Virus Brodacrt.dll

Le
Dudule
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que Win.ini
et System.ini et la Dll est toujours là dans "C:WindowsSystem32" (j'ai
fait créer un journal de démarrage dans cette configuration et je vais
l'analyser).
Je ne sais plus que faire
Avez-vous une idée ??
Merci pour vos réponses.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JF
Le #19092531
*Bonjour Dudule* !

Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque chargement
de "Windows XP SP3" (avec les dernières mises à jour), de plus elle n'a
jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que Win.ini
et System.ini... et la Dll est toujours là dans "C:WindowsSystem32" (j'ai
fait créer un journal de démarrage dans cette configuration et je vais
l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.




Il est possible de scanner le disque avec un autre anti-virus sans
installation. Essayer un scan en mode sans échec. Je serais curieux de
savoir ce qu'il se passe si on crée un fichier nommé Brodacrt.dll
protégé en Lecture Seule. Ou un dossier du même nom. Voir si cela
génère une erreur dans l'observateur d'événements.

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
Azo4
Le #19092921
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Dudule" news:49df41a0$0$15022$
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.



Dudule
Le #19093391
Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec
virus, car Windows ne doit pas vouloir écraser mon fichier.
Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait plus
jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et explorer
s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo de nouveau
cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé bit
à bit à l'explorer d'une machine saine, ils sont identiques... sais-tu quels
sont les autres process lancés par explorer à son premier lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement

"JF"
*Bonjour Dudule* !

Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.




Il est possible de scanner le disque avec un autre anti-virus sans
installation. Essayer un scan en mode sans échec. Je serais curieux de
savoir ce qu'il se passe si on crée un fichier nommé Brodacrt.dll protégé
en Lecture Seule. Ou un dossier du même nom. Voir si cela génère une
erreur dans l'observateur d'événements.

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm




Dudule
Le #19093481
Merci,
Malheureusement, je n'y ai trouvé aucun conseil positif pour mon cas...
J'ai déjà utilisé plusieurs anti-malwares et anti-virus online.....
Merci tout de même
@+

"Azo4"
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Dudule" news:49df41a0$0$15022$
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll, j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.






JF
Le #19094001
*Salut Dudule* !

Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec virus,
car Windows ne doit pas vouloir écraser mon fichier.



Content que ça ait fonctionné. C'est un procédé qu'on utilise pour
protéger les clés USB de la création d'un autorun.inf sauvage. On crée
un dossier du même nom, c'est paraît-il plus efficace
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm



Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait plus
jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et explorer
s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo de nouveau
cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé bit à
bit à l'explorer d'une machine saine, ils sont identiques... sais-tu quels
sont les autres process lancés par explorer à son premier lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement



C'est un début. Maintenant il faudrait essayer de tracer ce qui se
passe. L'observateur d'événements ne donnant pas de piste, je suppose
que tu as regardé, il reste l'artillerie lourde :

AUTORUNS, PROCESS EXPLORER et PROCESS MONITOR
http://technet.microsoft.com/fr-fr/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm
Julien
Le #19094651
Je crois qu'il faut chercher dans le monde des "rootkits" !
J.

"Dudule" 49df6e1a$0$5499$
Merci,
Malheureusement, je n'y ai trouvé aucun conseil positif pour mon cas...
J'ai déjà utilisé plusieurs anti-malwares et anti-virus online.....
Merci tout de même
@+

"Azo4"
jette un oeil là :
http://www.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Dudule" news:49df41a0$0$15022$
Bonjour à tous,
Depuis quelques jours, mon antivirus (Avira premium), me trouve une dll
(Brodacrt.dll) agrémentée d'un virus: "TR/Crypt.ZPACK.Gen" dans
"C:WindowsSystem32".
Cette dll bien que supprimée par l'anti-virus se "recrée" à chaque
chargement de "Windows XP SP3" (avec les dernières mises à jour), de
plus
elle n'a jamais la même taille.
Bien entendu le scan du PC par l'antivirus et l'anti-spyware est
négatif.
Pour tenter de déterminer quel et le processus qui génère cette dll,
j'ai
utilisé "Msconfig", en décochant tous les "Services" (y compris ceux de
Windows) ainsi que les programmes de l'onglet "Démarrage", ainsi que
Win.ini et System.ini... et la Dll est toujours là dans
"C:WindowsSystem32" (j'ai fait créer un journal de démarrage dans
cette
configuration et je vais l'analyser...).
Je ne sais plus que faire...
Avez-vous une idée ??
Merci pour vos réponses.











Dudule
Le #19104751
Salut JF,
Merci de ton aide, je viens de télécharger "Process Monitor", j'ai rechargé
Windows XP SP3, sans "service Windows" ni aucun fichier dans "Démarrage".
J'avais vu que je pouvais régénérer cette DLL en arrêtant Explorer et en le
redémarrant avec "TaskMgr".
J'ai donc arrêté Explorer, démarré "Process Monitor", puis Explorer
(toujours avec le TaskMgr), et j'ai sauvé la trace de ce qui se passe.
Grace à cette trace, j'ai pu trouver qu'une autre DLL, "CANEVOLE.DLL", était
activée par explorer, elle même activant la création de "BRODACRT.DLL".
L'activation de CANEVOLE.DLL est faite par une clé du registre:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Name: Cabomxml
Type: REG_SZ
Length: 78
Data: {9FCED1FF-C155-4B43-B75B-611E7DC8FE61}

qui active la clé:
HKCRCLSID{9FCED1FF-C155-4B43-B75B-611E7DC8FE61}InprocServer32(Default)
Type: REG_SZ
Length: 66
Data: C:WINDOWSsystem32canevole.dll

Et c'est CANEVOLE.DLL qui crée le "virus ??" BROADACRT.DLL détecté par
AVIRA.

