Virus qui renomme les dossiers en .exe

lunick Messages postés 39 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
j'ai remarquer un flashDisc qu contien des "dossiers.exe", apres j'i trouvé avaste entrain de scanner , j'ai decouvert qe un virus entrain de scanner mon reseau et cree des copier des dossier en ".exe" j'ai déconnecter la machine du reseau mais je pense que l'infection a ete propager,

c quoi comme virus?
comment faire pour le supprimer
es que ya des removal?

merci d'avance
Configuration: Windows XP
Internet Explorer 6.0
avast 4.7
reseau tcpip

17 réponses

  1. lunick Messages postés 39 Statut Membre 3
     
    quand j'efface les dossiers .exe il revien comme çi j'ai rien fait en plus ça se propage dans le réseau tres rapidement

    SOS
    2
  2. Utilisateur anonyme
     
    Hello armi,

    Télécharge UsbFix : https://www.ionos.fr/?affiliate_id=77097

    Choisi l option suppression et post le rapport stp .

    Tuto : http://pagesperso-orange.fr/NosTools/tuto_usbfix3.html
    1
    1. armi
       
      mon antivirus a détecté qu'il y a un virus sur ton site lors du téléchargement.
      0
    2. Utilisateur anonyme
       
      Re ,

      Il est effectivement considéré comme néfaste par certain antivirus mais il n en est rien .
      Désactive ton antivirus le temps d utiliser UsbFix
      0
  3. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    je pense qui s'agis du virus brontok :p

    Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
    http://www.sophos.com/support/cleaners/brontgui.com

    Redemarre en mode sans echec et lance le fichier brontgui.com.
    Puis clic sur [Configuration] et coche l'option "Scan all files"
    Valide avec ok et clic sur le bouton [GO]
    Le scan peut durer assez longtemps...
    Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
    C:\resolved.txt avec la liste des fichiers trouvés et supprimé

    a++
    0
  4. lunick Messages postés 39 Statut Membre 3
     
    je decouve aussi des fichiers autorun.inf dans les dosssier principal

    [Autorun]
    Open=SSVICHOSST.exe
    Shellexe cute=SSVICHOSST.exe
    Shell\Open\command=SSVICHOSST.exe
    Shell=Open
    0
    1. emroll
       
      C' est à peu près le même dossier autorun.inf de kinza.exe que l' on retrouve sur les cle usb infectées. Kinza un cheval de troie (trojan backdoor). < voir discussions kinza.exe >
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    passes quand meme brontgui.com just pour voir si il s'agis d'une infection brontok

    a+++
    0
  7. lunick Messages postés 39 Statut Membre 3
     
    Il ma désactivé CTRL-ALT-SUPP
    il dit quil son désactivé par l'administrateur, alors que c moi l'admin
    0
  8. lunick Messages postés 39 Statut Membre 3
     
    IL ME CR22 DES DOSSIER NEW FOLDER.EXE
    0
  9. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    peu tu faire ce que je t'ai demandé sur mon premier message

    Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
    http://www.sophos.com/support/cleaners/brontgui.com

    Redemarre en mode sans echec et lance le fichier brontgui.com.
    Puis clic sur [Configuration] et coche l'option "Scan all files"
    Valide avec ok et clic sur le bouton [GO]
    Le scan peut durer assez longtemps...
    Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
    C:\resolved.txt avec la liste des fichiers trouvés et supprimé

    ensuite colle le resultat ici

    a++
    0
    1. lunick Messages postés 39 Statut Membre 3
       
      IL ME CREE DES DOSSIER MEME EN MODE SANS ECHEQUE

      VOILA LE RESULTAT DU SCANNE/


      
      RESOLVE Version 1.07
      Copyright (c) 2004, Sophos Plc, www.sophos.com
      
      System disinfection for W32/Brontok 
      
      Data Version 1.03
      
      System scan started at 15:02 on 27 May 2007
      
      Checking for W32/Brontok in memory
      
      Checking for registry keys affected by W32/Brontok
      
      Reset registry value HKCU\software\microsoft\windows\currentversion\policies\explorer\NoFolderOptions
      Reset registry value HKCU\software\microsoft\windows\currentversion\policies\system\DisableRegistryTools
      
      Checking for files affected by W32/Brontok
      
      Scanning C:
      
      
      Scanning D:
      
      
      Scanning E:
      
      
      Scanning F:
      
      
      Scanning C:\WINDOWS
      
      
      Checking for registry keys affected by W32/Brontok
      
      Reset registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
      
      System scan finished at 15:02 on 27 May 2007
      
      	Processes found                     : 0
      	Processes terminated or disinfected : 0
      	Registry keys affected              : 3
      	Registry keys changed               : 3
      	Files found                         : 0
      	Files deleted                       : 0
      
      
      RESOLVE Version 1.07
      Copyright (c) 2004, Sophos Plc, www.sophos.com
      
      System disinfection for W32/Brontok 
      
      Data Version 1.03
      
      System scan started at 15:14 on 27 May 2007
      
      Checking for W32/Brontok in memory
      
      Checking for registry keys affected by W32/Brontok
      
      
      Checking for files affected by W32/Brontok
      
      Scanning C:
      
