Posez votre question Signaler

Virus qui renomme les dossiers en .exe

lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - Dernière réponse le 22 juin 2010 à 10:21
Bonjour,
j'ai remarquer un flashDisc qu contien des "dossiers.exe", apres j'i trouvé avaste entrain de scanner , j'ai decouvert qe un virus entrain de scanner mon reseau et cree des copier des dossier en ".exe" j'ai déconnecter la machine du reseau mais je pense que l'infection a ete propager,
c quoi comme virus?
comment faire pour le supprimer
es que ya des removal?
merci d'avance
Lire la suite 
Réponse
+0
moins plus
je pense qui s'agis du virus brontok :p

Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
http://www.sophos.com/support/cleaners/brontgui.com

Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé

a++
Ajouter un commentaire
Réponse
+0
moins plus
je decouve aussi des fichiers autorun.inf dans les dosssier principal

[Autorun]
Open=SSVICHOSST.exe
Shellexe cute=SSVICHOSST.exe
Shell\Open\command=SSVICHOSST.exe
Shell=Open
emroll- 8 oct. 2008 à 19:06
C' est à peu près le même dossier autorun.inf de kinza.exe que l' on retrouve sur les cle usb infectées. Kinza un cheval de troie (trojan backdoor). < voir discussions kinza.exe >
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
passes quand meme brontgui.com just pour voir si il s'agis d'une infection brontok

a+++
Ajouter un commentaire
Réponse
+0
moins plus
Il ma désactivé CTRL-ALT-SUPP
il dit quil son désactivé par l'administrateur, alors que c moi l'admin
Ajouter un commentaire
Réponse
+1
moins plus
quand j'efface les dossiers .exe il revien comme çi j'ai rien fait en plus ça se propage dans le réseau tres rapidement

SOS
Ajouter un commentaire
Réponse
+0
moins plus
IL ME CR22 DES DOSSIER NEW FOLDER.EXE
Ajouter un commentaire
Réponse
+0
moins plus
peu tu faire ce que je t'ai demandé sur mon premier message

Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
http://www.sophos.com/support/cleaners/brontgui.com

Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé


ensuite colle le resultat ici

a++
lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - 27 mai 2007 à 15:58
IL ME CREE DES DOSSIER MEME EN MODE SANS ECHEQUE

VOILA LE RESULTAT DU SCANNE/



RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:02 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok

Reset registry value HKCU\software\microsoft\windows\currentversion\policies\explorer\NoFolderOptions
Reset registry value HKCU\software\microsoft\windows\currentversion\policies\system\DisableRegistryTools

Checking for files affected by W32/Brontok

Scanning C:


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS


Checking for registry keys affected by W32/Brontok

Reset registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

System scan finished at 15:02 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 3
	Registry keys changed               : 3
	Files found                         : 0
	Files deleted                       : 0


RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:14 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok


Checking for files affected by W32/Brontok

Scanning C:


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS


Checking for registry keys affected by W32/Brontok


System scan finished at 15:17 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 0
	Registry keys changed               : 0
	Files found                         : 0
	Files deleted                       : 0


RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:21 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok


Checking for files affected by W32/Brontok

Scanning C:

Error opening file C:\Documents and Settings\Administrateur\Cookies\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\NTUSER.DAT

Error opening file C:\Documents and Settings\Administrateur\ntuser.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT

Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG

Error opening file C:\pagefile.sys

Error opening file C:\resolve.log

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\system32\config\Antivirus.Evt

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\system32\config\Antivirus.Evt

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Checking for registry keys affected by W32/Brontok


System scan finished at 15:41 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 0
	Registry keys changed               : 0
	Files found                         : 0
	Files deleted                       : 0
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
vous pouvés voi un flaashdisque infercté par la:

http://www.hiboox.com/image.php?img=tb3tp4eq.jpg
Ajouter un commentaire
Réponse
+0
moins plus
ok fait un scan en ligne ici

http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line » suis les instructions.
Et colle le rapport.

demo a suivre : ( merci a balltrap pour la realisation)

http://perso.orange.fr/rginformatique/section%20virus/defender.htm


a++++
lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - 27 mai 2007 à 17:18
MERCI
ça scanne mail ça na pas l'aire de finire tot ce scanne,
il a touvé 1 virus "Win32.Worm.Sohanat.AE" et 578 fihier infecté par ce virus.

et tout les infection ce trouve dans mon dossier partager avec les autre pc,

pour reduire un peut la propagation j'ai mis la plus part des dossier partager en lecture seul, j'ai lessé mon pc partager biensure pour que les colegues travaille,
es que c'est un bon reflexe?

je veut savoir es que viré Avast et installer Bitdefender et une bonne question?

