Infecter par un ver WORM/BRONTOK.A.4.B

Résolu
Ben -  
 nisar -
Salut a tous,
Vous pouvez m'aider a detruire un Ver qui m'emmerde depuis un mois du nom de: "WORM/BRONTOK.A.4.B" tous les anti-virus que j'ai utilise n'ont rien pu faire.
Sa principale caracteristique: Il copie chaque dossier dans ce dernier, et cette copie explore "Mes Document".
Cette copie revient a chaquefois aue je l'efface.
Je vous remercie.
akassa_19@hotmail.com
Configuration: PC DELL INTEL P.IV Windows XP

5 réponses

  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir Ben,

    télécharge HijackThis:

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Fais un scan et poste l'analyse.

    a+
    0
    1. Ben
       
      Logfile of HijackThis v1.99.1
      Scan saved at 21:48:20, on 15/12/2006
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\System32\Atievxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Totem Shared\Uninstall0001\upd.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
      C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\PROGRA~1\EACCEL~1\Station\station.exe
      C:\PROGRA~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE
      C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
      C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
      C:\Program Files\Messenger\MSMSGS.EXE
      C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-ckzjljh.exe"
      F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [Bron-Spizaetus-ckhjlvow] "C:\WINDOWS\ShellNew\bbm-wovljhkc.exe"
      O4 - HKLM\..\Run: [Bron-Spizaetus-anorbtok] "C:\WINDOWS\ShellNew\bbm-kotbrona.exe"
      O4 - HKLM\..\Run: [Uninstall0001] "C:\Program Files\Fichiers communs\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.virtuagirl.com!StatsVirtuaGirl
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
      O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
      O4 - HKLM\..\Run: [SoftwareStation] "C:\Program Files\eAcceleration\Station\station.exe" /b Startup
      O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
      O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k
      O4 - HKLM\..\RunOnce: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus /ro
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Tok-Cirrhatus-5259] "C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Application Data\br11541on.exe"
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      0
  2. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir,

    Télécharge ce fichier - combofix.exe :

    http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe

    et sauvegarde le sur ton bureau!

    lance le!

    Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Copie/colle un nouveau rapport HijackThis avec.

    a+
    0
    1. Ben
       
      salut,
      voici les rapports

      > "Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash
      > /minimized"
      > C:\sUBs\aa.txt
      >
      > Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
      > fichier car ce fichier est utilisé par un autre processus
      >
      >
      > [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
      > "DeskHtmlVersion"=dword:00000110
      > "DeskHtmlMinorVersion"=dword:00000005
      > "Settings"=dword:00000001
      > "GeneralFlags"=dword:00000004
      >
      > [HKEY_CURRENT_USER\software\microsoft\internet
      > explorer\desktop\components\0]
      > "Source"="About:Home"
      > "SubscribedURL"="About:Home"
      > "FriendlyName"="Ma page d'accueil"
      > "Flags"=dword:00000002
      >
      "Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
      > 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
      > "CurrentState"=hex:04,00,00,40
      >
      "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
      > ff,ff,04,00,00,00
      >
      "RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
      > 00,00,01,00,00,00
      >
      > [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
      > "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
      >
      > [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
      > "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
      >
      >
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
      > "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
      > "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de
      > composant"
      >
      >
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      > "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
      > C:\sUBs\aa.txt
      >
      > [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      > "DisableCMD"=dword:00000000
      >
      >
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      > "NoDriveTypeAutoRun"=dword:00000091
      > "NoFolderOptions"=dword:00000001
      >
      > [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      > "dontdisplaylastusername"=dword:00000000
      > "legalnoticecaption"=""
      > "legalnoticetext"=""
      > "shutdownwithoutlogon"=dword:00000001
      > "undockwithoutlogon"=dword:00000001
      >
      >
      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      > "NoDriveTypeAutoRun"=dword:00000091
      >
      >
      [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
      > "NoDriveTypeAutoRun"=dword:00000091
      >
      >
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
      > "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
      > "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
      > "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
      > "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
      > C:\sUBs\aa.txt
      > C:\sUBs\aa.txt
      >
      > Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
      > fichier car ce fichier est utilisé par un autre processus
      >
      > C:\sUBs\aa.txt
      >
      > Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
      > fichier car ce fichier est utilisé par un autre processus
      >
      >
      > [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
      > "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
      >
      >
      > [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
      > LocalService REG_MULTI_SZ
      > Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
      > NetworkService REG_MULTI_SZ DnsCache\0\0
      > rpcss REG_MULTI_SZ RpcSs\0\0
      > imgsvc REG_MULTI_SZ StiSvc\0\0
      > termsvcs REG_MULTI_SZ TermService\0\0
      >
      > Completion time: 06-12-17 23:28:44.99
      > C:\ComboFix.txt ... 06-12-17 23:28
      >
      > Rapport de hijackthis
      > Logfile of HijackThis v1.99.1
      > Scan saved at 23:32:44, on 17/12/2006
      > Platform: Windows XP SP1 (WinNT 5.01.2600)
      > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      >
      > Running processes:
      > C:\WINDOWS\System32\smss.exe
      > C:\WINDOWS\system32\winlogon.exe
      > C:\WINDOWS\system32\services.exe
      > C:\WINDOWS\system32\lsass.exe
      > C:\WINDOWS\system32\svchost.exe
      > C:\WINDOWS\System32\svchost.exe
      > C:\WINDOWS\Explorer.EXE
      > C:\WINDOWS\system32\spoolsv.exe
      > C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      > C:\WINDOWS\System32\Atievxx.exe
      > C:\WINDOWS\System32\svchost.exe
      > C:\Program Files\Fichiers communs\Softwin\BitDefender
      > Communicator\xcommsvr.exe
      > C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      > C:\WINDOWS\System32\wuauclt.exe
      > C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
      > C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
      > C:\Program Files\PC Tools AntiVirus\PCTAV.exe
      > C:\Program Files\Internet Explorer\IEXPLORE.EXE
      > C:\Program Files\Internet Explorer\IEXPLORE.EXE
      > C:\Program Files\Skype\Phone\Skype.exe
      > C:\Program Files\Skype\Plugin Manager\SkypePM.exe
      > C:\Program Files\Internet Explorer\IEXPLORE.EXE
      > C:\WINDOWS\system32\NOTEPAD.EXE
      > C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Temp\Répertoire
      > temporaire 1 pour hijackthis.zip\HijackThis.exe
      >
      > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      > https://fr.yahoo.com/
      > F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
      > O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe"
      > /MONITORSCAN
      > O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program
      > Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      > O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
      > /minimized
      > O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
      > C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      > O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler)
      > - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      > O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
      > AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      > O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program
      > Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      > O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty
      > Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
      > O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      > C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      > O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program
      > Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

      Merci et a+
      0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir ben,

    peux tu relancer combo en mode sans échec!

    puis redémarre normalement,

    Télécharge clean.zip

    http://www.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, suis les consignes.
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    poste les rapport combo, cleanzip et un nouvel hijackthis!

    a+
    0
  4. Ben
     
    Merci de votre aide mon probleme est resolu.
    Je souhaite a tous les meilleurs voeux du monde.
    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nisar
     
    bonjour sa sert a quoi d'envoyé le rapport sur le forum ??
    0