Malheureusement je n'arrive pas à remonter à la source:
Quel est le process (exe ?) qui a créé ces clés de registre et cette
CANEVOLE.DLL

Je mets un lien vers la trace de "PROCESS MONITOR", si toi ou quelqu'un
d'autre peut m'aider (il faut "process monitor" pour l'analyser).
[URL=http://depositfiles.com/files/8wplxhnts]http://depositfiles.com/files/8wplxhnts[/URL]

En attendant en renommant CANEVOLE.DLL, je n'ai plus de création de
BRODACRT.DLL et plus de détection de virus..... mais quoi d'autre est
sous-jacent ???
Merci







"JF"
*Salut Dudule* !

Salut Jean-François,
Super ton idée je n'y avait pas pensé...
J'ai crée un fichier brodacrt.dll, mis en HSRA et plus de fichier avec
virus, car Windows ne doit pas vouloir écraser mon fichier.



Content que ça ait fonctionné. C'est un procédé qu'on utilise pour
protéger les clés USB de la création d'un autorun.inf sauvage. On crée un
dossier du même nom, c'est paraît-il plus efficace
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm



Il n'empêche que j'ai toujours potentiellement le problème.
J'ai constaté aussi une chose:
Au chargement la dll est supprimée par mon antivirus, et ne réapparait
plus jusqu'au prochain redémarrage; mais une fois j'ai eu un problème et
explorer s'est fermé; je l'ai redémarré avec le "taskmanager" et... bingo
de nouveau cette $@#& dll a réapparu....
J'espérais avoir trouvé (explorer.exe parasité ?), eh bien non, comparé
bit à bit à l'explorer d'une machine saine, ils sont identiques...
sais-tu quels sont les autres process lancés par explorer à son premier
lancement ??
En attendant j'ai un palliatif....ton idée.....
Cordialement



C'est un début. Maintenant il faudrait essayer de tracer ce qui se passe.
L'observateur d'événements ne donnant pas de piste, je suppose que tu as
regardé, il reste l'artillerie lourde :

AUTORUNS, PROCESS EXPLORER et PROCESS MONITOR
http://technet.microsoft.com/fr-fr/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Google-N-Est-Plus-Mon-Ami.htm




JF
Le #19105761
*Bonjour Dudule* !

Salut JF,
Merci de ton aide, je viens de télécharger "Process Monitor", j'ai rechargé
Windows XP SP3, sans "service Windows" ni aucun fichier dans "Démarrage".
J'avais vu que je pouvais régénérer cette DLL en arrêtant Explorer et en le
redémarrant avec "TaskMgr".
J'ai donc arrêté Explorer, démarré "Process Monitor", puis Explorer
(toujours avec le TaskMgr), et j'ai sauvé la trace de ce qui se passe.
Grace à cette trace, j'ai pu trouver qu'une autre DLL, "CANEVOLE.DLL", était
activée par explorer, elle même activant la création de "BRODACRT.DLL".
L'activation de CANEVOLE.DLL est faite par une clé du registre:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Name: Cabomxml
Type: REG_SZ
Length: 78
Data: {9FCED1FF-C155-4B43-B75B-611E7DC8FE61}

qui active la clé:
HKCRCLSID{9FCED1FF-C155-4B43-B75B-611E7DC8FE61}InprocServer32(Default)
Type: REG_SZ
Length: 66
Data: C:WINDOWSsystem32canevole.dll

Et c'est CANEVOLE.DLL qui crée le "virus ??" BROADACRT.DLL détecté par
AVIRA.



Bien joué !


Malheureusement je n'arrive pas à remonter à la source:
Quel est le process (exe ?) qui a créé ces clés de registre et cette
CANEVOLE.DLL



Mystère. Inconnu de google.


Je mets un lien vers la trace de "PROCESS MONITOR", si toi ou quelqu'un
d'autre peut m'aider (il faut "process monitor" pour l'analyser).
[URL=http://depositfiles.com/files/8wplxhnts]http://depositfiles.com/files/8wplxhnts[/URL]



Pas la peine de laisser les balises html :
http://depositfiles.com/files/8wplxhnts



En attendant en renommant CANEVOLE.DLL, je n'ai plus de création de
BRODACRT.DLL et plus de détection de virus.....



Re-bien-joué.

mais quoi d'autre est sous-jacent ???



Pas de CANEVOLE.DLL dans le registre ?

Juste avant les appels à brodacrt.dll on voit
D:Hide The IPUninstal.exe
Tu sais ce que c'est ?

Et ce camagras.dll semble lié :
C:Windowssystem32camagras.dll
HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution
Optionscamagras.dll

Analyser ces fichiers avec http://www.virustotal.com/fr/
Voir si en lisant leurs contenus avec notepad il n'y a pas quelques
informations, ainsi que dans leurs propriétés. Et bien sûr fouiller le
registre comme tu as déjà fait.

Noter que si le problème n'a lieu que depuis quelques jours, il est
possible que revenir à un point de restauration solde le problème. Mais
c'est toujours intéressant de mener une enquête, surtout que tu as
l'air de bien te débrouiller. Disons que ça peut être fait à titre de
test.

Autoruns et son onglet drivers peut donner une piste.

Je ne peux pas en dire plus.

--
Salutations, Jean-François
http://fspsa.free.fr/Index-de-la-FAQ-WINXP-de-Panthere-Noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://fspsa.free.fr/Virus-Malwares-Comment-on-se-fait-infecter.htm
Publicité
Poster une réponse
Anonyme