngine, Durable
browser.search.defaulturl, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie...
keyword.URL, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q=

-- C:\Documents and Settings\Denis Malabry\Application Data\Mozilla\FireFox\Profiles\ein9yb6w.default\Prefs.js --
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Google
browser.startup.homepage_override.mstone, rv:1.8.1.7

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 05/01/2011 (726 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 05/01/2011 (4209 Octet(s)) 

Fin à: 18:08:32, 05/01/2011 
 
============== E.O.F ============== 

Qu'est-ce que tout  cela signifie?

Tigzy · Answer

Je crois pas que tout ça soit lié.
on peut juste approfondir le scan

Télécharger et enregistrer  sur le bureau 
 Combofix

=Desactiver l'antivirus
=Double-clic sur  Combofix 
= Presser  1 si  demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans  C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
============
supprimer ensuite
 combofix
QooBox qui est à C:\

Malekal_morte- · Answer

Salut,  

C:\Documents and Settings\Sylvie Roussin\Mes documents\Sylvie\install_mbam-setup.exe  
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A   

Ce sont ces arnaques : https://forum.malekal.com/viewtopic.php?t=2937&start=  

T'as pris l'install de mbam sur un site pourri (genre pub commerciale sur Google à droite - faut jamais aller là dessus), cette install te dit d'envoyer un SMS pour pouvoir installer Malwarebyte au complet alors que le programme est gratuit et si tu télécharges depuis le site officiel, tu n'as pas à envoyer un SMS.  
Faut télécharger que sur les programmes que depuis les siites officiels ou les sites dont tu es sûr qu'ils sont sains, style ici.  

Utilise WOT, ça peut aider : https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise  


Remember when you were young, you shone like the sun.  
Shine on you crazy diamond.  
Now there's a look in your eyes, like black holes in the sky.  
Shine on you crazy diamond.

TR/BegSMS.A - Trojan

11 réponses

Votre réponse

Discussions similaires

Newsletters