Infecté par brontok
Résolu/Fermé
A voir également:
- Infecté par brontok
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de simon a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Jeux vidéo
- Mustapha - Forum Windows
- Anti virus - Forum Antivirus
21 réponses
Si ça peut aider quelqu'un...:
Comment se débarrasser pas à pas du virus Brontok-I ?
N’ayant pas trouvé d’outil de désinfection de virus pour cette version de Brontok, voici ce que j’ai fait pour complètement m’en débarrasser (enfin, c’est ce que je crois mais je ne suis pas une pro ;)
1) Mise en quarantaine de tous les fichiers infectés grâce à un anti-virus.
J’ai utilisé Avast4 édition familiale qui est un anti-virus gratuitement téléchargeable depuis https://www.avast.com/fr-fr/free-antivirus-download .
Il faut d’abord réaliser un scan (mode minutieux) avant le démarrage de la session windows pour désactiver le virus qui s’autocopie automatiquement dans tous les dossiers partagés dans un dossier.exe du même nom. Sinon, vous pouvez vous amusez à retrouver en quarantaine plusieurs fois le même fichier… Réaliser un scan (mode minutieux) après si vous n’avez pas trouvé les fichiers suivants. N’oubliez pas de faire « afficher les fichiers et les dossiers cachés » pour trouver les fichiers manuellement (dans Outils->Options des dossiers->affichage d’Explorer si Brontok n’a pas désactivé cette option sur votre ordi).
Voici les fichiers qui ont été infectés sur mon ordinateur dans l’ordre trouvé par Avast4 :
(NB : « all user » est vraiment « all user » alors que « user » est le nom de votre machine)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8chiffres%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 chiffres%-Nendangbro.com
C:\Documents and settings\%chemin d’accès à un dossier partagé%\nom de ce dossier.exe (ce dernier chemin peut correspondre à de nombreux fichiers si vous avez le sens du partage… ;)
NB pour éviter de rester planter devant son ordi pour mettre chaque fichier en quarantaine dans avast : avant le démarrage de windows appuyer sur 6 pour mettre tout en quarantaine ou lorsque la session est ouverte, cocher la case ne plus afficher ce message et mettre en quarantaine.
J’ai pas trouvé le fichier C:\Documents and settings\user\Local settings\application data\svchost.exe pourtant indiqué en plus par Sophos sur la page web suivante : http://www.sophos.com/security/analyses/w32brontoki.html
2) Remettre comme avant les clés de registres changées par le virus
Deux manières d’accéder à l’éditeur de registres (gere la configuration du système) :
-démarrage->exécuter : ouvrir regedit
-C:\Windows\regedit.exe
Vous pouvez naviguer dans l’arbre sur la gauche pour accéder aux différents dossiers contenant les clés concernées. Mais attention à ne toucher au registre qu’en connaissance de cause sinon, ce n’est même plus sûr que vous puissiez démarrez…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Supprimer (clic droit sur le nom de la clé, supprimer) les deux clés suivantes qui lancent br%4 chiffres.exe at Rakyatkelaparan.exe au démarrage :
Chemin d’accès : HKLM\System\CurrentControlSet\Control\SafeBoot
Nom de la clé : AlternateShell
Données : cmd-brontok.exe
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus
Données : %rien%
Supprimer aussi les deux clés suivantes si vous les trouvez, je ne les ai pas trouvées sur mon ordi :
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus-%4chiffres%
Données : C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
Chemin d’accès : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Bron-spizaetus
Données : C:\windows\shellnew\rakyatkelaparan.exe
Changer les données (clic droit sur le nom de la clé, modifier)de la clé suivante qui permet de lancer explorer (ne pas mettre 0 sinon dire au revoir à la barre des tâches, au raccourci toucheDémarrer+E pour le poste de travail et bonjour au regedit qu’on peut lancer aussi depuis le gestionnaire des tâches (Ctrl+Alt+Suppr)) :
Chemin d’accès : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la clé : Shell
Données modifiées par Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
Nouvelles données à mettre : Explorer.exe
Pour les clés suivantes, il ne s’agit que de modifications de configurations mais qui peuvent empêcher un accès facile à certaines fonctionnalités. Et les remodifier peut être donc utile (clic droit sur le nom de la clé, modifier, le mode hexadécimal ou décimal n’a pas d’importance pour 0 ou 1)
La clé suivante a été modifiée par Brontok-I en vue d’enlever la possibilité d’accéder aux « options des dossier » normalement disponible dans le menu « outils » de l’explorateur.