      
      Scanning D:
      
      
      Scanning E:
      
      
      Scanning F:
      
      
      Scanning C:\WINDOWS
      
      
      Checking for registry keys affected by W32/Brontok
      
      
      System scan finished at 15:17 on 27 May 2007
      
      	Processes found                     : 0
      	Processes terminated or disinfected : 0
      	Registry keys affected              : 0
      	Registry keys changed               : 0
      	Files found                         : 0
      	Files deleted                       : 0
      
      
      RESOLVE Version 1.07
      Copyright (c) 2004, Sophos Plc, www.sophos.com
      
      System disinfection for W32/Brontok 
      
      Data Version 1.03
      
      System scan started at 15:21 on 27 May 2007
      
      Checking for W32/Brontok in memory
      
      Checking for registry keys affected by W32/Brontok
      
      
      Checking for files affected by W32/Brontok
      
      Scanning C:
      
      Error opening file C:\Documents and Settings\Administrateur\Cookies\index.dat
      
      Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
      
      Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
      
      Error opening file C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat
      
      Error opening file C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      
      Error opening file C:\Documents and Settings\Administrateur\NTUSER.DAT
      
      Error opening file C:\Documents and Settings\Administrateur\ntuser.dat.LOG
      
      Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
      
      Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
      
      Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT
      
      Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG
      
      Error opening file C:\pagefile.sys
      
      Error opening file C:\resolve.log
      
      Error opening file C:\WINDOWS\Debug\PASSWD.LOG
      
      Error opening file C:\WINDOWS\system32\config\Antivirus.Evt
      
      Error opening file C:\WINDOWS\system32\config\AppEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\default
      
      Error opening file C:\WINDOWS\system32\config\default.LOG
      
      Error opening file C:\WINDOWS\system32\config\SAM
      
      Error opening file C:\WINDOWS\system32\config\SAM.LOG
      
      Error opening file C:\WINDOWS\system32\config\SecEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\SECURITY
      
      Error opening file C:\WINDOWS\system32\config\SECURITY.LOG
      
      Error opening file C:\WINDOWS\system32\config\software
      
      Error opening file C:\WINDOWS\system32\config\software.LOG
      
      Error opening file C:\WINDOWS\system32\config\SysEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\system
      
      Error opening file C:\WINDOWS\system32\config\system.LOG
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
      
      
      Scanning D:
      
      
      Scanning E:
      
      
      Scanning F:
      
      
      Scanning C:\WINDOWS
      
      Error opening file C:\WINDOWS\Debug\PASSWD.LOG
      
      Error opening file C:\WINDOWS\system32\config\Antivirus.Evt
      
      Error opening file C:\WINDOWS\system32\config\AppEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\default
      
      Error opening file C:\WINDOWS\system32\config\default.LOG
      
      Error opening file C:\WINDOWS\system32\config\SAM
      
      Error opening file C:\WINDOWS\system32\config\SAM.LOG
      
      Error opening file C:\WINDOWS\system32\config\SecEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\SECURITY
      
      Error opening file C:\WINDOWS\system32\config\SECURITY.LOG
      
      Error opening file C:\WINDOWS\system32\config\software
      
      Error opening file C:\WINDOWS\system32\config\software.LOG
      
      Error opening file C:\WINDOWS\system32\config\SysEvent.Evt
      
      Error opening file C:\WINDOWS\system32\config\system
      
      Error opening file C:\WINDOWS\system32\config\system.LOG
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
      
      Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
      
      
      Checking for registry keys affected by W32/Brontok
      
      
      System scan finished at 15:41 on 27 May 2007
      
      	Processes found                     : 0
      	Processes terminated or disinfected : 0
      	Registry keys affected              : 0
      	Registry keys changed               : 0
      	Files found                         : 0
      	Files deleted                       : 0
      
      0
  10. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    ok fait un scan en ligne ici

    http://www.bitdefender.fr/bd/site/search.php#
    Clique sur « Bitdefender scan on line » suis les instructions.
    Et colle le rapport.

    demo a suivre : ( merci a balltrap pour la realisation)

    http://perso.orange.fr/rginformatique/section%20virus/defender.htm

    a++++
    0
    1. lunick Messages postés 39 Statut Membre 3
       
      MERCI
      ça scanne mail ça na pas l'aire de finire tot ce scanne,
      il a touvé 1 virus "Win32.Worm.Sohanat.AE" et 578 fihier infecté par ce virus.

      et tout les infection ce trouve dans mon dossier partager avec les autre pc,

      pour reduire un peut la propagation j'ai mis la plus part des dossier partager en lecture seul, j'ai lessé mon pc partager biensure pour que les colegues travaille,
      es que c'est un bon reflexe?

      je veut savoir es que viré Avast et installer Bitdefender et une bonne question?

      je t'envoi le resultat apré
      merci
      0
  11. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    a mon avis tu devrais coupé le reseau :p car ca risque d'infecté les autre pc et ensuite on va netoyé les pcs un par un

    a+++
    0
    1. lunick Messages postés 39 Statut Membre 3
       
      salut c 3virus je croi
      le resultat du scanne est en trableu donc je les charger sur un site essaye un des deux liens, merci d'avance

      http://download2-5.files-upload.com/2007-05/27/17/123.html

      http://files-upload.com/fr/253350/123.html.html
      0
  12. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour les 2 liens ne marche pas :/

    je te conseille de laissé le scan en ligne jusqu'au bout car il va supprimé les virus

    ensuite colle le resultat ici :)

    a++++
    0
  13. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    ok le temps que le scan se termine fait ceci

    va dans le menu demarrer/rechercher tapes : (un par un)

    SSVICHOSST.exe
    setting.ini

    supprime les si tu les trouve et vide la corbeille

    ensuite telecharge kill_autorun_vbs.dat ce programe va supprimé tout les autorun infecté

    http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16

    double click sur kill_autorun_vbs.bat et laisse le faire son boulot

    ensuite télécharge MSNFix.zip de !aur3n7 sur le bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le (clic droit >> Extraire tout) et double clique sur le fichier MSNFix.bat.
    - Choisis l'option R.
    - Si l'infection est détectée, exécutes l'option N.

    puis colle le resultat ici

    a+++
    0
  14. lunick Messages postés 39 Statut Membre 3
     
    Bonjour voila le raport de Bitdefender scanne en ligne

    BitDefender Online Scanner - Real Time Virus Report
      
      
     
    Generated at: Tue, May 29, 2007 - 14:46:00
     
    
    --------------------------------------------------------------------------------
    
     
      
      
     
    Scan Info
      
      
     
    Scanned Files
     589076
     
    Infected Files
     236
     
      
      
     
     
      
      
     
    Virus Detected
      
      
     
    Generic.Perfloger.CC4530A7
     2
     
    Generic.Keylogger.973E2DBF
     1
     
    Win32.Worm.Sohanat.AE
     229
     
    Generic.Malware.P!VPk!.EAE444B5
     2
     
    Win32.Netsky.P@mm
     2
     
      
      
     
     
      
      
     
     
    
    --------------------------------------------------------------------------------
      
      
     
    This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. 
      
      
     
    
     
    0
  15. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    le raport n'est pas complet ??

    esque bitdefender a bien supprimé les virus detecté?

    fait les manip du poste 15 ensuite refait le scan bitdefender puis colle l'integralité du raport ici

    a+++
    0
    1. lunick Messages postés 39 Statut Membre 3
       
      j'ai fait les etapes du poste15
      j'ai pue supprimer le ssvichosst,setting.ini
      mais j'ai remarqué que ya un autre fichier c'est autorun.ini, je les a supprimer aussi cat c luit qui demmare le virus je croi, je les editer il fait apelle au ssvichosst.exe,

      si tu peut , je cherche un petit programe qui interdit certain fichier,
      par exemple je veut interdire c'est 3 fichier de ce cree ou de ce deplacé en temps reel, ça sera la fin de ce virus, si ça esista un tel logiciel dit moi stp

      je te remerci
      0
  16. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour les autorun fait comme je t'ai dit

    lance kill_autorun_vbs.dat

    http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16

    a+++
    0
    1. lunick Messages postés 39 Statut Membre 3
       
      j'ai découvert dans le dossier system "nhatquanglan11.exe" qui a relation avec l'infection car j'ai vue une phrase qui correspend a ça dans le fichier setting et autorun

      le probleme que je ne peut pas le supprimer, il refuse, il es meme pas executé et il refuse la suppression, comment faire? ya pas un utilitaire pour supprimer ?
      0
  17. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    as tu essayé de le supprimer en mode sans echec

    sinon essay avec the killbox

    telecharge the killbox

    http://www.downloads.subratam.org/KillBox.exe

    Double clic sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
    - Dans "Full Path of File to Delete"
    copie et colle: le chemin exacte du fichier a supprimé

    - clique sur la croix rouge
    - une fenêtre va apparaître pour confirmation de suppression clique sur YES
    - une seconde fenêtre te demande si tu veux redémarrer clique sur YES

    Si ce message s’affiche ignore le :
    http://tinypic.com/images/goodbye.jpg
    Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.

    a+++
    0
    1. joanes
       
      Bonjour,
      J'ai lu attentivement vos échange. il semble que mon PC a infecté par cet virus, tous mes fichiers sur mon disque dure externe sont transformer par un dossier.exe et la taille est 24Ko or le répertoire original est 24Go (ex: repertoire Travail => Travail.exe). même le Lunix ne peut rien faire sur cette chose.
      s'il vous plait aide moi
      est ce que tous les fichiers seront perdue
      0
    2. armi
       
      salu, as tu résolu ton problème joanes? J'ai le même problème, et si tu a trouvé la solution pourras tu me dire comment faire pour récupérer ces dossiers
      0