[virus] infecté par brontok[A]
Fermé
kamga
-
20 avril 2007 à 16:37
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 7 mai 2007 à 16:15
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 7 mai 2007 à 16:15
A voir également:
- [virus] infecté par brontok[A]
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Windows
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Operagxsetup virus ✓ - Forum Virus
4 réponses
bonjour, il revient tt le temps parce qu'il est dans une autre application que tu utlises régulièrement; n'envoie plus aucun mail a tes contacts sinon ils risquent de t'en vouloir ;) ta corbeille est bloquée par lui aussi et si tu fais rien il risque meme de te paralyser entierement( connexions bloquées, plus d'accès a formatage etc; c donc a virer d'urgence, pout t'aider tu dois coller un rapport ici et le faire analyser
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
20 avril 2007 à 17:22
20 avril 2007 à 17:22
Bonjour,
tu as une des infections les plus délicates à éradiquer.
Télécharge ce fichier.
http://vaksin.com/File/Fix-VBWorm-Rontok-Lightmoon.exe
Enregistre le dans un dossier créé pour lui (par exemple c:\Brontok).
Redémarre en mode sans échec
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Lance l'outil en double-cliquant dessus.
Le scan est assez long, aussi long qu'un scan AV complet du pc lol...
Le rapport sera généré au même endroit ou est enregistré le fix sous le nom NFix_aaaa-mm-jj.log (aaaa=année mm=mois jj=jour )
redémarre en mode normal, poste le log du rapport que tu trouveras dans le dossier C:\Brontok.
@+
tu as une des infections les plus délicates à éradiquer.
Télécharge ce fichier.
http://vaksin.com/File/Fix-VBWorm-Rontok-Lightmoon.exe
Enregistre le dans un dossier créé pour lui (par exemple c:\Brontok).
Redémarre en mode sans échec
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Lance l'outil en double-cliquant dessus.
Le scan est assez long, aussi long qu'un scan AV complet du pc lol...
Le rapport sera généré au même endroit ou est enregistré le fix sous le nom NFix_aaaa-mm-jj.log (aaaa=année mm=mois jj=jour )
redémarre en mode normal, poste le log du rapport que tu trouveras dans le dossier C:\Brontok.
@+
Bonjour,
Peut-être que ce doc pour eliminer une version (qui je crois est plus récente que la version A) pourrait t'aider:)
Comment se débarrasser pas à pas du virus Brontok-I ?
N’ayant pas trouvé d’outil de désinfection de virus pour cette version de Brontok, voici ce que j’ai fait pour complètement m’en débarrasser (enfin, c’est ce que je crois mais je ne suis pas une pro ;)
1) Mise en quarantaine de tous les fichiers infectés grâce à un anti-virus.
J’ai utilisé Avast4 édition familiale qui est un anti-virus gratuitement téléchargeable depuis https://www.avast.com/fr-fr/free-antivirus-download .
Il faut d’abord réaliser un scan (mode minutieux) avant le démarrage de la session windows pour désactiver le virus qui s’autocopie automatiquement dans tous les dossiers partagés dans un dossier.exe du même nom. Sinon, vous pouvez vous amusez à retrouver en quarantaine plusieurs fois le même fichier… Réaliser un scan (mode minutieux) après si vous n’avez pas trouvé les fichiers suivants. N’oubliez pas de faire « afficher les fichiers et les dossiers cachés » pour trouver les fichiers manuellement (dans Outils->Options des dossiers->affichage d’Explorer si Brontok n’a pas désactivé cette option sur votre ordi).
Voici les fichiers qui ont été infectés sur mon ordinateur dans l’ordre trouvé par Avast4 :
(NB : « all user » est vraiment « all user » alors que « user » est le nom de votre machine)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8chiffres%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 chiffres%-Nendangbro.com
C:\Documents and settings\%chemin d’accès à un dossier partagé%\nom de ce dossier.exe (ce dernier chemin peut correspondre à de nombreux fichiers si vous avez le sens du partage… ;)
NB pour éviter de rester planter devant son ordi pour mettre chaque fichier en quarantaine dans avast : avant le démarrage de windows appuyer sur 6 pour mettre tout en quarantaine ou lorsque la session est ouverte, cocher la case ne plus afficher ce message et mettre en quarantaine.
J’ai pas trouvé le fichier C:\Documents and settings\user\Local settings\application data\svchost.exe pourtant indiqué en plus par Sophos sur la page web suivante : http://www.sophos.com/security/analyses/w32brontoki.html
2) Remettre comme avant les clés de registres changées par le virus
Deux manières d’accéder à l’éditeur de registres (gere la configuration du système) :
-démarrage->exécuter : ouvrir regedit
-C:\Windows\regedit.exe
Vous pouvez naviguer dans l’arbre sur la gauche pour accéder aux différents dossiers contenant les clés concernées. Mais attention à ne toucher au registre qu’en connaissance de cause sinon, ce n’est même plus sûr que vous puissiez démarrez…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Supprimer (clic droit sur le nom de la clé, supprimer) les deux clés suivantes qui lancent br%4 chiffres.exe at Rakyatkelaparan.exe au démarrage :
Chemin d’accès : HKLM\System\CurrentControlSet\Control\SafeBoot
Nom de la clé : AlternateShell
Données : cmd-brontok.exe
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus
Données : %rien%
Supprimer aussi les deux clés suivantes si vous les trouvez, je ne les ai pas trouvées sur mon ordi :
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus-%4chiffres%
Données : C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
Chemin d’accès : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Bron-spizaetus
Données : C:\windows\shellnew\rakyatkelaparan.exe
Changer les données (clic droit sur le nom de la clé, modifier)de la clé suivante qui permet de lancer explorer (ne pas mettre 0 sinon dire au revoir à la barre des tâches, au raccourci toucheDémarrer+E pour le poste de travail et bonjour au regedit qu’on peut lancer aussi depuis le gestionnaire des tâches (Ctrl+Alt+Suppr)) :
Chemin d’accès : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la clé : Shell
Données modifiées par Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
Nouvelles données à mettre : Explorer.exe
Pour les clés suivantes, il ne s’agit que de modifications de configurations mais qui peuvent empêcher un accès facile à certaines fonctionnalités. Et les remodifier peut être donc utile (clic droit sur le nom de la clé, modifier, le mode hexadécimal ou décimal n’a pas d’importance pour 0 ou 1)
La clé suivante a été modifiée par Brontok-I en vue d’enlever la possibilité d’accéder aux « options des dossier » normalement disponible dans le menu « outils » de l’explorateur.
Chemin d’accès : HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Nom de la clé : NoFolderOptions
Données modifiées par Brontok-I : 1
Nouvelles données à mettre pour réactiver l’option : 0
Dans ce chemin d’accès suivant HKCU\software\microsoft\windows\currentversion\Explorer\advanced , les clés suivantes gérant des options d’Explorer ont été modifiées :
Nom de la clé : ShowSuperHidden (pour l’affichage des fichiers systemes pour les opérations en cours dans Explorer)
Données modifiées par Brontok-I : 0 (cache les fichiers)
Nouvelles données à mettre pour réactiver l’option : 1 (montre les fichiers)
Nom de la clé : HideFileExt ( pour les extensions des fichiers)
Données modifiées par Brontok-I : 1 (cache les extensions)
Nouvelles données à mettre pour réactiver l’option : 0 (affiche les extensions)
Nom de la clé : Hidden (pour l’affichage des dossiers et des fichiers caches dans le registre)
Données modifiées par Brontok-I : 0 (je sais pas, 2 doit empecher l’affichage)
Nouvelles données à mettre pour réactiver l’option : 1 (les affiche)
Brontok-I a désactivé le gestionnaire des tâches :
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableCMD
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
Brontok-I a aussi normalement désactivé regedit mais la clé (par chance je pense) n’existait pas sur mon ordinateur donc bon courage à ceux qui doivent trouver un autre moyen d’accéder aux clés du registre !