Chemin d’accès : HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Nom de la clé : NoFolderOptions
Données modifiées par Brontok-I : 1
Nouvelles données à mettre pour réactiver l’option : 0
Dans ce chemin d’accès suivant HKCU\software\microsoft\windows\currentversion\Explorer\advanced , les clés suivantes gérant des options d’Explorer ont été modifiées :
Nom de la clé : ShowSuperHidden (pour l’affichage des fichiers systemes pour les opérations en cours dans Explorer)
Données modifiées par Brontok-I : 0 (cache les fichiers)
Nouvelles données à mettre pour réactiver l’option : 1 (montre les fichiers)
Nom de la clé : HideFileExt ( pour les extensions des fichiers)
Données modifiées par Brontok-I : 1 (cache les extensions)
Nouvelles données à mettre pour réactiver l’option : 0 (affiche les extensions)
Nom de la clé : Hidden (pour l’affichage des dossiers et des fichiers caches dans le registre)
Données modifiées par Brontok-I : 0 (je sais pas, 2 doit empecher l’affichage)
Nouvelles données à mettre pour réactiver l’option : 1 (les affiche)
Brontok-I a désactivé le gestionnaire des tâches :
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableCMD
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
Brontok-I a aussi normalement désactivé regedit mais la clé (par chance je pense) n’existait pas sur mon ordinateur donc bon courage à ceux qui doivent trouver un autre moyen d’accéder aux clés du registre !
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableRegistryTools
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
3) Effacer les petites traces de Brontok
-chercher tous les fichiers contenant « Bro » dans le nom (Démarrer->rechercher : affiner la recherche par date pour que ce soit plus rapide) et les effacer : j’ai trouvé par exemple dans C:\Documents and settings\user\Local settings\application data\
les fichiers Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
et les dossiers OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-vider le prefetch en supprimant les fichiers de C:\Windows\Prefetch : ça ne peut qu’accélérer votre PC selon http://www.laboratoire-microsoft.org/t/1401/ (à faire tous les mois ;)
4) Redémarrer pour que les changements des clés de registre et le prefetch vide soient pris en compte.
Après avoir vérifié que tout semble normal et que vous avez mis en quarantaine tous les fichiers infectés, vous pouvez supprimer ces derniers. C’est bon, la désinfection de Brontok-I est enfin terminée. Mais si vous trouvez votre PC encore trop lent, peut-être que sa RAM est utilisées par des programmes inutiles (Ctrl+Alt+Suppr) pour voir en bas à droite la charge dédiée = RAM utilisée). Vous pouvez prendre alors le temps de configurer votre PC au démarrage en exécutant msconfig : toutes les infos sont sur https://www.vulgarisation-informatique.com/msconfig.php Mais un conseil perso, vérifier l’utilité de chaque programme avant de l’empêcher de démarrer automatiquement parce que certains vous aideront à démarrer plus vite certains logiciels très utilisés ou même se révèlent indispensables (communications_helper pour une webcam logitech par exemple) même si d’autres ne feront que ralentir votre ordi.
5) Bon, ben j’espère avoir aider quelques uns et voici un cadeau en plus :
(lol plutôt réalisé pour mes colocs parlant mieux Anglais que Français) la version anglaise avec toutes les erreurs de traduction qui vont avec mon niveau d’anglais !
How to disinfect the computer from the worm Brontok-I ?
I have not found a virus disinfection tool for this version of Brontok so I present that I have done to disinfect my computer. Sorry for my English but I am French. And I am not a professional so there may have some missing things even if my computer works well now!
6) Putting into quarantine of the infected files thanks to an anti-virus
I have used Avast4 Home Edition which is a free anti-virus available from https://www.avast.com/fr-fr/free-antivirus-download .
You should do first a scan (thorough mode) before the start of the windows log and one after if you have not found all the following files:
Below you have the infected files created by Bontok-I and found by Avast4 on my computer :
(NB : « all user » is really for « all user » whereas « user » is the name of your computer)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8figures%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 figures%-Nendangbro.com
C:\Documents and settings\%directory to a shared folder%\name of this folder.exe (if you like sharing, you will have a lot of infected files...)
To search the files manually, the option “Show hidden files and folders” must be activated (in Tools->Folder Options->View of Explorer if Brontok have not deactivated this option)
NB to avoid to stay in front of the computer in order to put each infected file into quarantine : before the start of windows, enter 6 to put all infected files into quarantine or when the your are logged, check the case “Don’t show this message again” and put into quarantine.
I haven’t found this file C:\Documents and settings\user\Local settings\application data\svchost.exe whereas I should had accorded to Sophos on the web page available from : http://www.sophos.com/security/analyses/w32brontoki.html
7) Reinitialize the registry keys modified by the virus
Two ways to execute the Registry Editor used for system configuration :
-Start->Run : open regedit
-C:\Windows\regedit.exe
Don’t modify if you don’t know what you are doing because otherwise, you may not be able to start windows…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Delete (right clic on the name of the key, delete) the both following keys which start br%4 figures.exe at Rakyatkelaparan.exe at the start of Windows:
Directory: HKLM\System\CurrentControlSet\Control\SafeBoot
Name of the registry key: AlternateShell
Data: cmd-brontok.exe
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus
Data: %nothing%
Delete also the both following keys if you find them, I haven’t found them on my computer:
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus-%4figures%
Data: C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
Directory: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Bron-spizaetus
Data: C:\windows\shellnew\rakyatkelaparan.exe
Modify (right clic on the name of the key, modify) the data of the following registry key which allows the start of Explorer:
Directory: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name of the registry key: Shell
Modified data by Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
New data to enter: Explorer.exe
The four following keys just deal with the configuration of Explorer:
Directory: HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Name of the registry key: NoFolderOptions (controls the display of “Folder Options” in the menu “Tools”)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:ShowSuperHidden (controls whether the normally hidden operating system files should be displayed when using explorer to browse the file system)
Modified data by Brontok-I : 0 (hides)
New data to enter to reactivate the option: 1 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:HideFileExt ( controls the display of File extensions)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:Hidden (controls the display of the hidden files and folders in the registry)
Modified data by Brontok-I : 0 (I don’t know, 2 should hiding)
New data to enter to reactivate the option: 1 (displays)
Brontok-I desactivated the Windows Task Manager:
Directory: HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableCMD
Modified data by Brontok-I: 0
New data to enter to reactivate the option: 1
Brontok-I should normally also desactivate regedit but I haven’t found this key on my computer :
Directory:HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableRegistryTools
Modified data by Brontok-I : 0
New data to enter to reactivate the option: 1
8) Delete traces of Brontok
-Search all the files whose name contains « Bro » dans le nom (Find->search->For files and folder : indicate the date to do it quicker) and delete them: I have found for example in the following directory
C:\Documents and settings\user\Local settings\application data\
the files Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
and the folders OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-Just one tip to do every months: empty the prefetch by deleting the files in C:\Windows\Prefetch: see more information onhttps://searchenterprisedesktop.techtarget.com/tip/Empty-the-prefetch-folder
9) Restart in order to see the effects of changes in the registry and in the prefetch
After checking all is alright and putting in quarantine all the infected files, you can delete the last ones. It is the end of the disinfection of Brontok-I. But if you find your PC always too slow, try msconfig to check if there are not useless programs which are running since the start: http://www.netsquirrel.com/msconfig/ for more information.
I hope to have helped somebody!
Comment se débarrasser pas à pas du virus Brontok-I ?
N’ayant pas trouvé d’outil de désinfection de virus pour cette version de Brontok, voici ce que j’ai fait pour complètement m’en débarrasser (enfin, c’est ce que je crois mais je ne suis pas une pro ;)
1) Mise en quarantaine de tous les fichiers infectés grâce à un anti-virus.
J’ai utilisé Avast4 édition familiale qui est un anti-virus gratuitement téléchargeable depuis https://www.avast.com/fr-fr/free-antivirus-download .
Il faut d’abord réaliser un scan (mode minutieux) avant le démarrage de la session windows pour désactiver le virus qui s’autocopie automatiquement dans tous les dossiers partagés dans un dossier.exe du même nom. Sinon, vous pouvez vous amusez à retrouver en quarantaine plusieurs fois le même fichier… Réaliser un scan (mode minutieux) après si vous n’avez pas trouvé les fichiers suivants. N’oubliez pas de faire « afficher les fichiers et les dossiers cachés » pour trouver les fichiers manuellement (dans Outils->Options des dossiers->affichage d’Explorer si Brontok n’a pas désactivé cette option sur votre ordi).
Voici les fichiers qui ont été infectés sur mon ordinateur dans l’ordre trouvé par Avast4 :
(NB : « all user » est vraiment « all user » alors que « user » est le nom de votre machine)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8chiffres%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 chiffres%-Nendangbro.com
C:\Documents and settings\%chemin d’accès à un dossier partagé%\nom de ce dossier.exe (ce dernier chemin peut correspondre à de nombreux fichiers si vous avez le sens du partage… ;)
NB pour éviter de rester planter devant son ordi pour mettre chaque fichier en quarantaine dans avast : avant le démarrage de windows appuyer sur 6 pour mettre tout en quarantaine ou lorsque la session est ouverte, cocher la case ne plus afficher ce message et mettre en quarantaine.
