Problème avec les .exe, ordinateur virusé

[invite5546a17c]

Bonjour,

Quand je tente de lancer un programme .exe, c'est "l'aperçu des images et des télécopies Windows" qui se lancent!

Par conséquent aujourd'hui, je ne peux même plus exécuter l'installation de logiciels tels que VLC, Firefox et Winamp car tous ces programmes d'installation se terminent par .exe. Je n'ai qu'à double-cliquer dessus pour que ce soit "l'aperçu des images et des télécopies Windows" qui se lance.
Il m'est impossible aussi d'exécuter les programmes HijackThis, ComboFix, SDFix, ces derniers se terminant tous par .exe.

De plus, je ne peux plus aller dans les différentes rubriques du Panneau de configuration. A chaque fois que je double-clique sur une des rubriques (ex : Système), c'est "l'aperçu des images" qui s'ouvre! Du coup, je ne peux même pas tenter une restauration système. Impossible également d'aller dans "regedit", j'obtiens le même résultat (ouverture du programme "aperçu des images"). Bref, toutes les exécutions de programmes se sont calées sur le logiciel "aperçu des images".

Cependant, j'ai pu faire un HijackThis avant que l'infection s'empire ainsi qu'un DiagHelp.

Sincèrement il y a de quoi être très contrarié. Le petit malin qui a développé ce virus peut être fier de lui...

Merci d'avance pour votre aide.

Cordialement.
-----

[Cyrrus]

Bonsoir,

Le petit malin qui a développé ce virus peut être fier de lui...

Ce n'est pas un petit malin. Zlob, c'est des milliers d'euros récoltés par semaines, une équipe de developpement de niveau professionel, des mises à jour 24h/24. On est plus du tout au temps où des petits génise s'amusaient à embêter les voisins.

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Bonne soirée
Cyrrus
PS : N'utilise pas d'autres outils que ceux prescrit. Cela peut être dangereux.

[invite5546a17c]

Bonjour,

Impossible d'exécuter SmitfraudFix.exe. Comme je dis, il m'est impossible de lancer des programmes se terminant par .exe. En faisant cela il se produit tout autre chose, ça lance un écran blanc avec marque au centre "Aucun Aperçu n'est disponible".

Même avec cette technique je n'arrive pas à lancer normalement SmitfraudFix.exe :
If your EXE file associations are corrupted, it can be difficult to open REGEDIT, or to even import REG files. To work around this, press CTRL-ALT-DEL and open Task Manager. Once there, click File, then hold down the CTRL key and click New Task (Run). This will open a Command Prompt window. Enter REGEDIT.EXE and press Enter.

[invite5546a17c]

J'ai également essayer votre technique :

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C, et lance le de là

Même résultat, ça ouvre un écran blanc. Impossible donc d'éxécuter SmitfraudFix.exe normalement.

[A voir en vidéo sur Futura]

[invite5546a17c]

C'est bon, j'ai pu exécuter SmitfraudFix en utilisant SmitfraudFix.cmd.

Le rapport est en pièce jointe.

[Cyrrus]

Bonjour,

Erf, SFF ne prend pas encore en charge cette version (preuve que ca va vite...), on va faire çà à la main :

1. Imprime ces instructions, ou sauvegarde les dans un fichier car en mode sans échec tu n'auras pas accès au net.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

2. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :

O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSp ywareXP2009.exe" /hide
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\sv chost.exe

Clique sur Fix Checked.

3. Télécharger OTMoveIt3 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  
  Code:

  :Files
  C:\WINDOWS\system32\drivers\svchost.exe
  C:\Program Files\AntiSpywareXP2009
  C:\Windows\System32\brastk.exe

• Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste Instruction fo Items to be Move" puis choisir Coller.
• Cliquer sur le bouton rouge Moveit!.
• Fermer OTMoveIt3

Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

-------------------------------------------------------------

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bon Dimanche
Cyrrus

[invite5546a17c]

Bonjour,

Tu vas penser que je suis contrariant mais les lignes suivantes n'apparaissent pas dans HijackThis :

Code:

O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSp ywareXP2009.exe" /hide
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\sv chost.exe

Par conséquent, je ne peux pas suivre ton instruction et cliquer sur "Fix Checked". A moins que ce soit moi qui ai oublié une étape...

En pièce jointe je transmets le rapport HijackThis histoire que tu comprennes mieux.

[invite5546a17c]

Petite précision également : je ne peux pas lancer les programmes se terminant par .exe (ça ouvre un écran blanc).

Par conséquent, pour lancer HijackThis et faire un scan j'ai dû renommer "hijackthis.exe" par "hijackthis.cmd". Et pour le résultat, voir mon message juste avant.

(autre exemple : je ne peux pas ouvrir VLC seul juste en double-cliquant sur l'icône VLC. Par contre, je peux double-cliquer un fichier .avi qui va lancer VLC. Il n'y a que comme ça que j'arrive à lancer VLC. Quand à Pack Office n'en parlons pas, impossible de faire quoique ce soit. Que ce soit les logiciels seuls ou via des fichiers Word, Excel ou autre, impossible d'ouvrir ces programmes. J'ai un message d'erreur à chaque fois)

[invite5546a17c]

J'ai quand même exécuté "OTMoveIt3" et "Malwarebytes' Anti-Malware" au cas où.

Les rapports sont en pièces jointes.

[invite5546a17c]

J'ai fait un 2ème test avec "Malwarebytes' Anti-Malware" pour voir.

Le rapport est en pièce jointe.

Ce qui est pénible c'est que quand on croit avoir peut-être réglé un problème, un deuxième vient se greffer. C'est franchement pénible.

Tous les applications Pack Office ainsi qu'OutLook sont impossible à ouvrir, comme si elles n'existaient plus sur le disque dur.
Tous ces fichiers .exe qui ne s'exécutent pas (il faudrait tous les transformer en .cmd) c'est vraiment très irritant. Si ça se trouve c'est un lobby de hackers en tout genre qui incite les PCistes à passer sous Mac!

[invite5546a17c]

Avant de faire appel à vos services, j'avais exécuté les programmes "SDFix" et "ComboFix". Si ça se trouve c'est pour ça que vous ne tombez pas sur les résultats de désinfection souhaités.

J'avais également fait un "scan en ligne Kaspersky".

J'ai téléchargé et exécuté "EXE File Association Fix" aussi que j'ai trouvé ici :
http://www.dougknox.com/xp/file_assoc.htm
Ceci afin de pouvoir peut-être réexécuter normalement tous les fichiers .exe. Mais rien n'y a fait.

[Cyrrus]

Bonjour,

Avant de faire appel à vos services, j'avais exécuté les programmes "SDFix" et "ComboFix". Si ça se trouve c'est pour ça que vous ne tombez pas sur les résultats de désinfection souhaités.

C'est même certain....

Poste les rapports des deux logiciels, mais tu n'aurais pas du t'en servir, car ils peuvent endommager ton pc si mal utilisé.

Cyrrus

[invite5546a17c]

Aïe aïe aïe...Je m'en doutais. Si ça se trouve je suis bon pour une réinstallation complète du système!
Mon PC en carafe, c'est la misère! Il va au-moins falloir que je sauvegarde tous mes messages présents dans OutLook et je n'ai jamais fait ça, ainsi que toutes mes productions pour sites Internet, blogs et podcasts. Mon travail est gelé, c'est la galère totale!

En attendant, en pièces jointes il y a les rapports ComboFix et SDFix que j'avais généré.

[Cyrrus]

Bonjour,

Aïe aïe aïe...Je m'en doutais.

Pourtant tu l'as fais...2 fois de suite.

Si ça se trouve je suis bon pour une réinstallation complète du système!

Je n'ai pas dit que ca allait forcément endommager ton pc, les outils sont mêmes codés pour l'éviter, mais vu ce qu'il tripote/peuvent tripoter, ce n'est pas à exclure, d'où une utilisation un peu encadrée.

• Crée un fichier texte que tu nommeras CFScript dans lequel tu inscriras ceci (copier/coller) :
  
  Code:

  File::
  C:\Documents and Settings\All Users\Application Data\bado.dat
  C:\WINDOWS\tiboteqoq.bat
  C:\Documents and Settings\All Users\Application Data\kugim.pif
  C:\WINDOWS\nefaly.pif
  C:\WINDOWS\gytyvuwoz.exe
  C:\WINDOWS\system32\yrexa.pif
  C:\Documents and Settings\greg\Application Data\rekikyfega.bin
  C:\WINDOWS\system32\terytu.scr
  C:\Documents and Settings\greg\Application Data\monyge.exe
  C:\WINDOWS\wejyv.ban

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Cyrrus

[invite5546a17c]

Bonjour,

Après avoir suivi les dernières instructions, le rapport ComboFix est en pièce jointe.

[invite5546a17c]

Bonjour,

Après avoir suivi les dernières instructions, le rapport ComboFix est en pièce jointe.

Désolé, j'ai omis d'attacher le rapport ComboFix dans le précédent message. Le voici en pièce jointe.

[Cyrrus]

Bonjour,

Il reste une chose à supprimer. Refais un CFScript avec ceci dedans :

Code:

Driver::
musbehco
File::
c:\docume~1\greg\LOCALS~1\Temp\musbehco.sys

Poste le nouveau rapport Combofix en pièces jointes.

Bonne journée
Cyrrus

[invite5546a17c]

Bonjour,

Voici le dernier rapport ComboFix en pièce jointe conformémant aux dernières instructions données.

[invite5546a17c]

Bonjour,

Est-ce que tu as pu analyser le dernier rapport ComboFix?
Quelle est ton opinion? Dois-je réinstaller le système?

Les logiciels PackOffice ne fonctionnent toujours pas. Quand j'essaye de lancer OutLook, une petite fenêtre fait mine de chercher le programme (avec une lampe de poche que se balance de droite à gauche sur une icône de dossier) puis une autre fenêtre s'ouvre disant que le fichier est introuvable.
Si je souhaite lancer un programme autre que Word, Excel ou OutLook, je suis toujours obligé de modifier l'extension .exe par .cmd (ce qui fait que je n'ai pas les icônes habituelles).

Merci beaucoup pour ton aide et ton avis sur la question.

[Cyrrus]

Bonsoir,

Vu les symptômes, on dirait que tu as fait une réparation sans perte de données, est-ce le cas ?

Je veux bien continuer la désinfection, mais dans tous les cas je ne pense pas que cela influera sur les problèmes que tu me décrits (apparemment il y a des associations programmes > extension qui ont été endommagées).

Bonne journée
Cyrrus