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableRegistryTools
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
3) Effacer les petites traces de Brontok
-chercher tous les fichiers contenant « Bro » dans le nom (Démarrer->rechercher : affiner la recherche par date pour que ce soit plus rapide) et les effacer : j’ai trouvé par exemple dans C:\Documents and settings\user\Local settings\application data\
les fichiers Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
et les dossiers OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-vider le prefetch en supprimant les fichiers de C:\Windows\Prefetch : ça ne peut qu’accélérer votre PC selon http://www.laboratoire-microsoft.org/t/1401/ (à faire tous les mois ;)
4) Redémarrer pour que les changements des clés de registre et le prefetch vide soient pris en compte.
Après avoir vérifié que tout semble normal et que vous avez mis en quarantaine tous les fichiers infectés, vous pouvez supprimer ces derniers. C’est bon, la désinfection de Brontok-I est enfin terminée. Mais si vous trouvez votre PC encore trop lent, peut-être que sa RAM est utilisées par des programmes inutiles (Ctrl+Alt+Suppr) pour voir en bas à droite la charge dédiée = RAM utilisée). Vous pouvez prendre alors le temps de configurer votre PC au démarrage en exécutant msconfig : toutes les infos sont sur https://www.vulgarisation-informatique.com/msconfig.php Mais un conseil perso, vérifier l’utilité de chaque programme avant de l’empêcher de démarrer automatiquement parce que certains vous aideront à démarrer plus vite certains logiciels très utilisés ou même se révèlent indispensables (communications_helper pour une webcam logitech par exemple) même si d’autres ne feront que ralentir votre ordi.
5) Bon, ben j’espère avoir aider quelques uns et voici un cadeau en plus :
(lol plutôt réalisé pour mes colocs parlant mieux Anglais que Français) la version anglaise avec toutes les erreurs de traduction qui vont avec mon niveau d’anglais !
How to disinfect the computer from the worm Brontok-I ?
I have not found a virus disinfection tool for this version of Brontok so I present that I have done to disinfect my computer. Sorry for my English but I am French. And I am not a professional so there may have some missing things even if my computer works well now!
6) Putting into quarantine of the infected files thanks to an anti-virus
I have used Avast4 Home Edition which is a free anti-virus available from https://www.avast.com/fr-fr/free-antivirus-download .
You should do first a scan (thorough mode) before the start of the windows log and one after if you have not found all the following files:
Below you have the infected files created by Bontok-I and found by Avast4 on my computer :
(NB : « all user » is really for « all user » whereas « user » is the name of your computer)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8figures%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 figures%-Nendangbro.com
C:\Documents and settings\%directory to a shared folder%\name of this folder.exe (if you like sharing, you will have a lot of infected files...)
To search the files manually, the option “Show hidden files and folders” must be activated (in Tools->Folder Options->View of Explorer if Brontok have not deactivated this option)
NB to avoid to stay in front of the computer in order to put each infected file into quarantine : before the start of windows, enter 6 to put all infected files into quarantine or when the your are logged, check the case “Don’t show this message again” and put into quarantine.
