bravesentry responsable ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

bravesentry responsable ?

Messagede stephanie » 29 Juin 2006, 22:40

Bonjour,

Ce problème concerne un PC fonctionnant sous XP, service pack 1, protégé par KASPERSKY.

Un programme "bravesentry" s'est installé automatiquement sur l'ordinateur. Impossible de le supprimer même en allant dans ajout suppression de programme.

Depuis, je suppose que c'est lié, impossible d'accéder à internet (oulook continue pourtant de fonctionner), de faire un log hijackthis (même en mode sans échec), de lancer cwschredder, d'obtenir l'aide et le support de Windows, de changer le papier peint du bureau et régulièrement, le fameux écran bleu apparait.

Je suis totalement perplexe et vous serais très reconnaissante si vous pouviez vous pencher sur mon problème.
Mille mercis par avance.
Amicalement
Windows XP, pack 1, adsl Free, Protections : Kaspersky Suite (anti-virus et anti-hackers), Spy Sweeper.
stephanie
 
Messages: 26
Inscription: 15 Avr 2005, 11:16

Messagede césar » 30 Juin 2006, 18:04

Bonjour,

BraveSentry est une variante de Smitfraud auquel une fiche à été consacré : ici là
La fiche est très longue car très détaillée. Il vaut mieux ne rien laisser passer.
Bon courage, tenez-nous au courant.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede nickW » 30 Juin 2006, 20:16

Bonsoir,

La procédure de Pierre est quelque peu obsolète, il faudrait que tu réalises ce qui suit:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 2).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: SmitfraudFix, option 1: Recherche
Télécharger SmitfraudFix (de S!ri, balltrap34 et moe31) depuis http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Décompresser la totalité de l'archive.
Double cliquer sur smitfraudfix.cmd (dans le dossier SmitfraudFix).
Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

Le rapport se trouve à la racine du disque système C:\rapport.txt.
Très important: Renommer ce fichier en rapport1.txt


Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 3: SmitfraudFix, option 2: Nettoyage
Double cliquer sur smitfraudfix.cmd (dans le dossier SmitfraudFix).
Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de registre permettant le démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.
Note: process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel

Le rapport se trouve à la racine du disque système C:\rapport.txt.


Étape 4: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le contenu du fichier C:\rapport1.txt.
*- le contenu du fichier C:\rapport.txt.

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede stephanie » 30 Juin 2006, 20:53

Merci beaucoup pour cette aide précieuse,
Je m'attelle aux procédures recommandées et vous tiens au courant.
ps : comme je n'ai plus internet avec l'ordinateur touché, je vais télécharger smitfraud d'un autre ordinateur puis par une clé usb le transférer sur le premier. Si ce n'est pas comme ça qu'il faut faire pourriez vous me le signaler ?
Encore mille mercis,
Amicalement
Windows XP, pack 1, adsl Free, Protections : Kaspersky Suite (anti-virus et anti-hackers), Spy Sweeper.
stephanie
 
Messages: 26
Inscription: 15 Avr 2005, 11:16

Messagede césar » 30 Juin 2006, 22:11

stephanie a écrit:ps : comme je n'ai plus internet avec l'ordinateur touché, je vais télécharger smitfraud d'un autre ordinateur puis par une clé usb le transférer sur le premier. Si ce n'est pas comme ça qu'il faut faire pourriez vous me le signaler ?


Fais comme ça, c'est très bien. :wink:
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede stephanie » 03 Juil 2006, 09:41

Bonjour,

Voilà, j'ai pu exécuter smitfraud sur le PC infecté : résultat BraveSentry a disparu et j'ai pu remettre un papier peint.

