Se connecter / S'enregistrer
Votre question

Win32.Worm.Brontok (2 objets) "résolu"

Tags :
  • Disque dur externe
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Août 2011 21:25:53

Bonjour,
mon disque dur externe est infecté par Win32.Worm.Brontok.
mon Ad-Aware, à jour, l'a détecté.
"2 objets"
J'ai pu le supprimer
puis je l'ai supprimé dans la quarantaine.
J'ai redémarré l'ordinateur.
Je pensais en avoir terminé.
Je scanne juste après mon disque dur externe pour m'assurer que tout va bien.
Eh bien non, Win32.Worm.Brontok est toujours là (2 objets).
J'ai refait plusieurs fois les opérations que je viens de décrire.
Même scénario, il est toujours là (malgré sa destruction !).
J'ai scanné mon disque dur externe avec AVG (à jour), qui ne trouve rien alors que Ad-Aware trouve Win32.Worm.Brontok.
JE NE CONNAIS PAS LE LANGAGE INFORMATIQUE
MERCI DE BIEN VOULOIR UTILISER DES TERMES SIMPLES

Autres pages sur : win32 worm brontok objets resolu

26 Août 2011 22:17:45

Win32.Worm.Brontok (2 objets)
a infecté l'un de mes deux disques durs externes connectés à mon ordinateur.
Ad-Aware Free (à jour) l'a détecté alors qu'AVG Free (à jour) n'a rien vu.
Ad-Aware Free constate que mon ordinateur n'est pas infecté à l'issue d'une "analyse intelligente". Je teste à nouveau mon ordinateur avec l'analyse "complète" d'Ad-Aware Free. Attendons...
JE SUPPRIME Win32.Worm.Brontok du disque dur externe infecté ainsi que de la quarantaine grâce à Ad-Aware Free.
Je redémarre mon ordinateur.
Je pense être tiré d'affaire.
Je fais aussitôt un scan de mon disque dur externe par Ad-Aware Free et, surprise, Win32.Worm.Brontok (2 objets) est de nouveau présent.
JE RECOMMENCE toutes ces opérations plusieurs fois de suite et à chaque fois, Win32.Worm.Brontok (2 objets) est encore là...
MERCI D'UTILISER UN LANGAGE SIMPLE CAR JE SUIS NEOPHYTE.
a b 8 Sécurité
27 Août 2011 11:01:52

Le sujet suivant a été fusionné à ce sujet par Guigui0001
  • Win32.Worm.Brontok
    Contenus similaires
    a c 548 8 Sécurité
    27 Août 2011 15:06:19

    Bonjour,

    Ce n'est surement pas Ad-Aware qui pourra te tirer de ce genre d'infection ;) 


    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    1) Télécharge UsbFix (de El Desaparecido et C_XX) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau

    [:_tom_:7]
    28 Août 2011 09:38:27

    Bonjour,
    Tout d'abord, merci d'avoir répondu.
    J'ai trouvé votre réponse hier soir,
    je réponds ce matin.

    Tout d'abord, je confirme que l'un de mes deux disques durs externes est bien infecté.
    Par 3 fois, j'ai détruit l'infection. A chaque fois, j'ai immédiatement rescanné avec Ad-Aware Free (j'ai vu qu'une nouvelle version est à télécharger) et à chaque fois, malgré sa "destruction", l'infection était encore là.
    J'ai alors débranché mon disque dur externe.
    (l'autre étant déjà débranché).
    Impossible de joindre la copie d'écran à ma réponse.

    Donc, commencer par sauvegarder des données :
    s'agit-il de celles du disque dur de l'ordinateur ou de celles du disque dur externe ?
    sur quel support ?
    Est-ce que je ne risque pas d'infecter un autre support en faisant cela ?

    A bientôt

    PIERREcemoiquiecrit

    PS que signifie "Activer la notification par courriel de La du sujet"
    a c 548 8 Sécurité
    28 Août 2011 09:47:20

    Re,

    Alors effectivement avec ce type d'infection par ver, utiliser un support amovible pour sauvegarder n'est pas recommandé ...
    - Soit pour vraiment le plus important, il faut utiliser des CD/DVD
    - Soit on passe ce préambule en gardant à l'idée qu'un plantage est toujours possible.