J’ai pas trouvé le fichier C:\Documents and settings\user\Local settings\application data\svchost.exe pourtant indiqué en plus par Sophos sur la page web suivante : http://www.sophos.com/security/analyses/w32brontoki.html
2) Remettre comme avant les clés de registres changées par le virus
Deux manières d’accéder à l’éditeur de registres (gere la configuration du système) :
-démarrage->exécuter : ouvrir regedit
-C:\Windows\regedit.exe
Vous pouvez naviguer dans l’arbre sur la gauche pour accéder aux différents dossiers contenant les clés concernées. Mais attention à ne toucher au registre qu’en connaissance de cause sinon, ce n’est même plus sûr que vous puissiez démarrez…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Supprimer (clic droit sur le nom de la clé, supprimer) les deux clés suivantes qui lancent br%4 chiffres.exe at Rakyatkelaparan.exe au démarrage :
Chemin d’accès : HKLM\System\CurrentControlSet\Control\SafeBoot
Nom de la clé : AlternateShell
Données : cmd-brontok.exe
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus
Données : %rien%
Supprimer aussi les deux clés suivantes si vous les trouvez, je ne les ai pas trouvées sur mon ordi :
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus-%4chiffres%
Données : C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
Chemin d’accès : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Bron-spizaetus
Données : C:\windows\shellnew\rakyatkelaparan.exe
Changer les données (clic droit sur le nom de la clé, modifier)de la clé suivante qui permet de lancer explorer (ne pas mettre 0 sinon dire au revoir à la barre des tâches, au raccourci toucheDémarrer+E pour le poste de travail et bonjour au regedit qu’on peut lancer aussi depuis le gestionnaire des tâches (Ctrl+Alt+Suppr)) :
Chemin d’accès : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la clé : Shell
Données modifiées par Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
Nouvelles données à mettre : Explorer.exe
Pour les clés suivantes, il ne s’agit que de modifications de configurations mais qui peuvent empêcher un accès facile à certaines fonctionnalités. Et les remodifier peut être donc utile (clic droit sur le nom de la clé, modifier, le mode hexadécimal ou décimal n’a pas d’importance pour 0 ou 1)
La clé suivante a été modifiée par Brontok-I en vue d’enlever la possibilité d’accéder aux « options des dossier » normalement disponible dans le menu « outils » de l’explorateur.
Chemin d’accès : HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Nom de la clé : NoFolderOptions
Données modifiées par Brontok-I : 1
Nouvelles données à mettre pour réactiver l’option : 0
Dans ce chemin d’accès suivant HKCU\software\microsoft\windows\currentversion\Explorer\advanced , les clés suivantes gérant des options d’Explorer ont été modifiées :
Nom de la clé : ShowSuperHidden (pour l’affichage des fichiers systemes pour les opérations en cours dans Explorer)
Données modifiées par Brontok-I : 0 (cache les fichiers)
Nouvelles données à mettre pour réactiver l’option : 1 (montre les fichiers)
Nom de la clé : HideFileExt ( pour les extensions des fichiers)
Données modifiées par Brontok-I : 1 (cache les extensions)
Nouvelles données à mettre pour réactiver l’option : 0 (affiche les extensions)
Nom de la clé : Hidden (pour l’affichage des dossiers et des fichiers caches dans le registre)
Données modifiées par Brontok-I : 0 (je sais pas, 2 doit empecher l’affichage)
Nouvelles données à mettre pour réactiver l’option : 1 (les affiche)
Brontok-I a désactivé le gestionnaire des tâches :
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableCMD
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
Brontok-I a aussi normalement désactivé regedit mais la clé (par chance je pense) n’existait pas sur mon ordinateur donc bon courage à ceux qui doivent trouver un autre moyen d’accéder aux clés du registre !
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableRegistryTools
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
3) Effacer les petites traces de Brontok
-chercher tous les fichiers contenant « Bro » dans le nom (Démarrer->rechercher : affiner la recherche par date pour que ce soit plus rapide) et les effacer : j’ai trouvé par exemple dans C:\Documents and settings\user\Local settings\application data\
les fichiers Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
et les dossiers OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-vider le prefetch en supprimant les fichiers de C:\Windows\Prefetch : ça ne peut qu’accélérer votre PC selon http://www.laboratoire-microsoft.org/t/1401/ (à faire tous les mois ;)
4) Redémarrer pour que les changements des clés de registre et le prefetch vide soient pris en compte.