I haven’t found this file C:\Documents and settings\user\Local settings\application data\svchost.exe whereas I should had accorded to Sophos on the web page available from : http://www.sophos.com/security/analyses/w32brontoki.html
7) Reinitialize the registry keys modified by the virus
Two ways to execute the Registry Editor used for system configuration :
-Start->Run : open regedit
-C:\Windows\regedit.exe
Don’t modify if you don’t know what you are doing because otherwise, you may not be able to start windows…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Delete (right clic on the name of the key, delete) the both following keys which start br%4 figures.exe at Rakyatkelaparan.exe at the start of Windows:
Directory: HKLM\System\CurrentControlSet\Control\SafeBoot
Name of the registry key: AlternateShell
Data: cmd-brontok.exe
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus
Data: %nothing%
Delete also the both following keys if you find them, I haven’t found them on my computer:
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus-%4figures%
Data: C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
Directory: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Bron-spizaetus
Data: C:\windows\shellnew\rakyatkelaparan.exe
Modify (right clic on the name of the key, modify) the data of the following registry key which allows the start of Explorer:
Directory: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name of the registry key: Shell
Modified data by Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
New data to enter: Explorer.exe
The four following keys just deal with the configuration of Explorer:
Directory: HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Name of the registry key: NoFolderOptions (controls the display of “Folder Options” in the menu “Tools”)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:ShowSuperHidden (controls whether the normally hidden operating system files should be displayed when using explorer to browse the file system)
Modified data by Brontok-I : 0 (hides)
New data to enter to reactivate the option: 1 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:HideFileExt ( controls the display of File extensions)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:Hidden (controls the display of the hidden files and folders in the registry)
Modified data by Brontok-I : 0 (I don’t know, 2 should hiding)
New data to enter to reactivate the option: 1 (displays)
Brontok-I desactivated the Windows Task Manager:
Directory: HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableCMD
Modified data by Brontok-I: 0
New data to enter to reactivate the option: 1
Brontok-I should normally also desactivate regedit but I haven’t found this key on my computer :
Directory:HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableRegistryTools
Modified data by Brontok-I : 0
New data to enter to reactivate the option: 1
8) Delete traces of Brontok
-Search all the files whose name contains « Bro » dans le nom (Find->search->For files and folder : indicate the date to do it quicker) and delete them: I have found for example in the following directory
C:\Documents and settings\user\Local settings\application data\
the files Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
and the folders OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-Just one tip to do every months: empty the prefetch by deleting the files in C:\Windows\Prefetch: see more information onhttps://searchenterprisedesktop.techtarget.com/tip/Empty-the-prefetch-folder
9) Restart in order to see the effects of changes in the registry and in the prefetch
After checking all is alright and putting in quarantine all the infected files, you can delete the last ones. It is the end of the disinfection of Brontok-I. But if you find your PC always too slow, try msconfig to check if there are not useless programs which are running since the start: http://www.netsquirrel.com/msconfig/ for more information.
I hope to have helped somebody!
Peut-être que ce doc pour eliminer une version (qui je crois est plus récente que la version A) pourrait t'aider:)
Comment se débarrasser pas à pas du virus Brontok-I ?
N’ayant pas trouvé d’outil de désinfection de virus pour cette version de Brontok, voici ce que j’ai fait pour complètement m’en débarrasser (enfin, c’est ce que je crois mais je ne suis pas une pro ;)
1) Mise en quarantaine de tous les fichiers infectés grâce à un anti-virus.
J’ai utilisé Avast4 édition familiale qui est un anti-virus gratuitement téléchargeable depuis https://www.avast.com/fr-fr/free-antivirus-download .
Il faut d’abord réaliser un scan (mode minutieux) avant le démarrage de la session windows pour désactiver le virus qui s’autocopie automatiquement dans tous les dossiers partagés dans un dossier.exe du même nom. Sinon, vous pouvez vous amusez à retrouver en quarantaine plusieurs fois le même fichier… Réaliser un scan (mode minutieux) après si vous n’avez pas trouvé les fichiers suivants. N’oubliez pas de faire « afficher les fichiers et les dossiers cachés » pour trouver les fichiers manuellement (dans Outils->Options des dossiers->affichage d’Explorer si Brontok n’a pas désactivé cette option sur votre ordi).
