Comment supprimer Brontok ?

Septembre 2016


Qu'est-ce que l'infection Brontok ?

Il en existe plusieurs variantes. Elle sont parfois nommées: W32/Rontokbro.gen@MM, W32.Rontokbro@mm, Worm/Brontok.a, Email-Worm.Win32.Brontok.a, Win32.Stration, Win32.Rontokbro.H, TR/Crypt.CFI.Gen, ....

Brontok est un ver de messagerie qui s'envoie aux adresses récupérées depuis l'ordinateur infecté.
  • Il peut se propager par Email , Peer to Peer, support externe (clé usb, disque dur externe, cd ...)
  • S'envoie aux adresses des carnets d'adresses Outlook
  • Modifie les données présentes sur l'ordinateur
  • S'installe dans le Registre
  • Peut bloquer l'accès à certains sites web
  • Peut bloquer l'accès aux sites web de sécurité
  • Peut arrêter les applications de sécurité
  • Télécharge des fichiers



Exemple de log avec HijackThis :

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"


Exemple d'infection Brontok retrouvée:
C:\WINDOWS\KesenjanganSosial.exe = Worm.Brontok.c       
C:\WINDOWS\shell\NewRakyatKelaparan.exe= Worm.Brontok.c
C:\WINDOWS\system32\cmd-brontok.exe= Worm.Brontok.c
C:\WINDOWS\system32\user's Setting.scr= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\services.exe= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe= Worm.Brontok.c
C:\WINDOWS\eksplorasi.exe= Worm.Brontok.d

Préliminaires

  • Important 1, Si vous avez Vista ou 7 :
  • Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :


Méthodes de désinfection

Plusieurs solutions sont envisageables:

Clean XII de sUBs

  • Téléchargez CleanX-II de sUBs (merci mOe) :
    • Déconnectez les accès à internet. Coupez tous les accès physiques (débranchement du modem, ...).
    • Fermez toutes les applications.
    • Désactivez puis réactivez la restauration système.
    • Clic droit sur CleanX-II.exe et "exécuter en mode administrateur" pour démarrer la réparation (UAC désactivée).
    • Cliquez OK lorsque vous recevez un message d'avertissement.
    • A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, faites ceci :
      • Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.
    • Si vous n'êtes pas à même d'analyser seul, le rapport n'hésitez pas à ouvrir un sujet ici en expliquant votre problème, puis en postant vos rapports.
    • Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relancez l'outil une nouvelle fois.
    • Ouvrez à nouveau le rapport avec la méthode ci-dessus et copiez-le dans le forum. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

MalwareBytes'



  • Installez le logiciel.
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Démarrez en mode sans échec.
  • Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs et unité externes.
  • Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)

Dr Web

  • Téléchargez DR. Web CureIt

ftp://ftp.drweb.com/pub/drweb/cureit/3f5nulxf.exe
  • Double-cliquez sur Launch.exe (icône d'araignée noire)
  • Sur la page qui s'affiche, choisissez "Commencer le scan".
  • Confirmez, au message qui demande confirmation pour effectuer l'analyse.
  • L'analyse démarre, s'il trouve des choses, mettez en quarantaine et/ou désinfectez.


Cela peut durer un petit moment.
  • Postez le rapport qui apparaîtra ou sera créé à côté (fichier texte) si cela vous l'a été demandé sur le forum..
  • En fermant, ne cliquez pas pour acheter la version complète.

Super antispyware

  • Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
    • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
    • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.


Autres méthodes de désinfection

1.1/ Logiciel de suppression de Bitdefender (efficace contre Brontok A uniquement)

Info de bitdefender en anglais :

1.2/ Logiciel de suppression de Sophos

Infos de Sophos

1.3/ Logiciel de suppression de Brontok n de kaspersky:


1.4/Brontok Removal Tool

Après nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.


Bitdefender en ligne

Kaspersky en ligne

Informations supplémentaires

Infos sur le très bon site de Malekal:

Autres liens:

A voir également :

Ce document intitulé «  Comment supprimer Brontok ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.