    Normalement la désinfection doit se passer sans souci, mais on préfère toujours prévenir.

    Citation :
    PS que signifie "Activer la notification par courriel de La du sujet"


    Cela signifie que tu seras averti par email dès qu'une nouvelle réponse sera posté dans ce sujet. ;) 



    Si tu es prêt, commence les deux procédures données dans ma réponse précédente et fournis-moi les rapports obtenu (en pensant comme indiqué à d'abord les hébergé sur cijoint)
    28 Août 2011 10:51:18

    J'ai téléghargé UsbFix
    Pour cela , j'ai cliqué sur Enregistrer
    Je n'ai pas eu de question pour savoir où je voulais l'enregistrer
    Il semble que ce soit fait, mais où ?
    a c 548 8 Sécurité
    28 Août 2011 11:01:37

    Re,

    Si c'est avec Internet Explorer et que tu es sous Windows 7, c'est dans ton dossier "téléchargement"

    (ouvre n'importe quel dossier puis dans le menu de gauche, sous "favoris" -> "téléchargements")

    Sinon effectue une recherche sur ton pc.
    Démarrer -> rechercher les programmes et fichiers
    28 Août 2011 11:42:48

    j'ai Windows XP
    j'utilise Google chrome
    J'ai fait une recherche
    j'ai trouvé UsbFix (en 2 exemplaires !) dans Downloads
    J'en ai supprimé un et vidé la corbeille
    J'ai coupé-collé l'autre et l'ai mis sur le bureau.

    Question pour la suite :
    faudra-t-il que je branche également mon second disque dur externe
    lequel n'est pas infecté selon Ad-Aware Free ?
    a c 548 8 Sécurité
    28 Août 2011 14:34:30

    Re,

    Si ce second disque dur n'a jamais été branché depuis le début de l'infection ou dans les jours avant, non c'est bon.

    Au pire on le testera ensuite.


    Lance USBFix comme décrit dans la procédure, puis OTL.

    Poste les liens des rapports hébergés.
    28 Août 2011 15:19:54

    Finalement, j'ai connecté les deux disques durs externes car ils étaient tous deux connectés au moment de l'infection
    voici copie du rapport
    _____________________________________________________________________________________


    ############################## | UsbFix 7.058 | [Recherche]

    Utilisateur: Rico (Administrateur) # RICOS [ ]
    Mis à jour le 24/08/2011 par El Desaparecido
    Lancé à 15:07:02 | 28/08/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Genuine Intel(R) CPU T2050 @ 1.60GHz
    CPU 2: Genuine Intel(R) CPU T2050 @ 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Désactivé /!\
    Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
    Antivirus: Lavasoft Ad-Watch Live! Antivirus [Enabled | Updated]
    Firewall: Sunbelt Kerio Personal Firewall 4.3.268 T [(!) Disabled]
    RAM -> 2038 Mo
    C:\ (%systemdrive%) -> Disque fixe # 54 Go (21 Go libre(s) - 38%) [] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 75 Go (66 Go libre(s) - 89%) [Documents] # NTFS
    H:\ -> Disque fixe # 466 Go (409 Go libre(s) - 88%) [My Passport] # NTFS

    ################## | Éléments infectieux |

    Présent! C:\RECYCLER\S-1-5-21-1644491937-1960408961-682003330-1004
    Présent! G:\RECYCLER\S-1-5-21-1644491937-1960408961-682003330-1004
    Présent! H:\RECYCLER\S-1-5-21-1644491937-1960408961-682003330-1004
    Présent! H:\RECYCLER\S-1-5-21-839522115-1993962763-1060284298-1003