MAIS, gros problème, soit il y a autre chose que bravesentry, soit j'ai commis un impair : lorsque je rallume l'ordinateur j'ai un message d'erreur :
"erreur de chargement de C:\PROGRA~\MYWEB~1\bar\1.bin\MWSBAR.DLL, le module spécifié est introuvable".
Je ne peux toujours pas lancer hitjackthis, quand je clique dessus j'obtiens ce délicieux son de Windows qui me fait comprendre que non, c'est pas possible. Impossible aussi de lancer CWSHREDDER. Ni outlook ni internet explorer ne fonctionnent. Et pour couronner le tout, au bout de quelques minutes, l'écran bleu apparait : "un processus ou une thread crucial au fonctionnement du système s'est terminé ou a été interrompue de façon inattendue, bla bla bla" ou variante : "Arrêt du sytème, cet arrêt a été initié par Autorite NT\SYST. Le processus système C:\windows\syst 32\ISASS.ex, etc" et l'ordinateur s'éteint et se rallume. Apparaissent aussi ces messages d'erreur : CSRSS.ex, ou Pixelchix.exe.
Je suis perdue. Les utilisateurs de cet ordinateur me disent que la seule modification récente est une mise à jour de MSN.
Je joins les rapports de smitfraud et vous remercie encore et encore de bien vouloir vous pencher sur mon problème.

Amicalement.

RAPPORT 1
SmitFraudFix v2.65

Rapport fait à 18:58:39,10, 02/07/2006
Executé à partir de C:\Documents and Settings\leigniel\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\dlmax.dll PRESENT !
C:\WINDOWS\xpupdate.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT !
C:\WINDOWS\system32\TheMatrixHasYou.exe PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\leigniel\Application Data

C:\Documents and Settings\leigniel\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\leigniel\MENUDM~1\PROGRA~1\BraveSentry PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\leigniel\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\leigniel\Bureau\BraveSentry.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\BraveSentry\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"=""
"SubscribedURL"=""
"FriendlyName"="Security info v2"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

RAPPORT
SmitFraudFix v2.65

Rapport fait à 19:20:08,84, 02/07/2006
Executé à partir de C:\Documents and Settings\leigniel\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\leigniel\Application Data\Install.dat supprimé
C:\DOCUME~1\leigniel\Bureau\BraveSentry.lnk supprimé
C:\DOCUME~1\leigniel\MENUDM~1\PROGRA~1\BraveSentry supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ort
Windows XP, pack 1, adsl Free, Protections : Kaspersky Suite (anti-virus et anti-hackers), Spy Sweeper.
stephanie
 
Messages: 26
Inscription: 15 Avr 2005, 11:16

Messagede nickW » 03 Juil 2006, 14:15

Bonjour,

Difficile de faire une analyse de log ... sans log! :wink:

A essayer:

Étape 1: miniremoval_coolwebsearch_smartkiller
Télécharger et exécuter miniremoval_coolwebsearch_smartkiller
http://www.safer-networking.org/files/delcwssk.zip
http://assiste.files.free.fr/p/miniremo ... lcwssk.zip
Le .zip s'appelle delcwssk.zip et l'utilitaire à exécuter, une fois décompressé, s'appelle "miniremoval_coolwebsearch_smartkiller.exe" Exécution directe - il n'y a pas de phase d'installation. Si "miniremoval_coolwebsearch_smartkiller.exe" vous dit "CoolWWWSearch.SmartKiller (v1/v2) has not been found on your system" c'est que tout va bien, sinon, il le détruit



Étape 2: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) My Search Bar
Rechercher et désinstaller (si trouvé) MyWay Speed Bar
Rechercher et désinstaller (si trouvé) My Web Search Bar
Rechercher et désinstaller (si trouvé) Fun Web Products Easy Installer


Étape 3: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:
C:\Program Files\MyWebSearch (à renommer en MyWebSearch.non)


Indiquer les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bay » 03 Juil 2006, 14:37

Bonjour, à essayer , mettre CWS et HIJACKTHIS sur la clé USB et les lancer à partir de la clé USB . :?:
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede stephanie » 04 Juil 2006, 21:25

bon,
j'ai fait ce qu'on m'a dit : lancer smitraud, rien, lancer hijackthis depuis une clé USB, rien, lancer CWSCHREDDER depuis une clé, rien.
Pour faire court, je pense que ce n'est pas un virus mais un démon qui s'est emparé de mon ordinateur : je vais donc le porter au garage.
Merci mille fois pour l'aide que vous m'avez apportée
Amicalement,
Stef
Windows XP, pack 1, adsl Free, Protections : Kaspersky Suite (anti-virus et anti-hackers), Spy Sweeper.
stephanie
 
Messages: 26
Inscription: 15 Avr 2005, 11:16


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 18 invités