Virus "about.Brontok.A"

Fermé
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008 - 21 juil. 2008 à 21:05
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 1 août 2008 à 21:15
Bonjour,
j'ai le virus about.Brontok.A qui me soule !!!
voici les symptomes :
- lancement de vista a l'aide du "gestionnaire de tache", faut que je tape explorer.exe
- telechargement impossible, l'ordi redemarre seul
- dans le dossier msconfig, il y a : "Bron-Spizaetus", "Tok-cirhatus-2058", "empty" qui sont cocher pour le démarrage et qui revient a chaque fois meme en les décochant.
- dans mon dossier Image il y a le fameux "about.Brontok.A"

j'ai eu ce probleme a partir du moment ou j'ai mis une clef USB dans mon ordi. 1 jour apres ca a commencer les problemes.

C'est grave docteur ?

je suis entrain de faire un rapport BITdefender en ligne. est ce deja une bonne initiative ?
A voir également:

72 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
24 juil. 2008 à 19:41
Bonjour à tous,

j'ai l'impression que le premier outil anti brontok n'a pas suffit.

Le meilleur outil que je connaisse est Clean XII de sUBs :

Galomert, si la dernière manip de jlpjlp ne donne rien, essaye ça

Télécharge CleanX-II de sUBs (merci mOe) ici :

http://download.bleepingcomputer.com/sUBs/CleanX-II.exe

Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.
Désactive puis réactive ta restauration système.
Clic droit sur CleanX-II.exe et "exécuter en mode administrateur" pour démarrer la réparation (UAC désactivée).
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci :
Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.

Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre à nouveau le rapport avec la méthode ci-dessus et copie le dans ta réponse. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

Si le .exe échoue, j'ai encore un outil sous le coude. Mais il faudra que tu donnes le nom de toutes les sessions existantes sur l'ordi.
2
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
28 juil. 2008 à 23:37
Re,

comme ça :

Ouvre ce lien :

http://ww25.evosla.com/pca.php

Avec son aide :

- télécharge et installe PCA Sécurité par Evosla

- scanne ton ordi et poste le rapport dans ta réponse.
2
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 23:53
Re,

une petite erreur dans le script (qui fera qu'une clé et un fichier ne vont pas se supprimer).

Merci à sKe69 de l'avoir signalé.

Remplace le script ci-dessus par :

File::
C:\Windows\ShellNew\RakyatKelaparan.exe
C:\Users\Corrado\AppData\Local\br5139on.exe
C:\Windows\MS32DLL.dll.vbs
C:\Windows\system32\kjshsvsr.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bron-Spizaetus]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus-2058]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MS32DLL]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mijwyefd]


RenV::
C:\SWSetup\SP34746\WCAMC\FW_210_Silence Install .exe
1
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 août 2008 à 18:55
Salut,
pour avancer en attendant le retour de DIID ( car Lyonnais92 est partis en vaccance ... ) =)

A ) Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\SwSetup\SP34746\WCAMC\FW_210_Silence Install .exe

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Une fois ce rapport posté , enchaines par ce-ci :

B ) Supprimes le CFScript que tu as et on va en faire un nouveau :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]

File::
C:\Program Files\Search Settings\SearchSettings.exe

Folder::
C:\Program Files\Search Settings

DirLook::
C:\327882R2FWJFW




Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cruchot10 Messages postés 262 Date d'inscription lundi 14 juillet 2008 Statut Membre Dernière intervention 8 novembre 2008 27
21 juil. 2008 à 21:25
bonsoir

oui cest deja bien revient sur le forum posté le résulat
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
21 juil. 2008 à 21:28
slt,

scan avec ceci: specialement concu par bitdefender pour brontok A

https://www.bitdefender.fr/premium-services/virus-and-spyware-removal.html
___________________


puis par rapport a ta clé:


1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

____________________

puis pour verifier:


colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
21 juil. 2008 à 21:36
ok je scan avec votre lien merci de repondre si rapidement ! vous gerez ! je poste mon scan des que ca fini
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
21 juil. 2008 à 21:40
jlpjlp, votre lien me ramene a un outil de suppression. lorsque je clik dessu ca me ramene a une page de telechargement du logiciel bitdeffender.
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
21 juil. 2008 à 21:46
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
22 juil. 2008 à 01:48
c'est normal que le test dure depuis 5 H maintenant et ets toujours pas fini ??? "
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 juil. 2008 à 09:19
si ton disque est plein cela peut etre normal
sinon essaye de refaire le scan en mode sans echec (demarraer l'ordi en appuyant plusisuers fois sur F8 en général)


puis


puis par rapport a ta clé:


1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­tor.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

____________________

puis pour verifier:


colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools­/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/d­emohijack.htm
http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
22 juil. 2008 à 11:27
voici le rapport bitdefendert je doi faire quoi ?