Voici les fichiers qui ont été infectés sur mon ordinateur dans l’ordre trouvé par Avast4 :
(NB : « all user » est vraiment « all user » alors que « user » est le nom de votre machine)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8chiffres%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 chiffres%-Nendangbro.com
C:\Documents and settings\%chemin d’accès à un dossier partagé%\nom de ce dossier.exe (ce dernier chemin peut correspondre à de nombreux fichiers si vous avez le sens du partage… ;)
NB pour éviter de rester planter devant son ordi pour mettre chaque fichier en quarantaine dans avast : avant le démarrage de windows appuyer sur 6 pour mettre tout en quarantaine ou lorsque la session est ouverte, cocher la case ne plus afficher ce message et mettre en quarantaine.
J’ai pas trouvé le fichier C:\Documents and settings\user\Local settings\application data\svchost.exe pourtant indiqué en plus par Sophos sur la page web suivante : http://www.sophos.com/security/analyses/w32brontoki.html
2) Remettre comme avant les clés de registres changées par le virus
Deux manières d’accéder à l’éditeur de registres (gere la configuration du système) :
-démarrage->exécuter : ouvrir regedit
-C:\Windows\regedit.exe
Vous pouvez naviguer dans l’arbre sur la gauche pour accéder aux différents dossiers contenant les clés concernées. Mais attention à ne toucher au registre qu’en connaissance de cause sinon, ce n’est même plus sûr que vous puissiez démarrez…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Supprimer (clic droit sur le nom de la clé, supprimer) les deux clés suivantes qui lancent br%4 chiffres.exe at Rakyatkelaparan.exe au démarrage :
Chemin d’accès : HKLM\System\CurrentControlSet\Control\SafeBoot
Nom de la clé : AlternateShell
Données : cmd-brontok.exe
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus
Données : %rien%
Supprimer aussi les deux clés suivantes si vous les trouvez, je ne les ai pas trouvées sur mon ordi :
Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Tok-Cirrhatus-%4chiffres%
Données : C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
Chemin d’accès : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nom de la clé : Bron-spizaetus
Données : C:\windows\shellnew\rakyatkelaparan.exe
Changer les données (clic droit sur le nom de la clé, modifier)de la clé suivante qui permet de lancer explorer (ne pas mettre 0 sinon dire au revoir à la barre des tâches, au raccourci toucheDémarrer+E pour le poste de travail et bonjour au regedit qu’on peut lancer aussi depuis le gestionnaire des tâches (Ctrl+Alt+Suppr)) :
Chemin d’accès : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la clé : Shell
Données modifiées par Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
Nouvelles données à mettre : Explorer.exe
Pour les clés suivantes, il ne s’agit que de modifications de configurations mais qui peuvent empêcher un accès facile à certaines fonctionnalités. Et les remodifier peut être donc utile (clic droit sur le nom de la clé, modifier, le mode hexadécimal ou décimal n’a pas d’importance pour 0 ou 1)
La clé suivante a été modifiée par Brontok-I en vue d’enlever la possibilité d’accéder aux « options des dossier » normalement disponible dans le menu « outils » de l’explorateur.
Chemin d’accès : HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Nom de la clé : NoFolderOptions
Données modifiées par Brontok-I : 1
Nouvelles données à mettre pour réactiver l’option : 0
Dans ce chemin d’accès suivant HKCU\software\microsoft\windows\currentversion\Explorer\advanced , les clés suivantes gérant des options d’Explorer ont été modifiées :
Nom de la clé : ShowSuperHidden (pour l’affichage des fichiers systemes pour les opérations en cours dans Explorer)
Données modifiées par Brontok-I : 0 (cache les fichiers)
Nouvelles données à mettre pour réactiver l’option : 1 (montre les fichiers)
Nom de la clé : HideFileExt ( pour les extensions des fichiers)
Données modifiées par Brontok-I : 1 (cache les extensions)
Nouvelles données à mettre pour réactiver l’option : 0 (affiche les extensions)
Nom de la clé : Hidden (pour l’affichage des dossiers et des fichiers caches dans le registre)
Données modifiées par Brontok-I : 0 (je sais pas, 2 doit empecher l’affichage)
Nouvelles données à mettre pour réactiver l’option : 1 (les affiche)
Brontok-I a désactivé le gestionnaire des tâches :
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableCMD
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
Brontok-I a aussi normalement désactivé regedit mais la clé (par chance je pense) n’existait pas sur mon ordinateur donc bon courage à ceux qui doivent trouver un autre moyen d’accéder aux clés du registre !
Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
Nom de la clé : DisableRegistryTools
Données modifiées par Brontok-I : 0
Nouvelles données à mettre pour réactiver l’option : 1
3) Effacer les petites traces de Brontok
-chercher tous les fichiers contenant « Bro » dans le nom (Démarrer->rechercher : affiner la recherche par date pour que ce soit plus rapide) et les effacer : j’ai trouvé par exemple dans C:\Documents and settings\user\Local settings\application data\
les fichiers Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
et les dossiers OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-vider le prefetch en supprimant les fichiers de C:\Windows\Prefetch : ça ne peut qu’accélérer votre PC selon http://www.laboratoire-microsoft.org/t/1401/ (à faire tous les mois ;)
4) Redémarrer pour que les changements des clés de registre et le prefetch vide soient pris en compte.
Après avoir vérifié que tout semble normal et que vous avez mis en quarantaine tous les fichiers infectés, vous pouvez supprimer ces derniers. C’est bon, la désinfection de Brontok-I est enfin terminée. Mais si vous trouvez votre PC encore trop lent, peut-être que sa RAM est utilisées par des programmes inutiles (Ctrl+Alt+Suppr) pour voir en bas à droite la charge dédiée = RAM utilisée). Vous pouvez prendre alors le temps de configurer votre PC au démarrage en exécutant msconfig : toutes les infos sont sur https://www.vulgarisation-informatique.com/msconfig.php Mais un conseil perso, vérifier l’utilité de chaque programme avant de l’empêcher de démarrer automatiquement parce que certains vous aideront à démarrer plus vite certains logiciels très utilisés ou même se révèlent indispensables (communications_helper pour une webcam logitech par exemple) même si d’autres ne feront que ralentir votre ordi.
5) Bon, ben j’espère avoir aider quelques uns et voici un cadeau en plus :
(lol plutôt réalisé pour mes colocs parlant mieux Anglais que Français) la version anglaise avec toutes les erreurs de traduction qui vont avec mon niveau d’anglais !
How to disinfect the computer from the worm Brontok-I ?
I have not found a virus disinfection tool for this version of Brontok so I present that I have done to disinfect my computer. Sorry for my English but I am French. And I am not a professional so there may have some missing things even if my computer works well now!
6) Putting into quarantine of the infected files thanks to an anti-virus
I have used Avast4 Home Edition which is a free anti-virus available from https://www.avast.com/fr-fr/free-antivirus-download .
You should do first a scan (thorough mode) before the start of the windows log and one after if you have not found all the following files:
Below you have the infected files created by Bontok-I and found by Avast4 on my computer :
(NB : « all user » is really for « all user » whereas « user » is the name of your computer)
C:\Program Files\Avast4data\moved\[MEW].vir
C:\Documents and settings\user\Local settings\application data\winlongon.exe
C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
C:\windows\kesenjangansosial.exe
C:\windows\shellnew\rakyatkelaparan.exe
C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8figures%.tmp
C:\Documents and settings\user\Local settings\application data\csrss.exe
C:\Documents and settings\user\Local settings\application data\inetinfo.exe
C:\Documents and settings\user\Local settings\application data\services.exe
C:\Documents and settings\user\Local settings\application data\lsass.exe
C:\Windows\System32\cmd-brontok.exe
C:\Windows\System32\User’s setting.scr
C:\Documents and settings\user\modèles\%4 figures%-Nendangbro.com
C:\Documents and settings\%directory to a shared folder%\name of this folder.exe (if you like sharing, you will have a lot of infected files...)
