Comment supprimer Brontok ?

Qu'est-ce que l'infection Brontok ?

Il en existe plusieurs variantes. Elle sont parfois nommées: W32/Rontokbro.gen@MM, W32.Rontokbro@mm, Worm/Brontok.a, Email-Worm.Win32.Brontok.a, Win32.Stration, Win32.Rontokbro.H, TR/Crypt.CFI.Gen, ....

Brontok est un ver de messagerie qui s'envoie aux adresses récupérées depuis l'ordinateur infecté.

• Il peut se propager par Email , Peer to Peer, support externe (clé usb, disque dur externe, cd ...)
• S'envoie aux adresses des carnets d'adresses Outlook
• Modifie les données présentes sur l'ordinateur
• S'installe dans le Registre
• Peut bloquer l'accès à certains sites web
• Peut bloquer l'accès aux sites web de sécurité
• Peut arrêter les applications de sécurité
• Télécharge des fichiers

Exemple de log avec HijackThis :

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

Exemple d'infection Brontok retrouvée:

C:\WINDOWS\KesenjanganSosial.exe = Worm.Brontok.c       
C:\WINDOWS\shell\NewRakyatKelaparan.exe= Worm.Brontok.c      
C:\WINDOWS\system32\cmd-brontok.exe= Worm.Brontok.c       
C:\WINDOWS\system32\user's Setting.scr= Worm.Brontok.c       
C:\Documents and Settings\user\Local Settings\Application Data\services.exe= Worm.Brontok.c       
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe= Worm.Brontok.c      
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe= Worm.Brontok.c 
C:\WINDOWS\eksplorasi.exe= Worm.Brontok.d

Préliminaires

• Important 1, Si vous avez Vista ou 7 :
  • Vous devez désactiver l'UAC le temps de la désinfection.
• Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
  • A gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

Méthodes de désinfection

Plusieurs solutions sont envisageables:

Première méthode : Clean XII de sUBs

• Téléchargez CleanX-II de sUBs (merci mOe) :
  • Déconnectez les accès à internet. Coupez tous les accès physiques (débranchement du modem, ...).
  • Fermez toutes les applications.
  • Désactivez puis réactivez la restauration système.
    • Pour XP.
    • Pour Vista.
  • Clic droit sur CleanX-II.exe et "exécuter en mode administrateur" pour démarrer la réparation (UAC désactivée).
  • Cliquez OK lorsque vous recevez un message d'avertissement.
  • A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, faites ceci :
    • Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.
  • Si vous n'êtes pas à même d'analyser seul, le rapport n'hésitez pas à ouvrir un sujet ici en expliquant votre problème, puis en postant vos rapports.
  • Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relancez l'outil une nouvelle fois.
  • Ouvrez à nouveau le rapport avec la méthode ci-dessus et copiez-le dans le forum. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

Deuxième méthode : Usbfix

A- Option Scanner d' Usbfix ( recherche )

• Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.
• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
• /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
• Cliquer sur le bouton Recherche.
• Laisser travailler l'outil.
• Poster le rapport UsbFix.txt obtenu si vous avez créé un sujet sur le forum Virus/Sécurité.
• Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

B- Option Suppression d' Usbfix ( nettoyage )

/!\ Avant de passer l'option Suppression, il est recommandé de demander conseil sur le forum Virus/Sécurité. /!\

• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le programme UsbFix sur le Bureau.
• Cliquer sur le bouton Suppression.
• Le Bureau disparaîtra et réapparaîtra à le fin de la désinfection.
• Ensuite, poster le rapport UsbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
• Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Tutoriel sur UsbFix.

Troisième méthode : MalwareBytes'

• Téléchargez Malwarebytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.

• Installez le logiciel.
• S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
• Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Démarrez en mode sans échec.
• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs et unité externes.
• Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)

Quatrième méthode: Dr Web

• Téléchargez DR. Web CureIt

ftp://ftp.drweb.com/pub/drweb/cureit/3f5nulxf.exe

• Double-cliquez sur Launch.exe (icône d'araignée noire)
• Sur la page qui s'affiche, choisissez "Commencer le scan".
• Confirmez, au message qui demande confirmation pour effectuer l'analyse.
• L'analyse démarre, s'il trouve des choses, mettez en quarantaine et/ou désinfectez.

Cela peut durer un petit moment.

• Postez le rapport qui apparaîtra ou sera créé à côté (fichier texte) si cela vous l'a été demandé sur le forum..
• En fermant, ne cliquez pas pour acheter la version complète.

Cinquième méthode : Super antispyware

• Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
  • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
  • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
  • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.

Autres méthodes de désinfection

1.1/ Logiciel de suppression de Bitdefender (efficace contre Brontok A uniquement)

• http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.htm

Info de bitdefender en anglais :

• http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.htm

1.2/ Logiciel de suppression de Sophos

• http://www.sophos.fr/virusinfo/analyses/w32brontokaj.html

Infos de Sophos

• http://www.sophos.fr/search/search-results/?search=brontok&x=0&y=0

1.3/ Logiciel de suppression de Brontok n de kaspersky:

• http://www.kaspersky.com/removaltools?vtopen=154293695#open

1.4/Brontok Removal Tool

• http://logitheque.com/logiciels/windows/antivirus_securite/antivirus/scanner_brontok_removal_tool_30910.htm

Après nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

Bitdefender en ligne

• http://www.commentcamarche.net/faq/sujet-8872-scanner-en-ligne-avec-bitdefender

Kaspersky en ligne

• http://www.kaspersky.com/fr/virusscanner

Informations supplémentaires

Infos sur le très bon site de Malekal:

• http://www.malekal.com/Win32.Brontok-J.php

Autres liens:

• http://www.symantec.com/security_response/writeup.jsp?docid=2005-092311-2608-99
• http://www.viruslist.com/fr/viruses/encyclopedia?virusid=121383#doc3
• http://www.avira.com/fr/search/index.php?q=brontok
• http://www.f-secure.com/v-descs/net-worm_w32_brontok_b.shtml

Ce document intitulé « Comment supprimer Brontok ? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.