BitDefender Online Scanner



Scan report generated at: Tue, Jul 22, 2008 - 04:59:31





Scan path: C:\;D:\;F:\;







Statistics

Time
01:24:16

Files
269432

Folders
17429

Boot Sectors
3

Archives
4288

Packed Files
22681




Results

Identified Viruses
2

Infected Files
16

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
13




Engines Info

Virus Definitions
1382391

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
43

Unpack plugins
7

E-mail plugins
6

System plugins
5




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Users\Corrado\AppData\Local\br5139on.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\br5139on.exe
Deleted

C:\Users\Corrado\AppData\Local\csrss.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\csrss.exe
Deleted

C:\Users\Corrado\AppData\Local\inetinfo.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\inetinfo.exe
Deleted

C:\Users\Corrado\AppData\Local\lsass.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\lsass.exe
Disinfection failed

C:\Users\Corrado\AppData\Local\lsass.exe
Delete failed

C:\Users\Corrado\AppData\Local\services.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\services.exe
Disinfection failed

C:\Users\Corrado\AppData\Local\services.exe
Delete failed

C:\Users\Corrado\AppData\Local\smss.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\smss.exe
Deleted

C:\Users\Corrado\AppData\Local\svchost.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\svchost.exe
Deleted

C:\Users\Corrado\AppData\Local\winlogon.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\AppData\Local\winlogon.exe
Disinfection failed

C:\Users\Corrado\AppData\Local\winlogon.exe
Delete failed

C:\Users\Corrado\Documents\Documents.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\Documents\Documents.exe
Deleted

C:\Users\Corrado\Documents\My Music\CDDB\CDDB.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\Documents\My Music\CDDB\CDDB.exe
Deleted

C:\Users\Corrado\Documents\My Music\CDDB\misc\misc.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\Documents\My Music\CDDB\misc\misc.exe
Deleted

C:\Users\Corrado\Documents\My Music\CDDB\Status\Status.exe
Infected with: Backdoor.Hupigon.ADI

C:\Users\Corrado\Documents\My Music\CDDB\Status\Status.exe
Deleted

C:\Users\Corrado\Pictures\about.Brontok.A.html
Infected with: Worm.Brontok.HTML.A

C:\Users\Corrado\Pictures\about.Brontok.A.html
Disinfection failed

C:\Users\Corrado\Pictures\about.Brontok.A.html
Deleted

C:\Windows\KesenjanganSosial.exe
Infected with: Backdoor.Hupigon.ADI

C:\Windows\KesenjanganSosial.exe
Deleted

C:\Windows\ShellNew\RakyatKelaparan.exe
Infected with: Backdoor.Hupigon.ADI

C:\Windows\ShellNew\RakyatKelaparan.exe
Deleted

C:\Windows\System32\cmd-brontok.exe
Infected with: Backdoor.Hupigon.ADI

C:\Windows\System32\cmd-brontok.exe
Deleted
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 juil. 2008 à 11:28
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­­tor.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

____________________

puis pour verifier:


colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools­­/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/d­­emohijack.htm
http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­­ion-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
22 juil. 2008 à 11:58
L'antivirus Esiolva m'a supprimer 4 virus (autorun principalement) et a la fin du test il ma marqué qu emon rdi est sain mais pas de log.

pour Flash_Disinfector, je le demarre, les icones partent et ensuite il y a une fenetre ou il y a marqué "Done!!!", pas de log non plus. par contre j'ai été obliger, pour réafficher mon bureau a le faire a partir du "gestionnaire"-"nouvelle tache"-"explorer.exe" est ce normal ?

je fais un hijactis ?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 juil. 2008 à 13:04
ok c'est parfait
oui remet un hijackhtis


https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html



et dis tes soucis actuels
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
22 juil. 2008 à 13:53
le moindre liens en rapport avec hijactis, mon ordi redemarre seul lorsque je clique. j'ai toujours le meme probleme de demarrag de mon pc (obliger de passer par le gestionnaire - nouvelle tache - explorer.exe.

je vais telecharger hijactis sur un autre pc, je fais un test et je le poste merci
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 juil. 2008 à 13:55
scan avec malwarebyte, colle le rapport obtenu et vire tout ce qui est trouvé puis refais hijackhtis

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
22 juil. 2008 à 22:32
je poste le rapport demain apres car je bosse demain matin
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 juil. 2008 à 22:41
bonsoir vous deux ;

pour suivre .....
0
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008
23 juil. 2008 à 17:36
j'ai telecharger hijactis mais mon orid ne veut pas l'installer. il redemmare des que je veux cliker sur suivant. j'ai commencer un examen avec Malwarebytes'. je le poste des que c fini. j'ai deja 17 clef registre infecter ! a toute !!
0