High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

Virus qui renomme les dossiers en .exe

Dernière réponse le 8 oct 2008 à 19:06:32 lunick, le 27 mai 2007 à 13:38:26 
 Signaler ce message aux modérateurs

Bonjour,
j'ai remarquer un flashDisc qu contien des "dossiers.exe", apres j'i trouvé avaste entrain de scanner , j'ai decouvert qe un virus entrain de scanner mon reseau et cree des copier des dossier en ".exe" j'ai déconnecter la machine du reseau mais je pense que l'infection a ete propager,

c quoi comme virus?
comment faire pour le supprimer
es que ya des removal?

merci d'avance

Configuration: Windows XP
Internet Explorer 6.0
avast 4.7
reseau tcpip

Meilleures réponses pour « Virus qui renomme les dossiers en .exe » dans :
Csrss - csrss.exe Voircsrss - csrss.exe Le processus csrss.exe (csrss signifiant Client/Server Runtime Subsystem) est un processus générique de Windows NT/2000/XP servant à gérer les fenêtres et les éléments graphiques de Windows. Le fichier correspondant à ce...
Winlogon - winlogon.exe Voirwinlogon - winlogon.exe Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en français ouverture de session Windows) est un processus générique de Windows NT/2000/XP servant à gérer l'ouverture et la fermeture des sessions. Le...
Posez votre question Répondre

1

salwa5, le 27 mai 2007 à 13:53:18

Je pense qui s'agis du virus brontok :p

Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
http://www.sophos.com/support/cleaners/brontgui.com

Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé

a++

   
Répondre à salwa5

2

lunick, le 27 mai 2007 à 14:13:29

Je decouve aussi des fichiers autorun.inf dans les dosssier principal 

[Autorun]
Open=SSVICHOSST.exe
Shellexe cute=SSVICHOSST.exe
Shell\Open\command=SSVICHOSST.exe
Shell=Open

   
Répondre à lunick

22

 emroll, le 8 oct 2008 à 19:06:32
  • +1

C' est à peu près le même dossier autorun.inf de kinza.exe que l' on retrouve sur les cle usb infectées. Kinza un cheval de troie (trojan backdoor). < voir discussions kinza.exe >

   
Répondre à emroll

3

salwa5, le 27 mai 2007 à 14:15:51

Passes quand meme brontgui.com just pour voir si il s'agis d'une infection brontok

a+++

   
Répondre à salwa5

4

lunick, le 27 mai 2007 à 14:57:44

Il ma désactivé CTRL-ALT-SUPP
il dit quil son désactivé par l'administrateur, alors que c moi l'admin

   
Répondre à lunick

5

lunick, le 27 mai 2007 à 15:00:12

Quand j'efface les dossiers .exe il revien comme çi j'ai rien fait en plus ça se propage dans le réseau tres rapidement

SOS

   
Répondre à lunick

6

lunick, le 27 mai 2007 à 15:08:51
  • +1

IL ME CR22 DES DOSSIER NEW FOLDER.EXE

   
Répondre à lunick

7

salwa5, le 27 mai 2007 à 15:09:50

Peu tu faire ce que je t'ai demandé sur mon premier message

Télécharge l'outil de Sophos, qui est celui qui traite le plus de variantes:
http://www.sophos.com/support/cleaners/brontgui.com

Redemarre en mode sans echec et lance le fichier brontgui.com.
Puis clic sur [Configuration] et coche l'option "Scan all files"
Valide avec ok et clic sur le bouton [GO]
Le scan peut durer assez longtemps...
Une fois terminé, un rapport sera crée dans le fichier texte à la racine de ton disque dur:
C:\resolved.txt avec la liste des fichiers trouvés et supprimé


ensuite colle le resultat ici

a++

   
Répondre à salwa5

8

lunick, le 27 mai 2007 à 15:58:18

IL ME CREE DES DOSSIER MEME EN MODE SANS ECHEQUE

VOILA LE RESULTAT DU SCANNE/ 



RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:02 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok

Reset registry value HKCU\software\microsoft\windows\currentversion\policies\expl­orer\NoFolderOptions
Reset registry value HKCU\software\microsoft\windows\currentversion\policies\syst­em\DisableRegistryTools

Checking for files affected by W32/Brontok

Scanning C:


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS


Checking for registry keys affected by W32/Brontok

Reset registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

System scan finished at 15:02 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 3
	Registry keys changed               : 3
	Files found                         : 0
	Files deleted                       : 0


RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:14 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok


Checking for files affected by W32/Brontok

Scanning C:


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS


Checking for registry keys affected by W32/Brontok


System scan finished at 15:17 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 0
	Registry keys changed               : 0
	Files found                         : 0
	Files deleted                       : 0


RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok 

Data Version 1.03

System scan started at 15:21 on 27 May 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok


Checking for files affected by W32/Brontok

Scanning C:

Error opening file C:\Documents and Settings\Administrateur\Cookies\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\NTUSER.DAT

Error opening file C:\Documents and Settings\Administrateur\ntuser.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\NetworkService\NTUSER.DAT

Error opening file C:\Documents and Settings\NetworkService\ntuser.dat.LOG

Error opening file C:\pagefile.sys

Error opening file C:\resolve.log

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\system32\config\Antivirus.Evt

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Scanning D:


Scanning E:


Scanning F:


Scanning C:\WINDOWS

Error opening file C:\WINDOWS\Debug\PASSWD.LOG

Error opening file C:\WINDOWS\system32\config\Antivirus.Evt

Error opening file C:\WINDOWS\system32\config\AppEvent.Evt

Error opening file C:\WINDOWS\system32\config\default

Error opening file C:\WINDOWS\system32\config\default.LOG

Error opening file C:\WINDOWS\system32\config\SAM

Error opening file C:\WINDOWS\system32\config\SAM.LOG

Error opening file C:\WINDOWS\system32\config\SecEvent.Evt

Error opening file C:\WINDOWS\system32\config\SECURITY

Error opening file C:\WINDOWS\system32\config\SECURITY.LOG

Error opening file C:\WINDOWS\system32\config\software

Error opening file C:\WINDOWS\system32\config\software.LOG

Error opening file C:\WINDOWS\system32\config\SysEvent.Evt

Error opening file C:\WINDOWS\system32\config\system

Error opening file C:\WINDOWS\system32\config\system.LOG

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP


Checking for registry keys affected by W32/Brontok


System scan finished at 15:41 on 27 May 2007

	Processes found                     : 0
	Processes terminated or disinfected : 0
	Registry keys affected              : 0
	Registry keys changed               : 0
	Files found                         : 0
	Files deleted                       : 0

   
Répondre à lunick

9

lunick, le 27 mai 2007 à 16:08:25

Vous pouvés voi un flaashdisque infercté par la:

http://www.hiboox.com/image.php?img=tb3tp4eq.jpg

   
Répondre à lunick

10

salwa5, le 27 mai 2007 à 16:21:43

Ok fait un scan en ligne ici

http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line » suis les instructions.
Et colle le rapport.

demo a suivre : ( merci a balltrap pour la realisation)

http://perso.orange.fr/rginformatique/section%20virus/defend­er.htm


a++++

   
Répondre à salwa5

11

lunick, le 27 mai 2007 à 17:18:55

MERCI
ça scanne mail ça na pas l'aire de finire tot ce scanne,
il a touvé 1 virus "Win32.Worm.Sohanat.AE" et 578 fihier infecté par ce virus.

et tout les infection ce trouve dans mon dossier partager avec les autre pc,

pour reduire un peut la propagation j'ai mis la plus part des dossier partager en lecture seul, j'ai lessé mon pc partager biensure pour que les colegues travaille,
es que c'est un bon reflexe?

je veut savoir es que viré Avast et installer Bitdefender et une bonne question?

je t'envoi le resultat apré
merci

   
Répondre à lunick

12

salwa5, le 27 mai 2007 à 17:29:18

A mon avis tu devrais coupé le reseau :p car ca risque d'infecté les autre pc et ensuite on va netoyé les pcs un par un


a+++

   
Répondre à salwa5

13

lunick, le 27 mai 2007 à 17:38:22

Salut c 3virus je croi
le resultat du scanne est en trableu donc je les charger sur un site essaye un des deux liens, merci d'avance

http://download2-5.files-upload.com/2007-05/27/17/123.html

http://files-upload.com/fr/253350/123.html.html

   
Répondre à lunick

14

salwa5, le 27 mai 2007 à 17:43:44

Bonjour les 2 liens ne marche pas :/

je te conseille de laissé le scan en ligne jusqu'au bout car il va supprimé les virus

ensuite colle le resultat ici :)

a++++

   
Répondre à salwa5

15

salwa5, le 27 mai 2007 à 18:00:51

Ok le temps que le scan se termine fait ceci

va dans le menu demarrer/rechercher tapes : (un par un)

SSVICHOSST.exe
setting.ini

supprime les si tu les trouve et vide la corbeille

ensuite telecharge kill_autorun_vbs.dat ce programe va supprimé tout les autorun infecté


http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16

double click sur kill_autorun_vbs.bat et laisse le faire son boulot


ensuite télécharge MSNFix.zip de !aur3n7 sur le bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire tout) et double clique sur le fichier MSNFix.bat.
- Choisis l'option R.
- Si l'infection est détectée, exécutes l'option N.

puis colle le resultat ici

a+++

   
Répondre à salwa5

16

lunick, le 29 mai 2007 à 16:00:33

Bonjour voila le raport de Bitdefender scanne en ligne 



BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Tue, May 29, 2007 - 14:46:00
 

------------------------------------------------------------­--------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 589076
 
Infected Files
 236
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Generic.Perfloger.CC4530A7
 2
 
Generic.Keylogger.973E2DBF
 1
 
Win32.Worm.Sohanat.AE
 229
 
Generic.Malware.P!VPk!.EAE444B5
 2
 
Win32.Netsky.P@mm
 2
 
  
  
 
 
  
  
 
 

------------------------------------------------------------­--------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

   
Répondre à lunick

17

salwa5, le 29 mai 2007 à 16:11:29

Le raport n'est pas complet ??

esque bitdefender a bien supprimé les virus detecté?

fait les manip du poste 15 ensuite refait le scan bitdefender puis colle l'integralité du raport ici

a+++

   
Répondre à salwa5

18

lunick, le 29 mai 2007 à 18:43:52

J'ai fait les etapes du poste15
j'ai pue supprimer le ssvichosst,setting.ini
mais j'ai remarqué que ya un autre fichier c'est autorun.ini, je les a supprimer aussi cat c luit qui demmare le virus je croi, je les editer il fait apelle au ssvichosst.exe,

si tu peut , je cherche un petit programe qui interdit certain fichier,
par exemple je veut interdire c'est 3 fichier de ce cree ou de ce deplacé en temps reel, ça sera la fin de ce virus, si ça esista un tel logiciel dit moi stp

je te remerci

   
Répondre à lunick

19

salwa5, le 29 mai 2007 à 18:50:38

Bonjour les autorun fait comme je t'ai dit

lance kill_autorun_vbs.dat

http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16



a+++

   
Répondre à salwa5

20

lunick, le 30 mai 2007 à 14:25:21

J'ai découvert dans le dossier system "nhatquanglan11.exe" qui a relation avec l'infection car j'ai vue une phrase qui correspend a ça dans le fichier setting et autorun

le probleme que je ne peut pas le supprimer, il refuse, il es meme pas executé et il refuse la suppression, comment faire? ya pas un utilitaire pour supprimer ?

   
Répondre à lunick

21

salwa5, le 30 mai 2007 à 14:35:47

As tu essayé de le supprimer en mode sans echec

sinon essay avec the killbox

telecharge the killbox

http://www.downloads.subratam.org/KillBox.exe



Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
- Dans "Full Path of File to Delete"
copie et colle: le chemin exacte du fichier a supprimé

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/jsj7kl.jpg
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.

a+++

   
Répondre à salwa5
Posez votre question Répondre
Ils ont besoin de votre aide