Après avoir vérifié que tout semble normal et que vous avez mis en quarantaine tous les fichiers infectés, vous pouvez supprimer ces derniers. C’est bon, la désinfection de Brontok-I est enfin terminée. Mais si vous trouvez votre PC encore trop lent, peut-être que sa RAM est utilisées par des programmes inutiles (Ctrl+Alt+Suppr) pour voir en bas à droite la charge dédiée = RAM utilisée). Vous pouvez prendre alors le temps de configurer votre PC au démarrage en exécutant msconfig : toutes les infos sont sur https://www.vulgarisation-informatique.com/msconfig.php Mais un conseil perso, vérifier l’utilité de chaque programme avant de l’empêcher de démarrer automatiquement parce que certains vous aideront à démarrer plus vite certains logiciels très utilisés ou même se révèlent indispensables (communications_helper pour une webcam logitech par exemple) même si d’autres ne feront que ralentir votre ordi.
5) Bon, ben j’espère avoir aider quelques uns et voici un cadeau en plus :
(lol plutôt réalisé pour mes colocs parlant mieux Anglais que Français) la version anglaise avec toutes les erreurs de traduction qui vont avec mon niveau d’anglais !
How to disinfect the computer from the worm Brontok-I ?
I have not found a virus disinfection tool for this version of Brontok so I present that I have done to disinfect my computer. Sorry for my English but I am French. And I am not a professional so there may have some missing things even if my computer works well now!
6) Putting into quarantine of the infected files thanks to an anti-virus
I have used Avast4 Home Edition which is a free anti-virus available from https://www.avast.com/fr-fr/free-antivirus-download .
You should do first a scan (thorough mode) before the start of the windows log and one after if you have not found all the following files:
Below you have the infected files created by Bontok-I and found by Avast4 on my computer :
(NB : « all user » is really for « all user » whereas « user » is the name of your computer)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8figures%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 figures%-Nendangbro.com
C:\Documents and settings\%directory to a shared folder%\name of this folder.exe (if you like sharing, you will have a lot of infected files...)
To search the files manually, the option “Show hidden files and folders” must be activated (in Tools->Folder Options->View of Explorer if Brontok have not deactivated this option)
NB to avoid to stay in front of the computer in order to put each infected file into quarantine : before the start of windows, enter 6 to put all infected files into quarantine or when the your are logged, check the case “Don’t show this message again” and put into quarantine.
I haven’t found this file C:\Documents and settings\user\Local settings\application data\svchost.exe whereas I should had accorded to Sophos on the web page available from : http://www.sophos.com/security/analyses/w32brontoki.html
7) Reinitialize the registry keys modified by the virus
Two ways to execute the Registry Editor used for system configuration :
-Start->Run : open regedit
-C:\Windows\regedit.exe
Don’t modify if you don’t know what you are doing because otherwise, you may not be able to start windows…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Delete (right clic on the name of the key, delete) the both following keys which start br%4 figures.exe at Rakyatkelaparan.exe at the start of Windows:
Directory: HKLM\System\CurrentControlSet\Control\SafeBoot
Name of the registry key: AlternateShell
Data: cmd-brontok.exe
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus
Data: %nothing%
Delete also the both following keys if you find them, I haven’t found them on my computer:
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus-%4figures%
Data: C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
Directory: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Bron-spizaetus
Data: C:\windows\shellnew\rakyatkelaparan.exe
Modify (right clic on the name of the key, modify) the data of the following registry key which allows the start of Explorer:
Directory: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name of the registry key: Shell
Modified data by Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
New data to enter: Explorer.exe
The four following keys just deal with the configuration of Explorer:
Directory: HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Name of the registry key: NoFolderOptions (controls the display of “Folder Options” in the menu “Tools”)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:ShowSuperHidden (controls whether the normally hidden operating system files should be displayed when using explorer to browse the file system)
Modified data by Brontok-I : 0 (hides)
New data to enter to reactivate the option: 1 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:HideFileExt ( controls the display of File extensions)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:Hidden (controls the display of the hidden files and folders in the registry)
Modified data by Brontok-I : 0 (I don’t know, 2 should hiding)
New data to enter to reactivate the option: 1 (displays)
Brontok-I desactivated the Windows Task Manager:
Directory: HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableCMD
Modified data by Brontok-I: 0
New data to enter to reactivate the option: 1
Brontok-I should normally also desactivate regedit but I haven’t found this key on my computer :
Directory:HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableRegistryTools
Modified data by Brontok-I : 0
New data to enter to reactivate the option: 1
8) Delete traces of Brontok
-Search all the files whose name contains « Bro » dans le nom (Find->search->For files and folder : indicate the date to do it quicker) and delete them: I have found for example in the following directory
C:\Documents and settings\user\Local settings\application data\
the files Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
and the folders OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-Just one tip to do every months: empty the prefetch by deleting the files in C:\Windows\Prefetch: see more information onhttps://searchenterprisedesktop.techtarget.com/tip/Empty-the-prefetch-folder
9) Restart in order to see the effects of changes in the registry and in the prefetch
After checking all is alright and putting in quarantine all the infected files, you can delete the last ones. It is the end of the disinfection of Brontok-I. But if you find your PC always too slow, try msconfig to check if there are not useless programs which are running since the start: http://www.netsquirrel.com/msconfig/ for more information.
I hope to have helped somebody!
Bonjour à tous, pour exterminer ce virus, il faut que vous installerez l'antivirus Avast(disponible en télechargement sur son site www.avast.com et ce gratos). cet antivirus est vraiment génial, ça vaut la peine de l'essayer
Bonjour à tous,
Il y a le logiciel gratuit Microsoft Esssential Security (gratuit) téléchargeable sur le site de Microsoft. C'est lui qui m'a détecté le ver Brontok et qui l'a annihilé. Et j'ai également Avast. Mais c'est l'antivirus de Microsoft qui a été plus rapide dans ce cas-là.
Par contre, ce ver a laissé des séquelles pour ma connexion qui s'arrête de temps en temps. J'ai trouvé un lien intéressant qui va peut-être solutionner la lacune :
https://www.commentcamarche.net/faq/24781-reparer-sa-connexion-suite-a-une-infection-ou-une-desinfection
Bon surf
Il y a le logiciel gratuit Microsoft Esssential Security (gratuit) téléchargeable sur le site de Microsoft. C'est lui qui m'a détecté le ver Brontok et qui l'a annihilé. Et j'ai également Avast. Mais c'est l'antivirus de Microsoft qui a été plus rapide dans ce cas-là.
Par contre, ce ver a laissé des séquelles pour ma connexion qui s'arrête de temps en temps. J'ai trouvé un lien intéressant qui va peut-être solutionner la lacune :
https://www.commentcamarche.net/faq/24781-reparer-sa-connexion-suite-a-une-infection-ou-une-desinfection
Bon surf
pour désinfecté se virus il vous faut de télécharger virusscane mai pour le télécharger faut le télécharger d'in otre ordinateur parsque sinon le virus fera redémaré votre ordi
Bon le virus brontok fait des degats mais pour minimiser voici ce que j'ai fait:
1- j'ai scanné ma machine a l'aide de l'antivirus NOD32
mais surprise je n'ai plus acces a l'editeur de registre et l'onglet options des dossiers n'existe plus alors j'ai fait une manipulation un peu "Sauvage" mais ça a marché, j'ai supprimé le fichier ntuser.dat qui se trouve dans le dossier :
C:\documents and settings \ "votre nom d'utilisateur" \
et quand j'ai redemarré j'avais retrouvé acces a mon editeur de registre et options des dossiers était redevenue
mais il va falloir creer un fichier ntuser.dat pour pas qu'a chaque demarage il ne vous affcihe la "visite guidée windows" :)
1- j'ai scanné ma machine a l'aide de l'antivirus NOD32
mais surprise je n'ai plus acces a l'editeur de registre et l'onglet options des dossiers n'existe plus alors j'ai fait une manipulation un peu "Sauvage" mais ça a marché, j'ai supprimé le fichier ntuser.dat qui se trouve dans le dossier :
C:\documents and settings \ "votre nom d'utilisateur" \
et quand j'ai redemarré j'avais retrouvé acces a mon editeur de registre et options des dossiers était redevenue
mais il va falloir creer un fichier ntuser.dat pour pas qu'a chaque demarage il ne vous affcihe la "visite guidée windows" :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
le + simple est davoir deja pri l'habitude de metre ces fichier personel ds le disc D ensuite formater le disc C en gardant en mémoire la partie D et voila plus aucun virus pske les virus on besoin d'un system d'éxploitation pour pouvoir fonctionné hors dans le disc D il ni ya pa de systeme d'éxploitation 32. voila jesper ke sa va vous aider et pour finir avan de formater prenné soin de bien enregistré les pilote de votre pc ds le disc D pour pouvoir les réeinstaller rapidment et facilment...
ima159
Messages postés
11
Date d'inscription
vendredi 18 janvier 2008
Statut
Membre
Dernière intervention
28 avril 2014
8
15 nov. 2010 à 19:54
15 nov. 2010 à 19:54
moi je vous conseille avira https://avira-free-antivirus.fr.softonic.com
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
31 juil. 2006 à 18:44
31 juil. 2006 à 18:44
Salut
Suis cette procédure stp :
virus methode preliminaire de desinfection version fr
Bon courage.
A+
Suis cette procédure stp :
virus methode preliminaire de desinfection version fr
Bon courage.
