[WinXP]Infection virale => Apocalyse [Résolu]

[Giovanny Temgoua]

Bonsoir,

Suite à de multiples transferts de fichiers, j'ai choppé un virus fort embêtant. J'ai commencé à avoir des soupçons tout à l'heure parce que sans aucune activité, le CPU était à 100%, alors je suis allé dans le gestionnaire des tâches et je découvre deux processus qui me bouffent tout le CPU.

Ils ont le même nom que deux processus systèmes (mais sont lancés sous mon nom d'utilisateur et non sous le nom d'utilisateur SYSTEM comme leurs "éqiuvalents"):

• services.exe
• lsass.exe

En plus d'eux, il y'a aussi winlogon.exe qui est lancé en tant que "moi" (en non en tant que l'user SYSTEM).
Les processus systèmes de même nom sont en même temps exécutés.

En fouillant les répertoires où je suis passé ces derniers jours, je me rend compte qu'il existe dans tous les répertoires, un fichier exécutable, ayant l'icône d'un répertoire, portant le nom de son répertoire parent, et de taille 43 ko. (dans le répertoire tmp par exemple, il y'a me fichier tmp.exe de 43ko ...)

Il est impossible, même après une mise à jour de l'antivirus, de supprimer le virus. La raison est que le processus services.exe (par exemple) est lancé par le fichier services.exe (que j'ai pu repérer dans le répertoire de Window, ayant les caractéristiques décrites ci-dessus : 43ko etc...). Donc l'antivirus bute lorsqu'il s'agit d'effacer ce fichier, et il n'est pas en mesure de le nettoyer.
Je ne peux non plus fermer le processus par le gestionnaire de tâches pour un effacement manuel parce qu'on me répond que le processus ne peut être arrêté (processus critique).

Que me conseillez-vous de faire pour me sortir de cette situation ?

J'avais lu un document sur le "cool boot" (je ne sais plus si c'est exactement comme cela qu'on appelait cela ) de Win XP mais je ne me souviens plus de comment on procédait. C'est la seule chose que je n'ai pas encore tester.
Dès que je crée un nouvel user, il est automatiquement infecté (l'idée était de créer un admin puis de faire une recherche pour supprimer tous ces fichiers bizzares.)

Bref, j'ai l'impression que ce virus a remplacé les processus SYSTEM de même nom et je ne sais pas comment faire pour le détruire.

Je vous remercie d'avance de votre aide.

(ps : l'option formattage n'est pas envisageable)

[Jannus]

- Regarde dans la BdR pour supprimer les clefs "Run" qui lancent ces processus
- Renomme les fichiers .exe en .xxx par ex. (une extention inexsistante entk)

Éventuellement en MSE si les fichiers de se laissent pas renommer et de toute façon tu redémarres en MSE pour éliminer les virus.

[Heureux-oli]

J'ai ces deux fichiers dans mes processus actifs. Winlogon estégalement actif deux fois.

Pour ma part je ne supprimerais pas ces fichiers.

As-tu essayé de booter sur ton cd au disquette de l'antivirus ?

[Giovanny Temgoua]

Merci de ta prompte réponse

Dans la BDR, je peux y accéder mais une fois seulement par admin. Je m'explique.
Il y'a deux admins : Giovanny et Administrateur.
Je travaille avec le compte Giovanny. C'est par ce compte que j'ai été infecté et je ne pouvais pas ouvrir la BDR, une erreur "Autorisation refusée" (qq chose comme cela) apparaissait. je me suis donc connecté en tant qu'admin dans la session de Giovanny, j'ai exécuté la BDR, j'ai supprimé les clefs en question, et puis au prochain redémarrage, non seulement ces clefs sont encore là mais administrateur n'a plus le droit de lancer la BDR aussi.
J'ai pu m'en rendre compte parce que j'avais crée un autre compte admin comme expliqué ici :

Citation:

Envoyé par moi même

Dès que je crée un nouvel user, il est automatiquement infecté (l'idée était de créer un admin puis de faire une recherche pour supprimer tous ces fichiers bizzares.)

Avec le nouveau compte admin, je me suis rendu compte que les clefs étaients encore là.

Tout comme il est impossible d'effacer les fichiers services.exe et lsass.exe, il est impossible de les renommer en quoi que ce soit par ce qu'ils sont en cours d'utilisation...

[Jannus]

C'est pour cela que je disais de démarrer en MSE.
Mais cela ne sufira probablement pas. Il faudrait stopper les process avant d'arrêter le PC sinon le virus en mémoire recrée les clefs à l'extinction de l'ordinateur.

Tu ne t'en sortiras probablement pas sans booter sur un média "propre" (CD ou FD)

[lordnapster]

Moi, je voudrais simplement savoir quel antirus est-ce que tu utilises. Par ce que si tu peux installer un programme il y a un espoir.
Et même si tu n'y arrives, tu peux essaies de traiter ton problème avec le BartPE(encore appelé PE Builder). C'est un CD Live que tu crées toi même avec la possibilité d'y integrer un antirus.
Grace à ce CD tu peux te sortir de cette situation embarassante.
Pour plus d'infos sur le Bart PE regarde ici: http://severinterrier.free.fr/Boot/PE-Builder/
(aspire le site pour être sûr de tout avoir. Je suppose que tu ne le feras pas sur le même PC )
Ou encore telecharge "Ultimate Boot CD" sur www.clubic.com (c'est un CD plus ou moins similaire)

[Giovanny Temgoua]

Bonjour et merci pour vos réponses

je vais essayer ta solution lordnapster et voir ce que cà donne.