    ################## | Registre |


    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{29ccc558-16ed-11df-90b2-0015c520a832}
    Shell\AutoRun\Command = D:\InstallTomTomHOME.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{556d9f68-d7d6-11df-8cfc-0015c520a832}
    Shell\AutoRun\Command = mi9al8rs.exe
    Shell\open\Command = mi9al8rs.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{565204c4-4d5f-11e0-8e09-0015c520a832}
    Shell\AutoRun\Command = D:\InstallTomTomHOME.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{bd26dd28-6da6-11df-915b-0015c520a832}
    Shell\AutoRun\Command = opdux.exe
    Shell\open\Command = opdux.exe


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    28 Août 2011 17:59:52

    J'ai retesté mon disque dur externe MY PASSEPORT, celui des deux qui est infecté.
    L'infection est toujours présente.
    Je l'ai à nouveau supprimée, mais je pense que cette "suppression" est inefficace.
    Faut-il que je télécharge la nouvelle version d'Ad-Aware Free ?
    a c 548 8 Sécurité
    28 Août 2011 18:12:39

    Re,

    L'infection à l'air limitée, tant mieux.

    Tu n'as pas eu le rapport extra.txt ?

    Pour suivre :

    1) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)

  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    [2010/04/21 13:29:54 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010/08/21 21:10:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010/11/21 12:26:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    [2010/12/21 19:30:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O33 - MountPoints2\{556d9f68-d7d6-11df-8cfc-0015c520a832}\Shell\AutoRun\command - "" = mi9al8rs.exe
    O33 - MountPoints2\{556d9f68-d7d6-11df-8cfc-0015c520a832}\Shell\open\Command - "" = mi9al8rs.exe
    O33 - MountPoints2\{bd26dd28-6da6-11df-915b-0015c520a832}\Shell\AutoRun\command - "" = opdux.exe
    O33 - MountPoints2\{bd26dd28-6da6-11df-915b-0015c520a832}\Shell\open\Command - "" = opdux.exe
    NetSvcs: qieki - File not found
    NetSvcs: intqvi - File not found
    NetSvcs: lcijpa - File not found
    NetSvcs: hqyzdciz - File not found
    NetSvcs: yysmd - File not found
    [9 C:\Documents and Settings\Rico\Mes documents\*.tmp files -> C:\Documents and Settings\Rico\Mes documents\*.tmp -> ]
    [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\Documents and Settings\Rico\Bureau\*.tmp files -> C:\Documents and Settings\Rico\Bureau\*.tmp -> ]

    :Commands
    [emptytemp]
    [emptyflash]
    [CLEARALLRESTOREPOINTS]
    [CREATERESTOREPOINT]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    28 Août 2011 18:28:23

    Non, je n'ai pas eu le rapport extra.txt
    je ne sais pas où le trouver

    je vais suivre toute la procédure que tu viens d'indiquer
    28 Août 2011 21:02:01

    voici le fichier Extra.txt
    je l'ai trouvé sur le bureau :
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijnFIZi...
    __________________________________________________________

    Lors de la suppression
    UsbFix arrive à 100%
    puis il plante l et ne génère pas de rapport

    j'ai eu la surprise de constater que mon disque dur s'était rempli
    et qu'il était saturé
    Pour faire de la place, il a fallu supprimer un fichier de 5 Go
    dans le dossier UsbFix
    28 Août 2011 21:15:45

    je viens de retester mon disque dur externe avec Ad-Aware Free
    L'infection est toujours là
    Je vais installer la version plus récente de Ad-Aware Free
    Peut-être sera-t-elle plus efficace ?
    a c 548 8 Sécurité
    28 Août 2011 22:40:44

    Re,

    L'infection à dû se propager le temps qu'on mettent en oeuvre les procédures ...

    Arrête avec ad-aware, je voulais pas te le dire maintenant, mais ce logiciel est obsolète et inefficace surtout, sur ce genre d'infection.
    Contentes-toi de mes procédures pour le moment, et ne fais rien d'autre comme je le préconisais dans le préambule.


    On va passer à un outil plus puissant alors.

    Télécharge CleanX-II (de sUBs) sur ton bureau.

