brontok me gache la vie.

Voilà mon problème:

j'ai été contaminé il y a quelques mois par "Win 32 : brontok-AA". Après un scan minutieux par avast, j'ai vu qu'il était surtout dans les fichiers "temp", et j'ai nettoyé ceux-ci grâce à ccleaner. Mais il était aussi ailleurs, et si mon ordi va un peu mieux, il rame quand même toujours énormément. J'ai établi un rapport avec Hijackthis, mais je ne suis pas plus avancé car mes compétences en informatique sont très limitées.
Si vous pouvez m'aider, ce serait vraiment salutaire pour mois!

Envoie ton rapport HijackThis.

Bonsoir,

voilà mon rapport:

Logfile of HijackThis v1.99.1
Scan saved at 22:48:39, on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\clement\LOCALS~1\Temp\Rar$EX01.625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Merci pour ton aide

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

J'ai fait ce que tu m'as dit. Apparemment il y a eu un problème: on m'a dit "syntaxe de nom de fichier, répertoire ou volume incorrecte". Ca a été très rapide. Il m'a tout de même sorti un rapport, que voici:

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 14/04/2007 a 1:36:29,76

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
"C:\Program Files\HbTools_Icons\" FOUND
*** Fin du rapport !


Encore merci.

Redémarre ton PC en mode sans échec (F8 lors du boot)
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

j'ai redémarré en mode sans échec, et j'ai dû choisir entre deux utilisateurs: "administrateur" et "clément" (moi-même), ce qu'on ne me demande pas d'habitude. Si je choisis administrateur, "clean" n'est pas sur le bureau où je l'avais téléchargé, et je ne peux pas me connecté à internet. Avec "clément", j'ai suivi la procédure que tu m'avais indiqué. Voilà le rapport:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 17/04/2007 a 20:32:51,65

Microsoft Windows XP [version 5.1.2600]

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe"
tentative de suppression de "C:\Program Files\HbTools_Icons\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


J'ai une petite question: ce choix à faire entre "administrateur" et "clément", peut-il avoir quelque chose à voir avec la partition de mon disque dur qu'un copain a fait lors du reformatage de mon PC avec windows XP (il pensait que ça suffirait pour mon problème de virus !)?

bonsoir,

fais ceci dans l'ordre et en entier :

1/ Télécharge et installe CleanUp! sur ton Bureau.

Lance CleanUp!

Clique sur le bouton "Option".

Sous "Quick Setup", vérifie que la flèche soit en face de Standard CleanUp! (Si ce n'est pas le cas, place-la devant.).

Décoche la case située devant Enable sounds.

Clique sur OK.

Clique sur le bouton CleanUp!

Lorsque le message Initial CleanUp! done. Now restart Windows to complete CleanUp! apparaît en-bas, clique sur le bouton Close.

A la fenêtre de redémarrage, clique sur Oui.

2/ Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :

http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches(...)

et installe-le.

Son tuto : http://mickael.barroux.free.fr/securite/tuto_AVG_AS.php

- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres
- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)
- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
---> Le scan démarre.

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.
Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.
Post moi ensuite ce rapport dans ton prochain message !

bonne soirée

J'ai fait ce que tu m'avais dit (toujours avec ce choix adiministrateur/clément).
Le rapport AVG anti spyware est le suivant:


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:11:41 28/04/2007

+ Résultat de l'analyse:



:mozilla.7:C:\Documents and Settings\clem\Application Data\Mozilla\Firefox\Profiles\as32rzi0.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\clement\Cookies\clement@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.14:C:\Documents and Settings\clem\Application Data\Mozilla\Firefox\Profiles\as32rzi0.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\clement\Cookies\clement@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\clement\Cookies\clement@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

Voilà! Merci beaucoup!!

re,

Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

bon appétit

Désolé de répondre si tard.
J'ai effectué l'analyse online dont voilà le rapport:

Statistiques

Temps
03:22:58

Fichiers
482323

Directoires
4444

Secteurs de boot
4

Archives
7539

Paquets programmes
54036




Résultats

Virus identifiés
2

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
2




Info sur les moteurs

Définition virus
504018

Version des moteurs
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\clem\Local Settings\Application Data\ListHost10.txt
Infecté par: Generic.Qhost.616793F4

C:\Documents and Settings\clem\Local Settings\Application Data\ListHost10.txt
Echec de la désinfection

C:\Documents and Settings\clem\Local Settings\Application Data\ListHost10.txt
Supprimé

C:\Documents and Settings\clem\Mes documents\Mes images\about.Brontok.A.html
Infecté par: Win32.Worm.Brontok.H

C:\Documents and Settings\clem\Mes documents\Mes images\about.Brontok.A.html
Echec de la désinfection

C:\Documents and Settings\clem\Mes documents\Mes images\about.Brontok.A.html
Supprimé

bonsoir, ton PC est clean

Désinstalle et supprime la totalité des programmes que je t'ai fais installé (sauf certains si tu souhaite les garder pour les utiliser régulièrement comme AVG AS, CCleaner...).

Supprime tous les rapports qui sont apparus lors des divers scans

Edite ton premier post avec et mets [resolu] devant le titre de ton sujet.

Voici quelques liens pour des conseils en sécurité :

Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?

Prends le temps de les lire car elles sont très enréchissantes.

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

au plaisir et bonne soirée

Bonjour, J'ai ce virus depuis trés peu de temps...
EDITION MODERATEUR : Règle du forum à respecter :

Crée toi ton propre sujet !

Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)

Merci d'en prendre connaissance.