Posez votre question Signaler

Infecter par un ver WORM/BRONTOK.A.4.B [Résolu]

Ben - Dernière réponse le 14 déc. 2007 à 14:20
Salut a tous,
Vous pouvez m'aider a detruire un Ver qui m'emmerde depuis un mois du nom de: "WORM/BRONTOK.A.4.B" tous les anti-virus que j'ai utilise n'ont rien pu faire.
Sa principale caracteristique: Il copie chaque dossier dans ce dernier, et cette copie explore "Mes Document".
Cette copie revient a chaquefois aue je l'efface.
Je vous remercie.
akassa_19@hotmail.com
Lire la suite 

Infecter par un ver WORM/BRONTOK.A.4.B »

7 réponses
Réponse
+0
moins plus
did71 2199Messages postés 24 mars 2006Date d'inscription 15 déc. 2006 à 22:08
Bonsoir Ben,

télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial
http://pchelpbordeaux.free.fr/tuto.html

Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse.

a+

 Ajouter un commentaire
Ben - 16 déc. 2006 à 00:00
Logfile of HijackThis v1.99.1
Scan saved at 21:48:20, on 15/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Atievxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Totem Shared\Uninstall0001\upd.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\EACCEL~1\Station\station.exe
C:\PROGRA~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE
C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Program Files\Messenger\MSMSGS.EXE
C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-ckzjljh.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Bron-Spizaetus-ckhjlvow] "C:\WINDOWS\ShellNew\bbm-wovljhkc.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus-anorbtok] "C:\WINDOWS\ShellNew\bbm-kotbrona.exe"
O4 - HKLM\..\Run: [Uninstall0001] "C:\Program Files\Fichiers communs\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.virtuagirl.com!StatsVirtuaGirl
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SoftwareStation] "C:\Program Files\eAcceleration\Station\station.exe" /b Startup
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\RunOnce: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-5259] "C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Application Data\br11541on.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
Ajouter un commentaire
Réponse
+0
moins plus
did71 2199Messages postés 24 mars 2006Date d'inscription 17 déc. 2006 à 23:28
bonsoir,

Télécharge ce fichier - combofix.exe :



http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe



et sauvegarde le sur ton bureau!



lance le!



Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HijackThis avec.

a+

 Ajouter un commentaire
Ben - 18 déc. 2006 à 00:39
salut,
voici les rapports

> "Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash
> /minimized"
> C:\sUBs\aa.txt
>
> Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
> fichier car ce fichier est utilisé par un autre processus
>
>
> [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
> "DeskHtmlVersion"=dword:00000110
> "DeskHtmlMinorVersion"=dword:00000005
> "Settings"=dword:00000001
> "GeneralFlags"=dword:00000004
>
> [HKEY_CURRENT_USER\software\microsoft\internet
> explorer\desktop\components\0]
> "Source"="About:Home"
> "SubscribedURL"="About:Home"
> "FriendlyName"="Ma page d'accueil"
> "Flags"=dword:00000002
>
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
> 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
> "CurrentState"=hex:04,00,00,40
>
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
> ff,ff,04,00,00,00
>
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
> 00,00,01,00,00,00
>
> [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
> "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
>
> [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
> "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
>
>
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
> "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
> "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de
> composant"
>
>
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
> "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
> C:\sUBs\aa.txt
>
> [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
> "DisableCMD"=dword:00000000
>
>
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
> "NoDriveTypeAutoRun"=dword:00000091
> "NoFolderOptions"=dword:00000001
>
> [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
> "dontdisplaylastusername"=dword:00000000
> "legalnoticecaption"=""
> "legalnoticetext"=""
> "shutdownwithoutlogon"=dword:00000001
> "undockwithoutlogon"=dword:00000001
>
>
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
> "NoDriveTypeAutoRun"=dword:00000091
>
>
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
> "NoDriveTypeAutoRun"=dword:00000091
>
>
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
> "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
> "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
> "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
> "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
> C:\sUBs\aa.txt
> C:\sUBs\aa.txt
>
> Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
> fichier car ce fichier est utilisé par un autre processus
>
> C:\sUBs\aa.txt
>
> Cannot create file "C:\sUBs\aa.txt". Le processus ne peut pas accéder au
> fichier car ce fichier est utilisé par un autre processus
>
>
> [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
> "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
>
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
> LocalService REG_MULTI_SZ
> Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
> NetworkService REG_MULTI_SZ DnsCache\0\0
> rpcss REG_MULTI_SZ RpcSs\0\0
> imgsvc REG_MULTI_SZ StiSvc\0\0
> termsvcs REG_MULTI_SZ TermService\0\0
>
> Completion time: 06-12-17 23:28:44.99
> C:\ComboFix.txt ... 06-12-17 23:28
>
> Rapport de hijackthis
> Logfile of HijackThis v1.99.1
> Scan saved at 23:32:44, on 17/12/2006
> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\Explorer.EXE
> C:\WINDOWS\system32\spoolsv.exe
> C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
> C:\WINDOWS\System32\Atievxx.exe
> C:\WINDOWS\System32\svchost.exe
> C:\Program Files\Fichiers communs\Softwin\BitDefender
> Communicator\xcommsvr.exe
> C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
> C:\WINDOWS\System32\wuauclt.exe
> C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
> C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
> C:\Program Files\PC Tools AntiVirus\PCTAV.exe
> C:\Program Files\Internet Explorer\IEXPLORE.EXE
> C:\Program Files\Internet Explorer\IEXPLORE.EXE
> C:\Program Files\Skype\Phone\Skype.exe
> C:\Program Files\Skype\Plugin Manager\SkypePM.exe
> C:\Program Files\Internet Explorer\IEXPLORE.EXE
> C:\WINDOWS\system32\NOTEPAD.EXE
> C:\Documents and Settings\Oumar Ag Ittaha\Local Settings\Temp\Répertoire
> temporaire 1 pour hijackthis.zip\HijackThis.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.yahoo.fr/
> F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
> O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe"
> /MONITORSCAN
> O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program
> Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
> O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
> /minimized
> O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
> C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
> O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler)
> - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
> O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
> AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
> O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program
> Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
> O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty
> Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
> O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
> C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
> O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program
> Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Merci et a+
Ajouter un commentaire
Réponse
+0
moins plus
did71 2199Messages postés 24 mars 2006Date d'inscription 18 déc. 2006 à 19:44
Bonsoir ben,

peux tu relancer combo en mode sans échec!

puis redémarre normalement,

Télécharge clean.zip

http://www.malekal.com/download/clean.zip

Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes.
Poste le rapport qui se trouve ici C:\rapport_clean.txt

poste les rapport combo, cleanzip et un nouvel hijackthis!

a+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ben 19 déc. 2006 à 17:50
Merci de votre aide mon probleme est resolu.
Je souhaite a tous les meilleurs voeux du monde.
A+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nisar 14 déc. 2007 à 14:20
bonjour sa sert a quoi d'envoyé le rapport sur le forum ??

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Infecter par un ver WORM/BRONTOK.A.4.B » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?