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\


    Purge ta restauration système :

    XP : http://www.inforumatique.fr/forum/la-restauration-du-sy... (Fin du tuto)

    Vista/7 : http://www.inforumatique.fr/forum/post82670.html#p82670

  • Double clique sur CleanX-II.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur CleanX-II.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Valide le message d'avertissement
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!! (Cela peut prendre plussieurs minutes)

    Note : une erreur va s'afficher avant la fin du scan, c'est normal

  • Lorsque l'analyse est terminée, fais ceci pour faire apparaitre le rapport :
    -> Démarrer
    -> Exécuter
    -> tape exactement : %temp%/report.txt
    -> Valide avec "Entrée"

  • copie-colle son contenu dans ta prochaine réponse.
    28 Août 2011 23:24:51

    je ne comprend pas ce qu'il faut faire
    concernant le paragraphe
    "Purge ta restauration système"
    28 Août 2011 23:27:39

    j'ai téléchargé CleanX-II sur le bureau

    est-ce que je commence ?
    a c 548 8 Sécurité
    29 Août 2011 00:38:24

    Re,

    En fait l'infection se propage dans la restauration système, il convient donc de supprimer tous les points de restauration avant de passer l'outil.

    les lien sont des tutos selon ton Windows qui te montre comment purger (supprimer) ces points de restauration, à faire juste avant de lancer CleanX-II.
    29 Août 2011 09:33:34

    restauration impossible
    il n'y avait qu'une seule date possible
    28/8 à 19h46'44''
    Software distribution Service 3.0

    impossible d'aller dans les mois antérieurs

    et la restauration a échoué
    a c 548 8 Sécurité
    29 Août 2011 11:05:54

    Re,

    Holllllaaa bon on se calme et on reprend !!!

    Jamais je n'ai signalé de tenter une restauration système, il fallait "purger" : purger signifie supprimer tous les point puis en recréer un nouveau, vierge de l'infection qui avait atteint les précédent !!!

    Allez, laisse tomber cette étape, sinon on y arrivera jamais ...

    S'il te plait, je sais que cela parait compliqué, mais les procédure son détaillée au possible, si tu ne comprend pas, demande avant mais ne fait pas de choses inconsidérée ;) 


    Donc fais juste cela maintenant :

    Télécharge CleanX-II (de sUBs) sur ton bureau.

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\


  • Double clique sur CleanX-II.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur CleanX-II.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Valide le message d'avertissement
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!! (Cela peut prendre plussieurs minutes)

    Note : une erreur va s'afficher avant la fin du scan, c'est normal

  • Lorsque l'analyse est terminée, fais ceci pour faire apparaitre le rapport :
    -> Démarrer
    -> Exécuter
    -> tape exactement : %temp%/report.txt
    -> Valide avec "Entrée"

  • copie-colle son contenu dans ta prochaine réponse.


    29 Août 2011 16:05:15

    1) ce matin, j'ai sauvegardé, sur un 3ème disque dur externe,
    les documents personnels du disque dur externe My Passeport infecté
    et les documents personnels du disque dur de l'ordinateur

    2) suite à ton dernier message, j'ai créé un point de restauration
    à 15h 36' 42''
    son nom est Brontok

    3) j'ai lancé CleanX-II
    voici le lien vers le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201108/cij5rvhx...

    4) je ne fais rien d'autre avant ta réponse
    a c 548 8 Sécurité
    29 Août 2011 16:13:23

    Re,

    Tu as branché un disque sain ? hum ... il risque d'avoir été infecté alors ...


    Branche tous les disques/clés que tu as utilisé puis refait ceci :

    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    Ensuite fais ceci (toujours supports amovible branchés) :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    29 Août 2011 19:44:33

    j'ai scanné l'ordinateur et mes trois disques durs

    voici 3 documents : la copie d'écran et le rapport de Malwarebytes'
    http://www.cijoint.fr/cjlink.php?file=cj201108/cij0OoqK...
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijhoRnk...
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijvaL6T...

    j'ai supprimé l'infection puis l'ai supprimée dans la quarantaine de Malwarebytes'

    je suis surpris du résultat :
    je m'attendais à Brontok en plusieurs exemplaires
    je trouve "média" ???

    je ne vois pas d'infection sur mes disques durs
    (où alors je n'ai pas compris le rapport)

    il y a probablement une autre action à faire maintenant ?
    a c 548 8 Sécurité
    29 Août 2011 22:21:50

    Re,

    En fait le premier passage de l'outil qui avait bloqué avait quand même supprimé l'infection.