To search the files manually, the option “Show hidden files and folders” must be activated (in Tools->Folder Options->View of Explorer if Brontok have not deactivated this option)
NB to avoid to stay in front of the computer in order to put each infected file into quarantine : before the start of windows, enter 6 to put all infected files into quarantine or when the your are logged, check the case “Don’t show this message again” and put into quarantine.
I haven’t found this file C:\Documents and settings\user\Local settings\application data\svchost.exe whereas I should had accorded to Sophos on the web page available from : http://www.sophos.com/security/analyses/w32brontoki.html
7) Reinitialize the registry keys modified by the virus
Two ways to execute the Registry Editor used for system configuration :
-Start->Run : open regedit
-C:\Windows\regedit.exe
Don’t modify if you don’t know what you are doing because otherwise, you may not be able to start windows…
HKEY_CURRENT_USER = HKCU
HKEY_LOCAL_MACHINE = HKLM
Delete (right clic on the name of the key, delete) the both following keys which start br%4 figures.exe at Rakyatkelaparan.exe at the start of Windows:
Directory: HKLM\System\CurrentControlSet\Control\SafeBoot
Name of the registry key: AlternateShell
Data: cmd-brontok.exe
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus
Data: %nothing%
Delete also the both following keys if you find them, I haven’t found them on my computer:
Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Tok-Cirrhatus-%4figures%
Data: C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
Directory: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name of the registry key: Bron-spizaetus
Data: C:\windows\shellnew\rakyatkelaparan.exe
Modify (right clic on the name of the key, modify) the data of the following registry key which allows the start of Explorer:
Directory: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name of the registry key: Shell
Modified data by Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
New data to enter: Explorer.exe
The four following keys just deal with the configuration of Explorer:
Directory: HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
Name of the registry key: NoFolderOptions (controls the display of “Folder Options” in the menu “Tools”)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:ShowSuperHidden (controls whether the normally hidden operating system files should be displayed when using explorer to browse the file system)
Modified data by Brontok-I : 0 (hides)
New data to enter to reactivate the option: 1 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:HideFileExt ( controls the display of File extensions)
Modified data by Brontok-I : 1 (hides)
New data to enter to reactivate the option: 0 (displays)
Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
Name of the registry key:Hidden (controls the display of the hidden files and folders in the registry)
Modified data by Brontok-I : 0 (I don’t know, 2 should hiding)
New data to enter to reactivate the option: 1 (displays)
Brontok-I desactivated the Windows Task Manager:
Directory: HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableCMD
Modified data by Brontok-I: 0
New data to enter to reactivate the option: 1
Brontok-I should normally also desactivate regedit but I haven’t found this key on my computer :
Directory:HKCU\software\microsoft\windows\currentversion\Policies\System
Name of the registry key:DisableRegistryTools
Modified data by Brontok-I : 0
New data to enter to reactivate the option: 1
8) Delete traces of Brontok
-Search all the files whose name contains « Bro » dans le nom (Find->search->For files and folder : indicate the date to do it quicker) and delete them: I have found for example in the following directory
C:\Documents and settings\user\Local settings\application data\
the files Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
and the folders OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.
-Just one tip to do every months: empty the prefetch by deleting the files in C:\Windows\Prefetch: see more information onhttps://searchenterprisedesktop.techtarget.com/tip/Empty-the-prefetch-folder
9) Restart in order to see the effects of changes in the registry and in the prefetch
After checking all is alright and putting in quarantine all the infected files, you can delete the last ones. It is the end of the disinfection of Brontok-I. But if you find your PC always too slow, try msconfig to check if there are not useless programs which are running since the start: http://www.netsquirrel.com/msconfig/ for more information.
I hope to have helped somebody!
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 mai 2007 à 16:15
7 mai 2007 à 16:15
Bonjour,
l'outil que j'ai proposé au post 2 traite environ 350 variantes différentes de W32/Rontokbro (nomenclature de virus de Norman).
@+
l'outil que j'ai proposé au post 2 traite environ 350 variantes différentes de W32/Rontokbro (nomenclature de virus de Norman).
@+