Sinon, voici quelques précisions sur le virus.

On retrouve certains fichiers cachés à des endroits critiques
KesenjanganSosial => \Windows
Rakyatkelapran => \Windows\ShellNew
cmd-brontok => \Windows\System32
Brengkolang => \Documents & Settings\NomUtilisateur\Modèles

Lorsque je lance la commande taskkill en mode console => la machine redémarre direct
Lorsque je navigue avec l'explorateur sur \Documents & Settings\NomUtilisateur\Application Data\ la machine redémarre direct aussi (qu'on soit en MSE ou non)

Les fichiers services.exe, inetinfo.exe, crsss.exe et lsass.exe se trouvent dans \Documents & Settings\NomUtilisateur\Application Data. Quand bien même je parviens à les renommer ils se recréent (probablement à cause de ce que Guardian expliquait)

Par contre, je peux fermer certains processus en utilisant l'ancien shell (command.com) mais winlogon.exe et services.exe ne se ferment pas (Erreur : processus critique)

Donc en utilisant command.com au lieu de cmd, j'ai une certaine marge de liberté et je peux aller sur \Documents & Settings\NomUtilisateur\Application Data sans que la machine ne rédémarre. En fouillant, je pense avoir trouvé le nom du virus en question : brontok.A
Je vais essayer un utilitaire de chez sophos pour essayer de désinfecter et voir ce que cà donne :
http://www.sophos.com/support/disinfection/brontok.html

Merci.

[Giovanny Temgoua]

Il y'a brontok.l qui répond mieux à la description que je vous ai faites :
http://www.sophos.com/virusinfo/anal...2brontokl.html

[Edit]
Un autre lien interessant :
http://us.mcafee.com/virusInfo/defau...virus_k=136318

[l.sage]

Peut-être une idée: installe ton disque dur dans une autre machine, en esclave. Là, les processus ne seront pas lancés, et un bon antivirus devrait pouvoir te débarasser de tout ça...

[Giovanny Temgoua]

Après un bon WE, je viens vous annoncer ma victoire

L'utilitaire de Sophos, 138ko a résolu le problème efficament
Ensuite, j'ai utilisé d'autres utilitaires :
- Brontok Washer 1.5 pour détruire complètement le virus
- ReAnimator pour gérer le registre
Avec la MAJ de l'antivirus, tout fonctionne impec maintenant

à tous

Je n'ai jamais été aussi content de mettre RESOLU

[wilnock]

je suis dans le meme cas que toi (je t'ai envoyer un MP avec plein de détails)

seulement, je cherche a changer d'antivirus et a passer a AVAST ou AVG (dans le domaine gratuit ils font références)

JEU NE PEUX PAS TELECHARGER LES EXE, le virus qui me pourrie la vie me l'interdit, mon ordi rebooot avant la fin du telechargement, comment faire, les antivirus en ligne sont-ils fiables ??? (et d'abord ca existe ou pas?)

merci de votre aide

[Giovanny Temgoua]

Bonjour,

Je n'ai jamais eu à tester les antivirus on-line mais je pense qu'ils doivent être fiable (sinon un sujet n'y serait pas dédié )
Tu peux lire ces sujets pour te faire une idée :
http://www.developpez.net/forums/d11099/systemes/windows/securite/sondage-termine-meilleur-antivirus-firewall-etc/
http://www.developpez.net/forums/d5690/systemes/windows/securite/bonnes-pratiques-protections-individuelles/

Tu peux tester la solution proposée par l.sage proposée plus haut. A savoir, connecter ton disque dur en esclave sur une machine possédant un antivirus à jour et analyser ton disque.
En général pour les virus qui ont eu à m'infecter, j'ai toujours trouvé chez sophos (w3.sophos.com) un antivirus gratuit spécialisé pour nettoyer le virus en question : il y'a eu Jeefo et recemment BrontOK...
Ces utilitaires, pour les avoir utilisé (et honnêtement) sans publicité, font très bien leur boulot. Ils permettent même de détruire les virus qui se lancent en tant que processus critiques (comme c'était le cas avec moi), chose que mon antivirus n'a pas pu faire...

Donc une fois les sujets que j'ai cités plus haut lus, je te conseillerai
=> de faire analyser ton disque sur une machine saine avec un antivirus à jour
=> de mettre ton propre antitirus à jour et de réanalyse ton disque
=> d'utiliser les utilitaires de chez sophos si tu connait le nom du virus ou son comportement (services lancés, clé de registre RUN bizzare etc...)

Voilà voilà...

[wilnock]

Bon, j'ai tué la bête, ça m'a pris toute la nuit.
Mais comme le réseau est infecter, elle reviens a la charge, pas de pot, j'ai fermer les portes d'entrée.

Le réseau va être soumis a une "purge" durant le WE, je voudrais pas être de ceux qui vont y passer les prochaines 48h

[Wazeer]

Boujour a tous,

Après avoir analyser ce topic je me suis rendu compte que j'ai contracté le même problème que Giovanny j'ai suivi toutes les procédures mais je ne trouve aucun lien pour les logiciel Brontok Washer 1.5 ainsi que ReAnimator en effet les seuls lien que j'eû trouver sont dead pour mon plus grand malheur voici ma requête. Pourriez m'aider a trouver ces fameux logiciels svp

Je vous serais bien redevable honorable internaute

Merci d'avance

[Heureux-oli]

Avec Reanimator sofware comme recherche sur Google.

[Wazeer]

Merci beaucoup pour la reponse c'est très aimable de ta part

[Heureux-oli]

J'essaie de faire de mon mieux.