A+
Bonjour,
je sus moi aussi infecté par le virus Brontok mais le problème c ke je ne peux vrémen rien faire. Je ne m'y connais mm pa en informatik.jèmré savoir si vous pourriez m'aider pke je ne peux mm plus travailler corectment. merci bokou
je sus moi aussi infecté par le virus Brontok mais le problème c ke je ne peux vrémen rien faire. Je ne m'y connais mm pa en informatik.jèmré savoir si vous pourriez m'aider pke je ne peux mm plus travailler corectment. merci bokou
bonjour je sui infecté par le virus brontok et j'ai télécharger CCleaner et avst et spybot rien ni fé il revien a chak foi je sé plus coment faire
Bon déjà faudrait que les modos enlève ce "[Résolu]" de derrière le titre parce que le problème est loin d'être résolu.
J'ai Kaspersky à jour et il m'a détecté des milliers de fichiers infectés par Brontok et les a tous supprimé, mon PC ne redémarre plus, c'est super
MAIS il reste un problème assez grave. Le virus avait dans sa longue liste d'effets néfaste sur l'ordinateur ceux de cacher les fichiers cachés, masquer les extensions des fichiers (option que je décoche systématiquement), interdire l'accès au regedit et au "control folders" (option des dossiers) (pas d'accès au "control folders" -> on peu plus se remettre à voir les extensions et les fichiers cachés).
J'ai instalé gpedit et désactivé dans les stratégies de groupe l'interdiction d'accès aux control folders et au regedit (comme je l'avais fait dans mon lycée et ca avait marché) mais rien à faire l'accès à ces deux commandes est toujours interdis par l'Administrateur (autrement dit, moi).
Ceux qui rencontreront le même problème et ceux qui l'ont résolu doivent être mis en contact ^^
J'ai Kaspersky à jour et il m'a détecté des milliers de fichiers infectés par Brontok et les a tous supprimé, mon PC ne redémarre plus, c'est super
MAIS il reste un problème assez grave. Le virus avait dans sa longue liste d'effets néfaste sur l'ordinateur ceux de cacher les fichiers cachés, masquer les extensions des fichiers (option que je décoche systématiquement), interdire l'accès au regedit et au "control folders" (option des dossiers) (pas d'accès au "control folders" -> on peu plus se remettre à voir les extensions et les fichiers cachés).
J'ai instalé gpedit et désactivé dans les stratégies de groupe l'interdiction d'accès aux control folders et au regedit (comme je l'avais fait dans mon lycée et ca avait marché) mais rien à faire l'accès à ces deux commandes est toujours interdis par l'Administrateur (autrement dit, moi).
Ceux qui rencontreront le même problème et ceux qui l'ont résolu doivent être mis en contact ^^
Salut mouradif
Quelle variante de Brontok exactement ?
Tu souviens sous quel nom KAV l'a détecté ?
Possible que les modifs des stratégies n'aient marché parce que l'infection est toujours présente
Il existe un removal chez sophos et Bitdefender, mais le problème c'est qu'ils ne prennent pas toutes les variantes...
Celui de bitdef:
http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.htm
et celui de sophos (prend un peu plus de variantes):
http://www.sophos.com/support/cleaners/brontgui.com
Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé
Tiens moi au courant.
a+
Quelle variante de Brontok exactement ?
Tu souviens sous quel nom KAV l'a détecté ?
Possible que les modifs des stratégies n'aient marché parce que l'infection est toujours présente
Il existe un removal chez sophos et Bitdefender, mais le problème c'est qu'ils ne prennent pas toutes les variantes...
Celui de bitdef:
http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.htm
et celui de sophos (prend un peu plus de variantes):
http://www.sophos.com/support/cleaners/brontgui.com
Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé
Tiens moi au courant.
a+
Bonjour à tous, je viens d'ètre infecté parle virus Brontok et Brontok-K, dès que je suis sur internet avast me prévien que j'ai un virus et je ne peux pas lemettre en quarantaine sauf si je débranche internet. Après avoir effectué un scan d'après avast le virus se trouve dans mes images, mes échantillon de musiques,ma musiques, mes vidéos.
J'ai pris une restauration antérieure au virus et viens de lancer Hitjackthis.
SVP aidez moi, je suis très novice en la matière.
Je vous envoie le rapport:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:45:34, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\SIGMA\Photo Pro\SIGMA_AutoLaunch.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
c:\program files\fichiers communs\installshield\updateservice\isuspm.exe
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\agent.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
F:\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SIGMA Photo Pro AutoLaunch.lnk = C:\Program Files\SIGMA\Photo Pro\SIGMA_AutoLaunch.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A8E4405-A7A0-4E48-B8BC-4730A747D058}: NameServer = 10.247.110.253,193.252.19.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
J'ai pris une restauration antérieure au virus et viens de lancer Hitjackthis.
