Votre question
Fermé

[Résolu] Virus Brontok A norbet

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Août 2011 01:04:59

Bonsoir,

il y a plusieurs semaines, une page verte Brontok A s'est ouverte sur mon ordinateur. J'ai pensé que cela n'était pas grâve mais depuis une semaine, mon ordinateur ne veux pas s'allumer (la page reste noir). Parfois j'ai accès à internet quand la page verte s'ouvre mais n'est pas accès à mes fichiers, documents, images,...
Est-ce que cela est un VIRUS? Pensez-vous que je pourrais à nouveau avoir accès à mes dichiers, documents, images,...
Comment dois-je faire? Que dois-je faire?
PS: quand je télécharge quelque chose, mon ordinateur s'étteind automatiquement..

Merci d'avance !
Julien

Autres pages sur : resolu virus brontok norbet

31 Août 2011 01:19:34

SVP il me faut l'aide de personnes qui s'y connaisent bien en ordi...
Heeeeelp :( 
31 Août 2011 10:40:35

Bonjour
Citation :
PS: quand je télécharge quelque chose, mon ordinateur s'étteind automatiquement..

Tu récupères les outils suivants sur clé usb puis tu les mets sur le bureau du pc infecté:

1

Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

    ++

    ****
    2

    telecharge sur ton bureau http://support.kaspersky.com/downloads/utils/tdsskiller... , dezippe le et execute le , un rapport sera crée ici:

    C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

    tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller...

    o execute le , La fenêtre suivante va s'ouvrir::



    o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
    o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

    o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    o Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

    tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082...
    Contenus similaires
    31 Août 2011 23:00:24

    Bonjour, merci pour la réponse mais le problème est que je n'ai pas accès aux fichiers de mon ordinateur et ne peux donc rien mettre dans mon ordinateur.

    Julien
    1 Septembre 2011 10:18:49

    Bonjour
    tu as essayé en mode sans echec?
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    5 Avril 2012 12:45:52

    Bonjour, voilà j'ai récupérer le rapport et donc je te l'envoie si tu peux jeter un coup d'oeil et m'éclairer c'est du chinois pour moi merci!



    Sham_Rock a dit :
    Bonjour
    Citation :
    PS: quand je télécharge quelque chose, mon ordinateur s'étteind automatiquement..

    Tu récupères les outils suivants sur clé usb puis tu les mets sur le bureau du pc infecté:

    1

    Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

    ++

    ****
    2

    telecharge sur ton bureau http://support.kaspersky.com/downloads/utils/tdsskiller... , dezippe le et execute le , un rapport sera crée ici:

    C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

    tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller...

    o execute le , La fenêtre suivante va s'ouvrir::



    o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
    o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

    o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    o Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

    tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082...


  • ======System event log======

    Computer Name: VALLOTECH-PC
    Event Code: 7
    Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
    Record Number: 470
    Source Name: Disk
    Time Written: 20111018162415.782302-000
    Event Type: Erreur
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 7
    Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
    Record Number: 469
    Source Name: Disk
    Time Written: 20111018162413.801098-000
    Event Type: Erreur
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 7
    Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
    Record Number: 468
    Source Name: Disk
    Time Written: 20111018162411.773095-000
    Event Type: Erreur
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 7
    Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
    Record Number: 467
    Source Name: Disk
    Time Written: 20111018162408.715489-000
    Event Type: Erreur
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 137
    Message: Le gestionnaire des ressources de la transaction par défaut sur le volume \\?\Volume{2744042b-f99f-11e0-bed1-8dec48dbe2b5} a rencontré une erreur non renouvelable et n’a pas pu démarrer. Les données contiennent le code de l’erreur.
    Record Number: 453
    Source Name: Ntfs
    Time Written: 20111018154651.858753-000
    Event Type: Erreur
    User:

    =====Application event log=====

    Computer Name: VALLOTECH-PC
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 280
    Source Name: Microsoft-Windows-WMI
    Time Written: 20111018173127.000000-000
    Event Type: Erreur
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 1008
    Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Application demandée}.

    Record Number: 274
    Source Name: Microsoft-Windows-Search
    Time Written: 20111018173106.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-2568519642-4281583953-1574717887-1000:
    Process 416 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2568519642-4281583953-1574717887-1000

    Record Number: 259
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20111018172828.756474-000
    Event Type: Avertissement
    User: AUTORITE NT\Système

    Computer Name: VALLOTECH-PC
    Event Code: 1008
    Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Réinitialisation totale de l’index}.

    Record Number: 141
    Source Name: Microsoft-Windows-Search
    Time Written: 20111018154139.000000-000
    Event Type: Avertissement
    User:

    Computer Name: VALLOTECH-PC
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 135
    Source Name: Microsoft-Windows-WMI
    Time Written: 20111018153956.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: 37L4247F27-25
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : Système
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 5
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20111018153348.758876-000
    Event Type: Succès de l’audit
    User:

    Computer Name: 37L4247F27-25
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : 37L4247F27-25$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : Système
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x1cc
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 4
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20111018153348.758876-000
    Event Type: Succès de l’audit
    User:

    Computer Name: 37L4247F27-25
    Event Code: 4902
    Message: La table de stratégie d’audit par utilisateur a été créée.

    Nombre d’éléments : 0
    ID de la stratégie : 0x55f7c
    Record Number: 3
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20111018153340.272461-000
    Event Type: Succès de l’audit
    User:

    Computer Name: 37L4247F27-25
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-0-0
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 0

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : Système
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x4
    Nom du processus :

    Informations sur le réseau :
    Nom de la station de travail : -
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : -
    Package d’authentification : -
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 2
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20111018153337.511256-000
    Event Type: Succès de l’audit
    User:

    Computer Name: 37L4247F27-25
    Event Code: 4608
    Message: Windows démarre.

    Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
    Record Number: 1
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20111018153337.308455-000
    Event Type: Succès de l’audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Windows Live\Shared
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=AMD64
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
    "NUMBER_OF_PROCESSORS"=4
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 37 Stepping 2, GenuineIntel
    "PROCESSOR_REVISION"=2502
    "windows_tracing_logfile"=C:\BVTBin\Tests\installpackage\csilogfile.log
    "windows_tracing_flags"=3

    -----------------EOF-----------------
    5 Avril 2012 21:11:31


    Vous avez besoin d'aide?

    Créez vos sujets, on ne répondra pas sur celui-ci.
    C'est très simple, il suffit de cliquer sur ce bouton:
    Une équipe de Helpers bénévoles vous prendra en charge rapidement.
    http://www.infos-du-net.com/forum/id-2108643/creer-nouv...


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS