High-Tech Santé Médecine Droit-Finances

Test

appareil photo

Samsung PL55

Rechercher : dans
Par :

SSVICHOSST Virus ou quoi?

Dernière réponse le 4 nov 2008 à 08:38:20 hmcirta, le 13 jun 2007 à 01:38:48 
 Signaler ce message aux modérateurs

Bonjour à tous

Win XP - F-Secure avec avant dernière mise à jour.
Depuis une semaine environ, et une fois que j'introduit un flash disque, un message agaçant disant "il n'y a pas de disque dans le lecteur" ne cesse pas m'empoisonner la vie. je n'arrive pas à fermer cette fenêtre, un je dois en plus de ça clicker plusieurs fois sur le buton "continuer" pour pouvoir ouvrir des applications (Word, Excel, etc..). Aussi, Ctrl+Alt+Supp m'affiche une fenêtre avec le bouton du "Gestionnaire des tâches" grisé (non accessible).
Sachant qu'en plus de ça, "Options de dossiers" a disparu du menu "outil" et du "Panneau de configuration".
J'ai essayé AVG avec dernière mise à jour, BitDefender, et KASPERSKY mais sans succés.

Après avoir utilisé un utilitaire qui fixe le "gestionnaire des tâches", j'ai pu y accéder (au gestionnaire des tâches), et là en supprimant les 2 processus "ssvichosst.exe" le message disparait après avoir clicker 2 fois sur "continuer". Mais une fois que je redémarre windows, rebolotte et faut faire la même chose à chaque fois.

Y at il une personne qui pourrait m'aider SVP? - Merci de me faciliter la vie
____
A quoi sert la connaissance si elle n'est pas partagée

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « SSVICHOSST Virus ou quoi? » dans :
[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...
Virus et Malwares ... Le truc pour les éliminer Voir
Quel est le meilleur anti-virus ? VoirC'est une question qui est très souvent posée dans le forum et les débats sont très souvent animés. Certains pensent que les meilleurs anti-virus sont ceux ci-dessous : ANTIVIR AVAST AVG Gdata Bit Defender
Télécharger AVG Anti-Virus Voir
Télécharger Kaspersky Anti-Virus Voir
Télécharger Avast! Virus Cleaner VoirTout le monde connaît l' antivirus gratuit Avast. Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus gratuit, permettant de supprimer de l'ordinateur, les infections d'une vaste gamme de virus et de vers (worms). Si, malgré toutes...
Virus - Introduction aux virus VoirVirus Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante : « Tout...
Utilitaires de désinfection des principaux virus et vers VoirQu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus...
Posez votre question Répondre

1

soprno49150, le 13 jun 2007 à 07:22:40
  • +1

Si kaspersky nariva pa a detecter de virus c peut etre un prob materiel
esay de poser ta kestion sur le forum materiel
c just eun petite idee

   
Répondre à soprno49150

2

hmcirta, le 13 jun 2007 à 20:15:00

Merci pour ton idée soprno49150 mais je ne pense pas que ce soit ça, puisque tout allait très bien jusqu'à ce qu'un type introduise son flash disque dans le PC, et depuis ce message s'est incrusté. Mais je posterai quand même mon message dans le forum materiel... sait on jamais A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

3

soprno49150, le 13 jun 2007 à 22:58:48

Redemare ton pc en mode sans echec avec prise en charge reseau
puis fais une analyse on line scaner sur le site de kaspersky
di moi si sa a marcher

   
Répondre à soprno49150

4

hmcirta, le 13 jun 2007 à 23:32:04

Je n'ai pas de connection à internet, et le PC en question est au bulot, et je m'y rends que dans 4 semaines pour travailler 4 autres semaines. Il va faloir attendre un peu, mais je vous tiendrai informés de l'évolution du problème.... promis A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

5

soprno49150, le 14 jun 2007 à 07:10:09

Ok ba pa dotre ider

dsl

   
Répondre à soprno49150

6

Nad, le 22 jun 2007 à 21:37:43

Ca ressemble en effet au virus SSVICHOSST qui se transmet par flash disk. http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=142233

   
Répondre à Nad

9

hmcirta, le 30 jun 2007 à 21:42:36

Salut Nad

Tout d'abord merci pour le lien, ça m'a permi de comprendre quelques trucs en plus.

C'est exactement comme tu dis, et c'est après introduction d'un flash disque que la machine a été infecté par ce worm. On a essayé KASPERSKY sans succès (AVG et F-Secure (MAJ Juin) n'ont rien fait non plus)

Reste plus qu'à essayer McAfee.

Merci Nad A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

7

nassim25, le 27 jun 2007 à 12:41:45

Salam alikoum (Salu en arab)

SSvighosst.exe est un virus , plus de la desactivation du gestionaire des tache il cree un fichier exicutable dans chaque fichier ouvert.


Pour la solution je pense que kaspersky peut le suprimé et il vous reste a ectivé le gestionaire des tache.

Si kaspersky n'arvive pas a le suprimé j'ai une petite astuce :

Il faut metre le fichier C:\Windows\ssvichosst.exe en quarantine manuelement et le suprimé aprés le prochain demarage .

et meme truc pour le fichier TonFlash\ssvichosst.exe.

mais si vous utilisé un autre falsh non desinficté le virus revien.

   
Répondre à nassim25

8

khal, le 29 jun 2007 à 14:27:05

Je suis touché par SSVICHOSST j'ai rien comprid de ce virus, pourriez vous m'aider à le supprimer ..merci à l'avance .

   
Répondre à khal

10

moe, le 1 jui 2007 à 00:16:14
  • +2

Salut hmcirta

Ce ver est une drôle de saleté :-), quand l'infection est active, il empêche l'utilisation de certains programmes en refermant immédiatement leur fenêtres et télécharge puis installe un keylogger qui à pour but de recupérer tout ce que tu tapes au clavier, que ce soit dans une application, une page web, un tchat...etc.
D'ailleur si tu utilises souvent des logiciels de traitement de texte, du bloc-notes à Word et quand l'infection était active, tu as surement du t'apercevoir du petit soucis avec l'accent circonflexe ;-).

Quoi qu'il en soit, si les divers scan AV ne donnent rien de concluant, tu peux toujours essayer ceci, c'est un script vbs qui automatise la suppression de ce ver.
Tu pourras le télécharger ici:
http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
Le lien est valable 21 jours

Une fois fait, dezippe le fichier (clic-droit dessus > extraire tout) à un endroit ou tu seras sur(e) de le retrouver facilement.
Tu obtiendras un fichier nommé Hakafix.vbs qu'il te suffira d'exécuter sur le pc infecté.
Au fur et à mesure de la désinfection plusieurs fenêtres s'ouvriront avec le résultat des différentes étapes effectuées (arrêt des processus, nettoyage registre et suppression fichiers).
Il te faudra simplement cliquer sur "OK" à chacunes de ces fenêtres et étapes.

Voilà, en espérant que cela puisse t'aider, si bien sur d'ici là tu n'as pas déjà réglé le problème :-)

Bonne continuation.

   
Répondre à moe

11

hmcirta, le 1 jui 2007 à 21:50:56
  • +1

Salut moe

Un grand merci à toi; ... non pas encore, je n'ai pas encore essayé ton script , mais un grand merci pour les explications et la description très claire que tu m'as donné et aussi pour le lien.
Je te tiendrai informé du resultat, mais tu devras patienter un bon moment, car le PC infecté est au boulot qui se trouve à 800 km de chez moi, et je dois m'y rendre dans une semaine pour rentrer chez moi aprés 4 semaines de travail.... Hé oui c'est long, mais pas plus que pour moi. Alors je te donne rendez-vous à toi et à tout ceux qui m'ont proposé des idées aux environs du 10 août.

Merci à tous A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

13

dokrate, le 8 aoû 2007 à 17:17:30

Yo si qq peu menvoyer ce script jarive plus a mettre la main dessus le lien est mort
de plus ce vers me pouris la vie serieusement
merci davanace
mon adresse
issaoua@hotmail.com

   
Répondre à dokrate

24

mila, le 26 sep 2007 à 10:38:18

Salut moe,
est ce que tu peux m'envoyer ce script, le lien n'est plus valable.
merci
sait2004@hotmail.com

   
Répondre à mila

25

moe, le 26 sep 2007 à 12:49:19
  • +2

Bonjour Mila

Pour sscviihost.exe/new folder.exe & co, mieux vaut que tu télécharge et passe d'abord cet outil qui supprime très bien cette infection:
Flash Disinfector de sUBs
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Avant de le lancer, assures-toi que tous les périphériques externes qui auraient pu être infectés soit bien connectés au pc.
Passes ensuite Flash_Disinfector et laisse toi guider. (Le bureau va disparaitre puis réapparaitre, c'est normal).

Si jamais l'infection ou la partie "Keylogger" parfois installée avec cette infection devait persister après le passage de Flash_Disinfector, voilà le code du script qui pourra t'être utile:
(A noter que ce script, n'est plus updaté depuis 1 mois et demi..)

Ouvre le bloc note, et copie et colle absolument tout ce qui est en bleu ci-dessous.
Une fois fait, et dans le menu "Fichier" du bloc notes, clic sur enregistrer.
Dans la boîte de dialogue qui s'ouvrira :
- Choisis le bureau comme lieu de destination
- Dans : [Nom du fichier] tu mets -> Hakafix.vbs
- Dans : [Type] -> selectionne dans le menu déroulant: "Tous les fichiers"
Clic sur le bouton [Enregistrer]

Sur ton bureau, tu trouveras si tout c'est bien passé jusque là, un fichier nommé: Hakafix.vbs
Double clic dessus pour l'exécuter.

Tout ceci bien sur, ne te dispense pas de faire scanner ton pc par un antivirus.
Que se soit par un AV en ligne ou ton Antivirus résident une fois mis à jours.

Bon courage Mila :-)

Code source du script : 

Option Explicit

Dim WshShell, DocDir, TmpDir, WinDir, SysDir
Dim strComp, strLogs, arrProcs(6), arrFiles(45)

Set WshShell = WScript.CreateObject("WScript.Shell")
DocDir = WshShell.ExpandEnvironmentStrings("%UserProfile%") & chr(92)
TmpDir = WshShell.ExpandEnvironmentStrings("%Temp%") & chr(92)
WinDir = WshShell.ExpandEnvironmentStrings("%WinDir%") & chr(92)
SysDir = WinDir & chr(92) & "system32" & chr(92)

strComp = "."
strLogs = ""

arrProcs(0) = "rvhost.exe"
arrProcs(1) = "ssvichosst.exe"
arrProcs(2) = "sscviihost.exe"
arrProcs(3) = "new folder.exe"
arrProcs(4) = "skcvhost.exe"
arrProcs(5) = "svichoost.exe"
arrProcs(6) = "systems.exe"

arrFiles(0)  = WinDir & "RVHOST.exe"
arrFiles(1)  = WinDir & "SSVICHOSST.exe"
arrFiles(2)  = WinDir & "SSCVIIHOST.exe"
arrFiles(3)  = WinDir & "Tasks\At1.job"
arrFiles(4)  = SysDir & "nhatquanglan9.exe"
arrFiles(5)  = SysDir & "nhatquanglan11.exe"
arrFiles(6)  = SysDir & "SSVICHOSST.exe"  
arrFiles(7)  = SysDir & "SSCVIIHOST.exe"
arrFiles(8)  = SysDir & "New Folder.exe"
arrFiles(9)  = SysDir & "hinhem.scr"
arrFiles(10) = SysDir & "blastclnnn.exe"
arrFiles(11) = SysDir & "autorun.ini"
arrFiles(12) = SysDir & "setting.ini"
arrFiles(13) = SysDir & "setting.xls"
arrFiles(14) = SysDir & "SKCVHOST.exe"
arrFiles(15) = SysDir & "SKCVHOSTr.exe"
arrFiles(16) = SysDir & "SKCVHOSThk.dll"
arrFiles(17) = SysDir & "SCVHSOT.exe"
arrFiles(18) = SysDir & "SYSTEMS.exe"
arrFiles(19) = SysDir & "SYSTEMShk.dll"
arrFiles(20) = SysDir & "SYSTEMShk.dll"
arrFiles(21) = SysDir & "test1.exe"
arrFiles(22) = SysDir & "apps.dat"
arrFiles(23) = SysDir & "bpk.bin"
arrFiles(24) = SysDir & "bpk.dat"
arrFiles(25) = SysDir & "bpk.exe"
arrFiles(26) = SysDir & "bpkch.dat"
arrFiles(27) = SysDir & "bsdhooks.dll"
arrFiles(28) = SysDir & "inst.dat"
arrFiles(29) = SysDir & "inst.tmp"
arrFiles(30) = SysDir & "kw.dat"
arrFiles(31) = SysDir & "mc.dat"
arrFiles(32) = SysDir & "pk.bin"
arrFiles(33) = SysDir & "rinst.dat"
arrFiles(34) = SysDir & "rinst.exe"
arrFiles(35) = SysDir & "titles.dat"
arrFiles(36) = SysDir & "web.dat"
arrFiles(37) = SysDir & "web.dll"
arrFiles(38) = SysDir & "keystrokes.html"
arrFiles(39) = SysDir & "websites.html"
arrFiles(40) = SysDir & "chats.html"
arrFiles(42) = SysDir & "report.txt"
arrFiles(43) = SysDir & "SSVICHOSST.exe" 
arrFiles(44) = SysDir & "nhatquanglan18.exe"
arrFiles(45) = SysDir & "nhatquanglan20.exe"

delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bpk"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYSTEMS"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SKCVHOST"
setRegVal "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe", "REG_SZ"
delRegVal "HKLM\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxHours"

If strLogs <> "" Then
  WScript.Echo "Winlogon... Restauration valeur Explorer.exe : " & VBCrLf & VBCrLf & strLogs
  strLogs = ""
End If

Sub setRegVal(Target, Value, Reg)
  On Error Resume Next
  WshShell.RegWrite Target, Value, Reg
  If Err = 0 Then
    strLogs = strLogs & ".. " & Target & " to " & Value & VBCrLf
  End If
  Err.Clear
  On Error Goto 0
End Sub

Sub delRegVal(Target)
  On Error Resume Next
  WshShell.RegDelete Target
  If Err = 0 Then
    strLogs = strLogs & "Valeurs supprimés : " & Target & VBCrLf
  End If
  Err.Clear
  On Error Goto 0
End Sub

Dim objWMI : Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComp & "\root\cimv2")
Dim objFSO : Set objFSO = WScript.CreateObject("Scripting.FileSystemObject")

If Err = 0 Then
  KillProcs
  Set objWMI = Nothing
  Set objFSO = Nothing
End If
Err.Clear

Sub KillProcs
  ' Variables
  Dim objProc, objFile
  Dim strFile, i
  
  Dim colProc : Set colProc = objWMI.ExecQuery("Select Name from Win32_Process")
  For Each objProc in colProc
    For i=0 to UBound(arrProcs)
      If arrProcs(i) = LCase(CStr(objProc.Name)) Then
        objProc.Terminate()
        strLogs = strLogs & "Processus arrêté: " & arrProcs(i) & VBCrLf
        Exit For
      End If
    Next
  Next
  
  Set colProc = Nothing
  Set objProc = Nothing
  
  For i=0 to UBound(arrFiles)
    RemoveFile arrFiles(i)
  Next
   
  RemoveTmpFolder TmpDir
  
  If strLogs <> "" Then
    WScript.Echo "Scan en cours: " & VBCrLf & VBCrLf & strLogs
  End If
End Sub

Sub RemoveTmpFolder(Target)
  On Error Resume Next
  Dim tmpDir : Set tmpDir = objFSO.GetFolder(Target)
  Dim tmpFolder, tmpFile
  
  For Each tmpFile In tmpDir.Files
    tmpFile.Attributes = 0
    tmpFile.Delete
  Next
  
  For Each tmpFolder In tmpDir.SubFolders
    RemoveTmpFolder tmpFolder.Path
    tmpFolder.Attributes = 0
    tmpFolder.Delete
  Next
  
  Set tmpDir    = Nothing
  Set tmpFolder = Nothing
  Set tmpFile   = Nothing
  On Error Goto 0
End Sub

Sub RemoveFile(Target)
  On Error Resume Next
  If objFSO.FileExists(Target) Then
    Dim objFile : Set objFile = objFSO.GetFile(Target)
    objFile.attributes = 0
    objFile.Delete
    Set objFile = Nothing
    strLogs = strLogs & "Fichier supprimé : " & Target & VBCrLf
  End If
  On Error Goto 0
End Sub

WScript.Echo "Fin du nettoyage."
WScript.Quit

   
Répondre à moe

42

 INCONNUE, le 4 nov 2008 à 08:38:20

Slt j'ai vue que tu a répondue a un poste sur le worn SSVICHOSST.moi aussi je l'ai choper (pourtant je fait vachement attention) alors peu tu réactiver le lien que tu avais mie stpppp.


merci d'avance
metang10

   
Répondre à INCONNUE

12

hani, le 17 jui 2007 à 11:19:33

Bonjour a tous ban c vre sa marche

   
Répondre à hani

14

hmcirta, le 8 aoû 2007 à 18:00:44

Salut à tous

Me voilà de retour chez moi, après 4 LONGUES SEMAINES de travail.

En arrivant je me suis rendu compte qu'on a changé mon PC, donc pas de virus..., mais "heureusement" un collègue l'avait lui aussi, ce qui m’a permis d’essayer ce script (hakafix), et ça a l’air d’avoir marché, en tout cas plus de SSVICHOSST.EXE dans la liste des processus de windows.