je t'envoi le resultat apré
merci
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
a mon avis tu devrais coupé le reseau :p car ca risque d'infecté les autre pc et ensuite on va netoyé les pcs un par un


a+++
lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - 27 mai 2007 à 17:38
salut c 3virus je croi
le resultat du scanne est en trableu donc je les charger sur un site essaye un des deux liens, merci d'avance

http://download2-5.files-upload.com/2007-05/27/17/123.html

http://files-upload.com/fr/253350/123.html.html
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
bonjour les 2 liens ne marche pas :/

je te conseille de laissé le scan en ligne jusqu'au bout car il va supprimé les virus

ensuite colle le resultat ici :)

a++++
Ajouter un commentaire
Réponse
+0
moins plus
ok le temps que le scan se termine fait ceci

va dans le menu demarrer/rechercher tapes : (un par un)

SSVICHOSST.exe
setting.ini

supprime les si tu les trouve et vide la corbeille

ensuite telecharge kill_autorun_vbs.dat ce programe va supprimé tout les autorun infecté


http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16

double click sur kill_autorun_vbs.bat et laisse le faire son boulot


ensuite télécharge MSNFix.zip de !aur3n7 sur le bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire tout) et double clique sur le fichier MSNFix.bat.
- Choisis l'option R.
- Si l'infection est détectée, exécutes l'option N.

puis colle le resultat ici

a+++
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour voila le raport de Bitdefender scanne en ligne



BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Tue, May 29, 2007 - 14:46:00
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 589076
 
Infected Files
 236
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Generic.Perfloger.CC4530A7
 2
 
Generic.Keylogger.973E2DBF
 1
 
Win32.Worm.Sohanat.AE
 229
 
Generic.Malware.P!VPk!.EAE444B5
 2
 
Win32.Netsky.P@mm
 2
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. 
  
  
 

 
Ajouter un commentaire
Réponse
+0
moins plus
le raport n'est pas complet ??

esque bitdefender a bien supprimé les virus detecté?

fait les manip du poste 15 ensuite refait le scan bitdefender puis colle l'integralité du raport ici

a+++
lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - 29 mai 2007 à 18:43
j'ai fait les etapes du poste15
j'ai pue supprimer le ssvichosst,setting.ini
mais j'ai remarqué que ya un autre fichier c'est autorun.ini, je les a supprimer aussi cat c luit qui demmare le virus je croi, je les editer il fait apelle au ssvichosst.exe,

si tu peut , je cherche un petit programe qui interdit certain fichier,
par exemple je veut interdire c'est 3 fichier de ce cree ou de ce deplacé en temps reel, ça sera la fin de ce virus, si ça esista un tel logiciel dit moi stp

je te remerci
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
bonjour les autorun fait comme je t'ai dit

lance kill_autorun_vbs.dat

http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16



a+++
lunick 40Messages postés mercredi 30 avril 2003Date d'inscription 22 juillet 2008Dernière intervention - 30 mai 2007 à 14:25
j'ai découvert dans le dossier system "nhatquanglan11.exe" qui a relation avec l'infection car j'ai vue une phrase qui correspend a ça dans le fichier setting et autorun

le probleme que je ne peut pas le supprimer, il refuse, il es meme pas executé et il refuse la suppression, comment faire? ya pas un utilitaire pour supprimer ?
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
as tu essayé de le supprimer en mode sans echec

sinon essay avec the killbox

telecharge the killbox

http://www.downloads.subratam.org/KillBox.exe



Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
- Dans "Full Path of File to Delete"
copie et colle: le chemin exacte du fichier a supprimé

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/jsj7kl.jpg
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.

a+++
joanes- 30 nov. 2009 à 08:44
Bonjour,
J'ai lu attentivement vos échange. il semble que mon PC a infecté par cet virus, tous mes fichiers sur mon disque dure externe sont transformer par un dossier.exe et la taille est 24Ko or le répertoire original est 24Go (ex: repertoire Travail => Travail.exe). même le Lunix ne peut rien faire sur cette chose.
s'il vous plait aide moi
est ce que tous les fichiers seront perdue
Répondre
armi- 22 juin 2010 à 08:48
salu, as tu résolu ton problème joanes? J'ai le même problème, et si tu a trouvé la solution pourras tu me dire comment faire pour récupérer ces dossiers
Répondre
Ajouter un commentaire
Réponse
+1
moins plus
Hello armi,

Télécharge UsbFix : http://chiquitine.changelog.fr/UsbFix.exe

Choisi l option suppression et post le rapport stp .

Tuto : http://pagesperso-orange.fr/NosTools/tuto_usbfix3.html
armi- 22 juin 2010 à 09:23
mon antivirus a détecté qu'il y a un virus sur ton site lors du téléchargement.
Répondre
Utilisateur anonyme - 22 juin 2010 à 10:21
Re ,

Il est effectivement considéré comme néfaste par certain antivirus mais il n en est rien .
Désactive ton antivirus le temps d utiliser UsbFix
Répondre
Ajouter un commentaire
Ce document intitulé «  Virus qui renomme les dossiers en .exe  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.