Donnez votre avis Comment supprimer Brontok

Qu'est-ce que l'infection Brontok ?

Il en existe plusieurs variantes. Elle sont parfois nommées: W32/Rontokbro.gen@MM, W32.Rontokbro@mm, Worm/Brontok.a, Email-Worm.Win32.Brontok.a, Win32.Stration, Win32.Rontokbro.H, TR/Crypt.CFI.Gen, ....

Brontok est un ver de messagerie qui s'envoie aux adresses récupérées depuis l'ordinateur infecté.

* Il peut se propager par Email , Peer to Peer, support externe (clé usb, disque dur externe, cd ...)
* S'envoie aux adresses des carnets d'adresses Outlook
* Modifie les données présentes sur l'ordinateur
* S'installe dans le Registre
* Peut bloquer l'accès à certains sites web
* Peut bloquer l'accès aux sites web de sécurité
* Peut arrêter les applications de sécurité
* Télécharge des fichiers




Exemple de log avec HijackThis :

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

Exemple d'infection Brontok retrouvée:

C:\WINDOWS\KesenjanganSosial.exe = Worm.Brontok.c
C:\WINDOWS\shell\NewRakyatKelaparan.exe= Worm.Brontok.c
C:\WINDOWS\system32\cmd-brontok.exe= Worm.Brontok.c
C:\WINDOWS\system32\user's Setting.scr= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\services.exe= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe= Worm.Brontok.c
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe= Worm.Brontok.c


Préliminaires

* Important 1, Si vous avez Vista ou 7 :
o Vous devez désactiver l'UAC le temps de la désinfection.
* Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
o Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
o A gauche, cliquez sur Outils, puis sur Résident.
o Décochez la case devant Résident "TeaTimer" puis quittez Spybot
Méthodes de désinfection

Plusieurs solutions sont envisageables:
Première méthode : Clean XII de sUBs

* Téléchargez CleanX-II de sUBs (merci mOe) :
o Déconnectez les accès à internet. Coupez tous les accès physiques (débranchement du modem, ...).
o Fermez toutes les applications.
o Désactivez puis réactivez la restauration système.
+ Pour XP.
+ Pour Vista.
o Clic droit sur CleanX-II.exe et "exécuter en mode administrateur" pour démarrer la réparation (UAC désactivée).
o Cliquez OK lorsque vous recevez un message d'avertissement.
o A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, faites ceci :
+ Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.
o Si vous n'êtes pas à même d'analyser seul, le rapport n'hésitez pas à ouvrir un sujet ici en expliquant votre problème, puis en postant vos rapports.
o Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relancez l'outil une nouvelle fois.
o Ouvrez à nouveau le rapport avec la méthode ci-dessus et copiez-le dans le forum. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.