Merci a toi moe de ton aide, et surtout pour le script

A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

15

moe, le 8 aoû 2007 à 18:48:49

Salut hmcirta

On a changé ton pc... Lol, c'est un peu radical comme solution :-)
J'espère que tu y auras gagné au change !

Merci d'avoir donné de tes nouvelles en tout cas et d'avoir aussi confirmé par la même occasion que le script a fonctionné pour ton collègue.
Ca ne lui dispense pas bien sur de faire analyser son pc par un ou plusieurs antivirus en ligne, histoire d'être sur que cette infection ne soit pas "que" la partie cachée de l'iceberg.

De rien et bonne continuation hmcirta.

a++

PS pour dokrate:

J'ai réuploadé le script ici:
http://cjoint.com/data/iisHLw6Qhc_Hakafix.vbs
Il me semble aussi que Flash_Disinfector traite cette infection:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
A essayer en complément.

   
Répondre à moe

16

fouz, le 8 aoû 2007 à 19:38:07

Je viens d'utilliser Flash Desinfector et mes problemes ont disparus , j'ai reccuperé le gestionnaire de taches et je n'ai plus à explorer les partitions pour pouvoire les ouvrir.Merci beaucoup Moe

   
Répondre à fouz

17

hmcirta, le 8 aoû 2007 à 21:42:07

Salut moe

Pour le PC on m'a dit que c'est pour dépanner en attendant qu'on nettoie le mien. Mais sans aucun doute rien à gagner puisque je perds mes softwares, mais ce n'est pas grave pourvu qu'on réussisse à le nettoyer. En tout cas je leur ai donné le script. On verra bien

Au fait, merci pour le nouveau lien. Je l'ai déjà essayé sur mes clés USB. Est-ce normal que toutes les icones du bureau disparaissent durant l'exécution?

A + A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

18

moe, le 8 aoû 2007 à 22:16:21

Salut hmcirta

En fait je pensais pas qu'il s'agisait d'un échange juste le temps du nettoyage, mais que tu avais hérité d'un nouveau pc flambant neuf :-)

Oui, c'est tout à fait normal pour les icônes qui disparaissent avec Flash_Disinfector.
Les icônes disparaissent momentanément car pendant la procédure de nettoyage, le processus explorer.exe (qui correspond en gros au bureau) est "terminé", puis réactivé ensuite en fin de procédure.
Dans les cas de certaines infections particulières ou il y a un problème pour accéder à l'ouverture de la clé ou DD externe, comme par exemple un message indiquant que "tel" fichier n'a pas pu être trouvé ou une boîte de dialogue qui demande de choisir un programme pour pouvoir ouvrir le DD ou la clé, et bien cette technique permet une fois le nettoyage effectué, de réinitialiser l'explorateur (explorer.exe) et d'éviter un redemarrage du pc, pour pouvoir retrouver une ouverture normale de la clé infectée.

Flash_Disinfector est efficace contre SSVICHOSST, mais il existe une variante qui est en plus couplé à un keylogger et dans ce cas malheureusement, Flash_Disinfector ne traite pas la partie "keylogger".
Le script lui traite aussi la partie keylogger, mais comme je n'ai pu tester cette infection qu'une seule fois sous cette forme et comme je te le disais dans mon post précédant, ça ne dispense donc pas ensuite de rester prudent et de faire au minimum un scan AV en ligne, histoire d'être certain que l'infection est totalement éradiquée.

Tiens moi au courant en tout cas pour la suite et de ce qu'aura donné le nettoyage de ton pc :-)

a++

   
Répondre à moe

19

hmcirta, le 8 aoû 2007 à 23:21:53

Salut moe

Merci pour les explications que tu m'as donné, ça m'a soulagé de le savoir, car à un moment j'avais peur.

Tout a fait c'est ce que je comptais faire une fois de retour au boulot.

Tien ça m'a rappelé quelque chose. Avant d'essayer le script, on a tenté de faire un "nettoyage" manuel en changeant les valeurs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Policies\Explorer et changer la valeur de "NoFolderOptions" par 0 ce qui a permis de remettre "Options de Dossier". Aussi on a exécuté "msconfig" et on a décoché la case de "SSVICHOSST.EXE" pour l'empêcher de s'exécuter au démarrage. Mais ça n'a pas durer longtemps puisque "Options de Dossiers" a disparu encore une fois et on a retrouver "SSVICHOSST.EXE" parmis les processus (Ayant utiliser TaskManagerFix pour réactiver Ctrl+Alt+Supp).

Alors qu'est-ce qui a pu faire exécuter "SSVICHOSST.EXE" alors qu'on a décoché sa case dans "msconfig"? j'ai du raté un épisode… ;-)
A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

20

moe, le 9 aoû 2007 à 22:55:40
  • +1

Salut hmcirta

En fait il ne vous manquait plus qu'une clé pour le neutraliser :-) , en plus de celle que tu cites il y a aussi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"= Explorer.exe SSVICHOSST.exe

Ce qui donne quand on regarde un rapport hijackthis, ceci:

F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe

Pour faire simple, dès que pendant la procédure de démarrage de windows, le bureau apparaissait, SSVICHOSST.exe était exécuté en même temps que le chargement du bureau.

Dans certaines variantes, le ver utilise une tâche planifiée qui est automatiquement exécutée à intervalles réguliers pour relancer l'infection.
Il me semble aussi que ce ver utilise les partages réseau pour se propager, la variante que j'avais pu tester utilisait le fichier nommé New Folder.exe dont l'icône était la même que celles des dossiers.
Facile de se tromper dans ce cas, si les extentions de fichier ne sont pas visibles car ça laisse penser qui s'agit d'un nouveau dossier.
Si jamais c'était ton cas (pc en réseau), le mieux est de désactiver momentanément tous les partages sur chaque pc et de traiter chaques machines une par une, sinon c'est la partie de cache-cache assurée pendant des jours :-)

Voilà, j'espère que ça répondra à ta question !

a++


PS:

Je viens d'updater le script avec l'ajout de la détection et suppression de ces 4 fichiers:

c:\WINDOWS\system32\nhatquanglan18.exe
c:\WINDOWS\system32\nhatquanglan20.exe
c:\WINDOWS\system32\SCVHSOT.exe
c:\WINDOWS\system32\test1.exe

http://cjoint.com/data/ijwYzBXqzm_Hakafix.vbs

   
Répondre à moe

21

hmcirta, le 10 aoû 2007 à 21:45:28

Salut moe

Merci pour les explications, je dois dire que j'ai beaucoup apris avec toi et je t'en remerci.

Pour "New Folder.exe", c'est vrai c'est ce que j'avais remarqué sur le PC des voisin qui sont sous réseau. Merci pour le tuyeau, ça me permettra d'être sur mes gardes.

Merci encore moe

A +

A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

22

hmcirta, le 10 aoû 2007 à 21:47:16

Salut moe

Heu... j'avais oublié... merci pour le nouveau script, je vais l'essayer la prochaine fois

A + A quoi sert la connaissance si elle n'est pas partagée

   
Répondre à hmcirta

23

isaak, le 18 aoû 2007 à 18:34:35

Merci bocoup jai pu resoudre le probleme grace à ton aide

   
Répondre à isaak

26

mila, le 2 oct 2007 à 12:51:41

Bonjour,
merci moe por ton script, j'ai deja formaté mon pc mais il y'a d'autres pc infectés je vais essayer le script que tu as envoyé et j'espere que sa va marcher.
bonne journee

   
Répondre à mila

27

Mila, le 8 oct 2007 à 11:14:31

Bonjour,
merci moe, ton script marche à merveille je l'ai testé sur deux pc, tu es un vrai genie.
merci encore,
Mila

   
Répondre à Mila

28

JLM, le 8 oct 2007 à 12:32:51

Bonjour,
merci MOE pour tes explications sur SSVICHOSST,
Après avoir lancer mac afee (resultat mise en quarantaine de SSVICHOSST.exe) j'avais toujours des problèmes méssage d'erreur fichier non trouvé au démarrage, Gestionnaire des taches et niveau d'acces "adminstrateur" non accessible.
J'ai lancer Flash disinfector et j'ai récupéré le gestionnaire des taches ainsi que le niveau d'acces "adminstrateur" sur mon PC.
J'ai également supprimé le nom du fichier à la suite de explorer dans la clé du registre

Une petite question pour approfondir
Comment savoir s'il est nécessaire d'utiliser ton script après ces actions? (tout semble OK)
Ou comment savoir si une partie KEY LOGGER est encore présente sur mon PC

   
Répondre à JLM

29

farouk, le 16 oct 2007 à 09:55:50

Bonjour,
j'ai le meme probleme
merci

je cherche:http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
la date de validite est terminé

   
Répondre à farouk
42 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide