infection par brastk.exe Fermé

Question

Bonjour,
j'ai besoin de votre aide pour éradiquer le virus brastk.exe de mon ordi. J'ai une croix rouge dans la barre des tâches, en bas à droite, qui m'indique sans cesse que mon ordi est infecté!!! De plus des fenêtres intempestives en anglais s'ouvrent. J'ai fait une analyse avec avg antivirus free qui me détecte bien ce virus. Comment l'éradiquer complètement?
Merci de votre aide et bonne soirée....

Superaure · Answer

Ctrl + Alt + Suppr ==> Processus ==> Click sur le processus brastk.exe et click sur Terminer le processus.

Puis tu installe Avast! et tu programme un scan au démarrage =)

fafabrice · Answer

ouaouh!! merci de la rapidité. Je fais effectuer les manipulations proposées et je vous dit ce qu'il en est!!

Superaure · Answer

En espérant que ça marche ^^

fafabrice · Answer

excusez moi mais avant d'installer avast je dois bien supprimer avg pour éviter les conflits ?
Merci

totobetourne · Answer

bonjour

fait cela meme si les pubs partent cela ne veut pas dire que tu es completement desinfecte, il faudra le verifier un peu plus.


colle tout les rapports comme cela on avance mieux et plus vite.

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.


Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.

totobetourne · Answer

avg antivirus plus performant qu avast. ca c est du sur.faut venir voir les topics et rempli d avast accompagne du pare feu windows(c est la deglingue).

fafabrice · Answer

voila  j'ai stoppé le processus et oh!miracle j'ai plus la croix rouge!!!Mais est ce pour autant qu'il n'est plus présent?
Dois je quand même télécharger avast ?
Merci

fafabrice · Answer

j'ai arrêter le processus et oh!miracle je n'ai plus la croix rouge!!!Dois je quand même télécharger avast et suivre le rest e du processus que vous demandez ? Merci beaucoup...

Superaure · Answer

Si tu reste juste en arrêtant le processus, il risque de redémarrer à chaque fois que tu allume ton ordi donc vaut mieux supprimer la source =)

totobetourne · Answer

pas d avast tu as deja un antivirus.regle un seul pare feu et un seul antivirus actif sur un pc.

une fois le processs arrete c est bien et au prochain demarrage qu en est il?

fafabrice · Answer

Donc pas besoin d'avasst ?  Je le télécharge quand même au cas où mais ne le démarre pas pour l'instant. J'attends la fin du téléchargement puis j'éteins et rallume et je vous dit si la croix revient!!!!Croisons les doigts pour que ce soit le  cas mais ce serait tellement simple que ca fait peur!!!!

Superaure · Answer

Elle reviendra... j'en suis quasiment sur ^^

totobetourne · Answer

tu comprends pas.


PAS AVAST . INUTIL CAR TU AS DEJA UN MEILLEUR ANTIVIRUS POUR L INSTANT.

FAIT COMME AU MESSAGE 5.et colle le rapport obtenu.

fafabrice · Answer

Pardon mais si si j'avais bien compris : pas 2 antivirus!!! Mais peut-être que avast est plus efficace que avg ? Je n'ai plus eu la croix mais chaque fois que je redémarre mon AVG a un point d'exclamation me signalant que les maj ne sont pas effectuées alors que si!!!

Voici le rapport smitfraudfix. Merci
SmitFraudFix v2.374

Rapport fait à 18:15:33,06, 12/11/2008
Executé à partir de C:\Documents and Settings\MAMAT\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\MAMAT\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MAMAT


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MAMAT\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MAMAT\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MAMAT\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="avgrsstx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Palladia 300/400 Usb Adsl Modem - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CEDD9B80-2583-4CD1-9CCE-9F443AADEB51}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CEDD9B80-2583-4CD1-9CCE-9F443AADEB51}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CEDD9B80-2583-4CD1-9CCE-9F443AADEB51}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonne lecture

fafabrice · Answer

j'espère que vous n'êtes pas fâché, si tel est le cas je m'excuse de vous avoir blessé!!!J'espère que vous me répondrez quand même...
Bonne soirée

totobetourne · Answer

smitfraud n a rien trouve. on va regarder avec un champ plus grand.



telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.

fafabrice · Answer

Voici le rapport hijatckthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:23, on 12/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\DOCUME~1\MAMAT\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C427E746] c:\docume~1\mumut\bureau\driver~1.exe  /m="C:\DOCUME~1\MUMUT\Bureau\DRIVER~1.EXE" /k=""
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

fafabrice · Answer

au fait je ne suis pas sur le compte administrateur faut il que je fasse aussi un rapport sur ce compte ?
Merci

totobetourne · Answer

non pour ta question.

passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

Utilisateur anonyme · Answer

Salut,

déjà hijackthis et mal installer et de plus il a un vundo.

Bonne soirée.

@+

totobetourne · Answer

bien vu goldorak. comme cela vec MBAM peut etre plus rien.

Utilisateur anonyme · Answer

Re,

Attention vundo c'est combofix.

@+

gen-hackman · Answer

salut.........;hijackthis n'est pas conforme car exécuté et non installe............................;;



-----gen-hackman-----

totobetourne · Answer

fafabrice ou en es tu?

passe malwarebyte comme indique ,colle le rapport apres suppression.

apres on executera hijack d une bonne manniere.

il faut bien lire ce que l on t ecrit et moi je dois faire plus attention et te le stipuler des le debut.

a bientot comme on est pas seul , ecoute les conseils des autres helpeurs.

gen-hackman · Answer

J'ai un trou de lacune :

Ou voit on Vundo la-dedans ?

totobetourne · Answer

par l absence de ligne on se doute ou l on sait que c est vundo, donc comme je disais c est par son absence qu on le voit.

de toute facon il est pas bien dur a reperer tout de meme.

gen-hackman · Answer

quand on le vot je le repere mais....quand il est invisible......je ne suis assez experimente pour cette finesse du reperage.......................................bonne soiree.................;;

totobetourne · Answer

l important c est de le retirer .colle le rapport ou utilise combo fix si tu preferes mais les rapports,

Infection par brastk.exe

28 réponses

Discussions similaires