SVP aidez moi, je suis très novice en la matière.
Je vous envoie le rapport:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:45:34, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\SIGMA\Photo Pro\SIGMA_AutoLaunch.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
c:\program files\fichiers communs\installshield\updateservice\isuspm.exe
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\agent.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
F:\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SIGMA Photo Pro AutoLaunch.lnk = C:\Program Files\SIGMA\Photo Pro\SIGMA_AutoLaunch.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A8E4405-A7A0-4E48-B8BC-4730A747D058}: NameServer = 10.247.110.253,193.252.19.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
Bonjour, j'ai le brontok a, sur mon pc, j'ai lancé une analyse antispyware, apparemment, il n'a trouvé que le brontok c, comment faire?
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 17:04:47 12/09/2007
+ Résultat de l'analyse:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-21-3588590466-101265881-2389969595-1005\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\Documents and Settings\lutz\Cookies\lutz@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\KesenjanganSosial.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\ShellNew\RakyatKelaparan.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\system32\cmd-brontok.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\system32\lutz's Setting.scr -> Worm.Brontok.c : Nettoyé.
[1832] C:\Documents and Settings\lutz\Local Settings\Application Data\services.exe -> Worm.Brontok.c : Nettoyé.
[2088] C:\Documents and Settings\lutz\Local Settings\Application Data\lsass.exe -> Worm.Brontok.c : Nettoyé.
[404] C:\Documents and Settings\lutz\Local Settings\Application Data\winlogon.exe -> Worm.Brontok.c : Nettoyé.
Fin du rapport
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 17:04:47 12/09/2007
+ Résultat de l'analyse:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-21-3588590466-101265881-2389969595-1005\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\Documents and Settings\lutz\Cookies\lutz@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\lutz\Cookies\lutz@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\KesenjanganSosial.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\ShellNew\RakyatKelaparan.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\system32\cmd-brontok.exe -> Worm.Brontok.c : Nettoyé.
C:\WINDOWS\system32\lutz's Setting.scr -> Worm.Brontok.c : Nettoyé.
[1832] C:\Documents and Settings\lutz\Local Settings\Application Data\services.exe -> Worm.Brontok.c : Nettoyé.
[2088] C:\Documents and Settings\lutz\Local Settings\Application Data\lsass.exe -> Worm.Brontok.c : Nettoyé.
[404] C:\Documents and Settings\lutz\Local Settings\Application Data\winlogon.exe -> Worm.Brontok.c : Nettoyé.
Fin du rapport
slt jai deja formater mon disque dur mai il revien a chaque foi comme si il c'était abonner a mon ordi
Pour rétablir Regedit et l'affichage des fichiers cachés après infection, installer donc le fichier qui se trouve à ce lien et qui s'appelle UnHookExeC.inf https://www.raymond.cc/blog/fix-or-restore-broken-exe-lnk-com-association-caused-by-virus/
télécharger le, puis clic-droit>>Installer, puis on reboote (?) et les paramètres d'origine de la base de registre sont restaurés.
ça m'a super aidé, j'espère que ça aidera d'autres personnes...
télécharger le, puis clic-droit>>Installer, puis on reboote (?) et les paramètres d'origine de la base de registre sont restaurés.
ça m'a super aidé, j'espère que ça aidera d'autres personnes...
je suis infecté par brontok, voici mon log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:59, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MtdAcq] C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [Tok-Cirrhatus-1167] "C:\Documents and Settings\poik\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:59, on 30/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MtdAcq] C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [Tok-Cirrhatus-1167] "C:\Documents and Settings\poik\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
Mon Ordi est infecté par Brontok et je peux rien faire j'ai pas internet, ni d'antivirus. c'est probablement L'un des fichiers que j'ai télécharger sur un autre Ordi.....
je vous prierais de m'aider
je vous prierais de m'aider
pour ceux qui son désinfect de se viru fait des scan sur vos clé usb sur tout i sufi d'une foi pour etrer infecté fait gaffe tout mon école et infecte par se viru je doi faire des scan tout le temp
moi ossi sé pareil
le + simple est davoir deja pri l'habitude de metre ces fichier personel ds le disc D ensuite formater le disc C en gardant en mémoire la partie D et voila plus aucun virus pske les virus on besoin d'un system d'éxploitation pour pouvoir fonctionné hors dans le disc D il ni ya pa de systeme d'éxploitation 32. voila jesper ke sa va vous aider et pour finir avan de formater prenné soin de bien enregistré les pilote de votre pc ds le disc D pour pouvoir les réeinstaller rapidment et facilment