    L'infection trouvé par Malwarebyte's est différente, c'est un adware, un logiciel publicitaire, ce n'était pas méchant.

    On va juste finir le nettoyage là, mais l'infection est partie ;) 


    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    On supprimera ensuite les outils utilisé.
    a c 548 8 Sécurité
    30 Août 2011 10:00:48

    Re,

    Ad-Aware trouve l'infection qu'on a mis en quarantaine avec l'autre outil, elle n'est donc plus active et sera supprimée quand on videra la quarantaine.

    A la rigueur tu peux lui faire supprimer la dernière détection qu'il a trouvé, qui est une trace dans le registre, mais non dangereuse.

    Pour USBFix, il n'arrive pas à vider certain fichier qui sont des "corbeilles" (là ou les fichiers supprimé vont avant d'être effacé), en fait ce n'est pas infectieux, c'est une précaution qu'il prend, donc ce n'est pas grave qu'il n'y soit pas arrivé.

    Tu n'es plus infecté depuis le premier passage d'USBFix en fait.


    Pour terminer donc :


    1) Désinstalle USBFix :

  • Relance-le via le raccourci USBFix situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de USBFix -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

    2) Supprime le fichier CleanX-II.exe

    3) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Tu peux conserver Malwarebyte's si tu le souhaites pour des scans occasionnels, pense à le mettre à jour avant.


    4) Mise à jour des logiciels :

    Met à jour les programmes suivants :
    - Java vers la version 6 update 27
    - Adobe reader vers X (10.x) (vérifie que les anciennes versions sont supprimée)
    - AVG vers la version 2011
    - OpenOffice vers la version 3.3



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    30 Août 2011 14:19:32

    Tout d'abord, merci pour toute l'aide que vous m'avez apportée.
    Je vais faire les mises à jour et le test de vulnérabilité.
    Comme je n'ai fait ni consultation de site ni ouverture de mails douteux, la manière dont j'ai pu être infecté est pour moi une énigme.
    Je me pose la question de savoir comment réparer les modifications que ce ver a pu introduire dans mon ordinateur avant son éradication, s'il a corrompu des données personnelles et s'il a téléchargé des fichiers.
    a c 548 8 Sécurité
    30 Août 2011 14:35:04

    Re,

    Aucune des support amovible passé sur ton pc ne venait d'un autre pc ? ou a été branché à un autre pc ?
    C'est un ver il se propage par les supports amovible.

    Citation :
    Je me pose la question de savoir comment réparer les modifications que ce ver a pu introduire dans mon ordinateur avant son éradication, s'il a corrompu des données personnelles et s'il a téléchargé des fichiers.


    Normalement il n'y a plus rien de dangereux, le ver crée des fichier exécutable du nom des dossiers sur les supports infecté, ceux-là ont été supprimé.

    Tu as encore un quelconque symptôme ?
    30 Août 2011 17:37:59

    non,
    aucun support amovible branché sur mon PC ne venait d'un autre PC
    Je suis formel

    Mes données personnelles me semblent intactes.
    L'ordinateur fonctionne normalement.

    pour confirmation, je vais lancer un scan "complet" avec Ad-Aware Free : il peut voir même s'il ne peut pas corriger.

    Un détail, je n'ai pas trouvé
    "valider une meilleure réponse"
    a c 548 8 Sécurité
    30 Août 2011 18:23:42

    Re,

    J'avais oublié le p2p bien sûr et je vois que tu utilises :
    Citation :
    µTorrent



    Ne cherche pas "meilleure réponse" il n'apparait pas selon comment tu as ouvert le sujet.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS