rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut :

SSVICHOSST Virus ou quoi?

Posté par hmcirta, le mercredi 13 juin 2007 à 01:38:48
Bonjour à tous

Win XP - F-Secure avec avant dernière mise à jour.
Depuis une semaine environ, et une fois que j'introduit un flash disque, un message agaçant disant "il n'y a pas de disque dans le lecteur" ne cesse pas m'empoisonner la vie. je n'arrive pas à fermer cette fenêtre, un je dois en plus de ça clicker plusieurs fois sur le buton "continuer" pour pouvoir ouvrir des applications (Word, Excel, etc..). Aussi, Ctrl+Alt+Supp m'affiche une fenêtre avec le bouton du "Gestionnaire des tâches" grisé (non accessible).
Sachant qu'en plus de ça, "Options de dossiers" a disparu du menu "outil" et du "Panneau de configuration".
J'ai essayé AVG avec dernière mise à jour, BitDefender, et KASPERSKY mais sans succés.

Après avoir utilisé un utilitaire qui fixe le "gestionnaire des tâches", j'ai pu y accéder (au gestionnaire des tâches), et là en supprimant les 2 processus "ssvichosst.exe" le message disparait après avoir clicker 2 fois sur "continuer". Mais une fois que je redémarre windows, rebolotte et faut faire la même chose à chaque fois.

Y at il une personne qui pourrait m'aider SVP? - Merci de me faciliter la vie
____
A quoi sert la connaissance si elle n'est pas partagée
Config­uration: Windows XP
Internet Explorer 6.0
Répondre à hmcirta  Signaler ce message aux modérateurs Aller au dernier message
41 réponses 12

2


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
soprno49150, le mercredi 13 juin 2007 à 07:22:40
si kaspersky nariva pa a detecter de virus c peut etre un prob materiel
esay de poser ta kestion sur le forum materiel
c just eun petite idee
   
Répondre à soprno49150

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le mercredi 13 juin 2007 à 20:15:00
Merci pour ton idée soprno49150 mais je ne pense pas que ce soit ça, puisque tout allait très bien jusqu'à ce qu'un type introduise son flash disque dans le PC, et depuis ce message s'est incrusté. Mais je posterai quand même mon message dans le forum materiel... sait on jamais A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
soprno49150, le mercredi 13 juin 2007 à 22:58:48
redemare ton pc en mode sans echec avec prise en charge reseau
puis fais une analyse on line scaner sur le site de kaspersky
di moi si sa a marcher
   
Répondre à soprno49150

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le mercredi 13 juin 2007 à 23:32:04
Je n'ai pas de connection à internet, et le PC en question est au bulot, et je m'y rends que dans 4 semaines pour travailler 4 autres semaines. Il va faloir attendre un peu, mais je vous tiendrai informés de l'évolution du problème.... promis A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
soprno49150, le jeudi 14 juin 2007 à 07:10:09
ok ba pa dotre ider

dsl
   
Répondre à soprno49150

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Nad, le vendredi 22 juin 2007 à 21:37:43
Ca ressemble en effet au virus SSVICHOSST qui se transmet par flash disk. http://us.mcafee.com/virusInfo/default.asp?id=description&vi­rus_k=142233
   
Répondre à Nad

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le samedi 30 juin 2007 à 21:42:36
Salut Nad

Tout d'abord merci pour le lien, ça m'a permi de comprendre quelques trucs en plus.

C'est exactement comme tu dis, et c'est après introduction d'un flash disque que la machine a été infecté par ce worm. On a essayé KASPERSKY sans succès (AVG et F-Secure (MAJ Juin) n'ont rien fait non plus)

Reste plus qu'à essayer McAfee.

Merci Nad A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
nassim25, le mercredi 27 juin 2007 à 12:41:45
Salam alikoum (Salu en arab)

SSvighosst.exe est un virus , plus de la desactivation du gestionaire des tache il cree un fichier exicutable dans chaque fichier ouvert.


Pour la solution je pense que kaspersky peut le suprimé et il vous reste a ectivé le gestionaire des tache.

Si kaspersky n'arvive pas a le suprimé j'ai une petite astuce :

Il faut metre le fichier C:\Windows\ssvichosst.exe en quarantine manuelement et le suprimé aprés le prochain demarage .

et meme truc pour le fichier TonFlash\ssvichosst.exe.

mais si vous utilisé un autre falsh non desinficté le virus revien.
   
Répondre à nassim25

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
khal, le vendredi 29 juin 2007 à 14:27:05
je suis touché par SSVICHOSST j'ai rien comprid de ce virus, pourriez vous m'aider à le supprimer ..merci à l'avance .
   
Répondre à khal


  • 2    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
moe, le dimanche 1 juillet 2007 à 00:16:14
Salut hmcirta

Ce ver est une drôle de saleté :-), quand l'infection est active, il empêche l'utilisation de certains programmes en refermant immédiatement leur fenêtres et télécharge puis installe un keylogger qui à pour but de recupérer tout ce que tu tapes au clavier, que ce soit dans une application, une page web, un tchat...etc.
D'ailleur si tu utilises souvent des logiciels de traitement de texte, du bloc-notes à Word et quand l'infection était active, tu as surement du t'apercevoir du petit soucis avec l'accent circonflexe ;-).

Quoi qu'il en soit, si les divers scan AV ne donnent rien de concluant, tu peux toujours essayer ceci, c'est un script vbs qui automatise la suppression de ce ver.
Tu pourras le télécharger ici:
http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
Le lien est valable 21 jours

Une fois fait, dezippe le fichier (clic-droit dessus > extraire tout) à un endroit ou tu seras sur(e) de le retrouver facilement.
Tu obtiendras un fichier nommé Hakafix.vbs qu'il te suffira d'exécuter sur le pc infecté.
Au fur et à mesure de la désinfection plusieurs fenêtres s'ouvriront avec le résultat des différentes étapes effectuées (arrêt des processus, nettoyage registre et suppression fichiers).
Il te faudra simplement cliquer sur "OK" à chacunes de ces fenêtres et étapes.

Voilà, en espérant que cela puisse t'aider, si bien sur d'ici là tu n'as pas déjà réglé le problème :-)

Bonne continuation.
   
Répondre à moe

11


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le dimanche 1 juillet 2007 à 21:50:56
Salut moe

Un grand merci à toi; ... non pas encore, je n'ai pas encore essayé ton script , mais un grand merci pour les explications et la description très claire que tu m'as donné et aussi pour le lien.
Je te tiendrai informé du resultat, mais tu devras patienter un bon moment, car le PC infecté est au boulot qui se trouve à 800 km de chez moi, et je dois m'y rendre dans une semaine pour rentrer chez moi aprés 4 semaines de travail.... Hé oui c'est long, mais pas plus que pour moi. Alors je te donne rendez-vous à toi et à tout ceux qui m'ont proposé des idées aux environs du 10 août.

Merci à tous A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
dokrate, le mercredi 8 août 2007 à 17:17:30
yo si qq peu menvoyer ce script jarive plus a mettre la main dessus le lien est mort
de plus ce vers me pouris la vie serieusement
merci davanace
mon adresse
issaoua@hotmail.com
   
Répondre à dokrate

24


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
mila, le mercredi 26 septembre 2007 à 10:38:18
salut moe,
est ce que tu peux m'envoyer ce script, le lien n'est plus valable.
merci
sait2004@hotmail.com
   
Répondre à mila

25


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
moe, le mercredi 26 septembre 2007 à 12:49:19
Bonjour Mila

Pour sscviihost.exe/new folder.exe & co, mieux vaut que tu télécharge et passe d'abord cet outil qui supprime très bien cette infection:
Flash Disinfector de sUBs
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­tor.exe

Avant de le lancer, assures-toi que tous les périphériques externes qui auraient pu être infectés soit bien connectés au pc.
Passes ensuite Flash_Disinfector et laisse toi guider. (Le bureau va disparaitre puis réapparaitre, c'est normal).

Si jamais l'infection ou la partie "Keylogger" parfois installée avec cette infection devait persister après le passage de Flash_Disinfector, voilà le code du script qui pourra t'être utile:
(A noter que ce script, n'est plus updaté depuis 1 mois et demi..)

Ouvre le bloc note, et copie et colle absolument tout ce qui est en bleu ci-dessous.
Une fois fait, et dans le menu "Fichier" du bloc notes, clic sur enregistrer.
Dans la boîte de dialogue qui s'ouvrira :
- Choisis le bureau comme lieu de destination
- Dans : [Nom du fichier] tu mets -> Hakafix.vbs
- Dans : [Type] -> selectionne dans le menu déroulant: "Tous les fichiers"
Clic sur le bouton [Enregistrer]

Sur ton bureau, tu trouveras si tout c'est bien passé jusque là, un fichier nommé: Hakafix.vbs
Double clic dessus pour l'exécuter.

Tout ceci bien sur, ne te dispense pas de faire scanner ton pc par un antivirus.
Que se soit par un AV en ligne ou ton Antivirus résident une fois mis à jours.

Bon courage Mila :-)

Code source du script : 
Option Explicit

Dim WshShell, DocDir, TmpDir, WinDir, SysDir
Dim strComp, strLogs, arrProcs(6), arrFiles(45)

Set WshShell = WScript.CreateObject("WScript.Shell")
DocDir = WshShell.ExpandEnvironmentStrings("%UserProfile%")­ & chr(92)
TmpDir = WshShell.ExpandEnvironmentStrings("%Temp%") & chr(92)
WinDir = WshShell.ExpandEnvironmentStrings("%WinDir%") & chr(92)
SysDir = WinDir & chr(92) & "system32" & chr(92)

strComp = "."
strLogs = ""

arrProcs(0) = "rvhost.exe"
arrProcs(1) = "ssvichosst.exe"
arrProcs(2) = "sscviihost.exe"
arrProcs(3) = "new folder.exe"
arrProcs(4) = "skcvhost.exe"
arrProcs(5) = "svichoost.exe"
arrProcs(6) = "systems.exe"

arrFiles(0)  = WinDir & "RVHOST.exe"
arrFiles(1)  = WinDir & "SSVICHOSST.exe"
arrFiles(2)  = WinDir & "SSCVIIHOST.exe"
arrFiles(3)  = WinDir & "Tasks\At1.job"
arrFiles(4)  = SysDir & "nhatquanglan9.exe"
arrFiles(5)  = SysDir & "nhatquanglan11.exe"
arrFiles(6)  = SysDir & "SSVICHOSST.exe"  
arrFiles(7)  = SysDir & "SSCVIIHOST.exe"
arrFiles(8)  = SysDir & "New Folder.exe"
arrFiles(9)  = SysDir & "hinhem.scr"
arrFiles(10) = SysDir & "blastclnnn.exe"
arrFiles(11) = SysDir & "autorun.ini"
arrFiles(12) = SysDir & "setting.ini"
arrFiles(13) = SysDir & "setting.xls"
arrFiles(14) = SysDir & "SKCVHOST.exe"
arrFiles(15) = SysDir & "SKCVHOSTr.exe"
arrFiles(16) = SysDir & "SKCVHOSThk.dll"
arrFiles(17) = SysDir & "SCVHSOT.exe"
arrFiles(18) = SysDir & "SYSTEMS.exe"
arrFiles(19) = SysDir & "SYSTEMShk.dll"
arrFiles(20) = SysDir & "SYSTEMShk.dll"
arrFiles(21) = SysDir & "test1.exe"
arrFiles(22) = SysDir & "apps.dat"
arrFiles(23) = SysDir & "bpk.bin"
arrFiles(24) = SysDir & "bpk.dat"
arrFiles(25) = SysDir & "bpk.exe"
arrFiles(26) = SysDir & "bpkch.dat"
arrFiles(27) = SysDir & "bsdhooks.dll"
arrFiles(28) = SysDir & "inst.dat"
arrFiles(29) = SysDir & "inst.tmp"
arrFiles(30) = SysDir & "kw.dat"
arrFiles(31) = SysDir & "mc.dat"
arrFiles(32) = SysDir & "pk.bin"
arrFiles(33) = SysDir & "rinst.dat"
arrFiles(34) = SysDir & "rinst.exe"
arrFiles(35) = SysDir & "titles.dat"
arrFiles(36) = SysDir & "web.dat"
arrFiles(37) = SysDir & "web.dll"
arrFiles(38) = SysDir & "keystrokes.html"
arrFiles(39) = SysDir & "websites.html"
arrFiles(40) = SysDir & "chats.html"
arrFiles(42) = SysDir & "report.txt"
arrFiles(43) = SysDir & "SSVICHOSST.exe" 
arrFiles(44) = SysDir & "nhatquanglan18.exe"
arrFiles(45) = SysDir & "nhatquanglan20.exe"

delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policie­s\System\DisableRegistryTools"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policie­s\System\DisableTaskMgr"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policie­s\Explorer\NofolderOptions"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Explore­r\WorkgroupCrawler\Shares\shared"
delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yah­oo Messengger"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bpk­"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS­TEMS"
delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SKC­VHOST"
setRegVal "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe", "REG_SZ"
delRegVal "HKLM\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxH­ours"

If strLogs <> "" Then
  WScript.Echo "Winlogon... Restauration valeur Explorer.exe : " & VBCrLf & VBCrLf & strLogs
  strLogs = ""
End If

Sub setRegVal(Target, Value, Reg)
  On Error Resume Next
  WshShell.RegWrite Target, Value, Reg
  If Err = 0 Then
    strLogs = strLogs & ".. " & Target & " to " & Value & VBCrLf
  End If
  Err.Clear
  On Error Goto 0
End Sub

Sub delRegVal(Target)
  On Error Resume Next
  WshShell.RegDelete Target
  If Err = 0 Then
    strLogs = strLogs & "Valeurs supprimés : " & Target & VBCrLf
  End If
  Err.Clear
  On Error Goto 0
End Sub

Dim objWMI : Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\­" & strComp & "\root\cimv2")
Dim objFSO : Set objFSO = WScript.CreateObject("Scripting.FileSystemObject")­

If Err = 0 Then
  KillProcs
  Set objWMI = Nothing
  Set objFSO = Nothing
End If
Err.Clear

Sub KillProcs
  ' Variables
  Dim objProc, objFile
  Dim strFile, i
  
  Dim colProc : Set colProc = objWMI.ExecQuery("Select Name from Win32_Process")
  For Each objProc in colProc
    For i=0 to UBound(arrProcs)
      If arrProcs(i) = LCase(CStr(objProc.Name)) Then
        objProc.Terminate()
        strLogs = strLogs & "Processus arrêté: " & arrProcs(i) & VBCrLf
        Exit For
      End If
    Next
  Next
  
  Set colProc = Nothing
  Set objProc = Nothing
  
  For i=0 to UBound(arrFiles)
    RemoveFile arrFiles(i)
  Next
   
  RemoveTmpFolder TmpDir
  
  If strLogs <> "" Then
    WScript.Echo "Scan en cours: " & VBCrLf & VBCrLf & strLogs
  End If
End Sub

Sub RemoveTmpFolder(Target)
  On Error Resume Next
  Dim tmpDir : Set tmpDir = objFSO.GetFolder(Target)
  Dim tmpFolder, tmpFile
  
  For Each tmpFile In tmpDir.Files
    tmpFile.Attributes = 0
    tmpFile.Delete
  Next
  
  For Each tmpFolder In tmpDir.SubFolders
    RemoveTmpFolder tmpFolder.Path
    tmpFolder.Attributes = 0
    tmpFolder.Delete
  Next
  
  Set tmpDir    = Nothing
  Set tmpFolder = Nothing
  Set tmpFile   = Nothing
  On Error Goto 0
End Sub

Sub RemoveFile(Target)
  On Error Resume Next
  If objFSO.FileExists(Target) Then
    Dim objFile : Set objFile = objFSO.GetFile(Target)
    objFile.attributes = 0
    objFile.Delete
    Set objFile = Nothing
    strLogs = strLogs & "Fichier supprimé : " & Target & VBCrLf
  End If
  On Error Goto 0
End Sub

WScript.Echo "Fin du nettoyage."
WScript.Quit
   
Répondre à moe

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hani, le mardi 17 juillet 2007 à 11:19:33
bonjour a tous ban c vre sa marche
   
Répondre à hani

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le mercredi 8 août 2007 à 18:00:44
Salut à tous

Me voilà de retour chez moi, après 4 LONGUES SEMAINES de travail.

En arrivant je me suis rendu compte qu'on a changé mon PC, donc pas de virus..., mais "heureusement" un collègue l'avait lui aussi, ce qui m’a permis d’essayer ce script (hakafix), et ça a l’air d’avoir marché, en tout cas plus de SSVICHOSST.EXE dans la liste des processus de windows.

Merci a toi moe de ton aide, et surtout pour le script

A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
moe, le mercredi 8 août 2007 à 18:48:49
Salut hmcirta

On a changé ton pc... Lol, c'est un peu radical comme solution :-)
J'espère que tu y auras gagné au change !

Merci d'avoir donné de tes nouvelles en tout cas et d'avoir aussi confirmé par la même occasion que le script a fonctionné pour ton collègue.
Ca ne lui dispense pas bien sur de faire analyser son pc par un ou plusieurs antivirus en ligne, histoire d'être sur que cette infection ne soit pas "que" la partie cachée de l'iceberg.

De rien et bonne continuation hmcirta.

a++

PS pour dokrate:

J'ai réuploadé le script ici:
http://cjoint.com/data/iisHLw6Qhc_Hakafix.vbs
Il me semble aussi que Flash_Disinfector traite cette infection:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­tor.exe
A essayer en complément.
   
Répondre à moe

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
fouz, le mercredi 8 août 2007 à 19:38:07
je viens d'utilliser Flash Desinfector et mes problemes ont disparus , j'ai reccuperé le gestionnaire de taches et je n'ai plus à explorer les partitions pour pouvoire les ouvrir.Merci beaucoup Moe
   
Répondre à fouz

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le mercredi 8 août 2007 à 21:42:07
Salut moe

Pour le PC on m'a dit que c'est pour dépanner en attendant qu'on nettoie le mien. Mais sans aucun doute rien à gagner puisque je perds mes softwares, mais ce n'est pas grave pourvu qu'on réussisse à le nettoyer. En tout cas je leur ai donné le script. On verra bien

Au fait, merci pour le nouveau lien. Je l'ai déjà essayé sur mes clés USB. Est-ce normal que toutes les icones du bureau disparaissent durant l'exécution?

A + A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

18


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
moe, le mercredi 8 août 2007 à 22:16:21
Salut hmcirta

En fait je pensais pas qu'il s'agisait d'un échange juste le temps du nettoyage, mais que tu avais hérité d'un nouveau pc flambant neuf :-)

Oui, c'est tout à fait normal pour les icônes qui disparaissent avec Flash_Disinfector.
Les icônes disparaissent momentanément car pendant la procédure de nettoyage, le processus explorer.exe (qui correspond en gros au bureau) est "terminé", puis réactivé ensuite en fin de procédure.
Dans les cas de certaines infections particulières ou il y a un problème pour accéder à l'ouverture de la clé ou DD externe, comme par exemple un message indiquant que "tel" fichier n'a pas pu être trouvé ou une boîte de dialogue qui demande de choisir un programme pour pouvoir ouvrir le DD ou la clé, et bien cette technique permet une fois le nettoyage effectué, de réinitialiser l'explorateur (explorer.exe) et d'éviter un redemarrage du pc, pour pouvoir retrouver une ouverture normale de la clé infectée.

Flash_Disinfector est efficace contre SSVICHOSST, mais il existe une variante qui est en plus couplé à un keylogger et dans ce cas malheureusement, Flash_Disinfector ne traite pas la partie "keylogger".
Le script lui traite aussi la partie keylogger, mais comme je n'ai pu tester cette infection qu'une seule fois sous cette forme et comme je te le disais dans mon post précédant, ça ne dispense donc pas ensuite de rester prudent et de faire au minimum un scan AV en ligne, histoire d'être certain que l'infection est totalement éradiquée.

Tiens moi au courant en tout cas pour la suite et de ce qu'aura donné le nettoyage de ton pc :-)

a++
   
Répondre à moe

19


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le mercredi 8 août 2007 à 23:21:53
Salut moe

Merci pour les explications que tu m'as donné, ça m'a soulagé de le savoir, car à un moment j'avais peur.

Tout a fait c'est ce que je comptais faire une fois de retour au boulot.

Tien ça m'a rappelé quelque chose. Avant d'essayer le script, on a tenté de faire un "nettoyage" manuel en changeant les valeurs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion­\Policies\Explorer et changer la valeur de "NoFolderOptions" par 0 ce qui a permis de remettre "Options de Dossier". Aussi on a exécuté "msconfig" et on a décoché la case de "SSVICHOSST.EXE" pour l'empêcher de s'exécuter au démarrage. Mais ça n'a pas durer longtemps puisque "Options de Dossiers" a disparu encore une fois et on a retrouver "SSVICHOSST.EXE" parmis les processus (Ayant utiliser TaskManagerFix pour réactiver Ctrl+Alt+Supp).

Alors qu'est-ce qui a pu faire exécuter "SSVICHOSST.EXE" alors qu'on a décoché sa case dans "msconfig"? j'ai du raté un épisode… ;-)
A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

20


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
moe, le jeudi 9 août 2007 à 22:55:40
Salut hmcirta

En fait il ne vous manquait plus qu'une clé pour le neutraliser :-) , en plus de celle que tu cites il y a aussi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"= Explorer.exe SSVICHOSST.exe

Ce qui donne quand on regarde un rapport hijackthis, ceci:

F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe

Pour faire simple, dès que pendant la procédure de démarrage de windows, le bureau apparaissait, SSVICHOSST.exe était exécuté en même temps que le chargement du bureau.

Dans certaines variantes, le ver utilise une tâche planifiée qui est automatiquement exécutée à intervalles réguliers pour relancer l'infection.
Il me semble aussi que ce ver utilise les partages réseau pour se propager, la variante que j'avais pu tester utilisait le fichier nommé New Folder.exe dont l'icône était la même que celles des dossiers.
Facile de se tromper dans ce cas, si les extentions de fichier ne sont pas visibles car ça laisse penser qui s'agit d'un nouveau dossier.
Si jamais c'était ton cas (pc en réseau), le mieux est de désactiver momentanément tous les partages sur chaque pc et de traiter chaques machines une par une, sinon c'est la partie de cache-cache assurée pendant des jours :-)

Voilà, j'espère que ça répondra à ta question !

a++


PS:

Je viens d'updater le script avec l'ajout de la détection et suppression de ces 4 fichiers:

c:\WINDOWS\system32\nhatquanglan18.exe
c:\WINDOWS\system32\nhatquanglan20.exe
c:\WINDOWS\system32\SCVHSOT.exe
c:\WINDOWS\system32\test1.exe

http://cjoint.com/data/ijwYzBXqzm_Hakafix.vbs
   
Répondre à moe

21


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le vendredi 10 août 2007 à 21:45:28
Salut moe

Merci pour les explications, je dois dire que j'ai beaucoup apris avec toi et je t'en remerci.

Pour "New Folder.exe", c'est vrai c'est ce que j'avais remarqué sur le PC des voisin qui sont sous réseau. Merci pour le tuyeau, ça me permettra d'être sur mes gardes.

Merci encore moe

A +

A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

22


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hmcirta, le vendredi 10 août 2007 à 21:47:16
salut moe

Heu... j'avais oublié... merci pour le nouveau script, je vais l'essayer la prochaine fois

A + A quoi sert la connaissance si elle n'est pas partagée
   
Répondre à hmcirta

23


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
isaak, le samedi 18 août 2007 à 18:34:35
merci bocoup jai pu resoudre le probleme grace à ton aide
   
Répondre à isaak

26


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
mila, le mardi 2 octobre 2007 à 12:51:41
Bonjour,
merci moe por ton script, j'ai deja formaté mon pc mais il y'a d'autres pc infectés je vais essayer le script que tu as envoyé et j'espere que sa va marcher.
bonne journee
   
Répondre à mila

27


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Mila, le lundi 8 octobre 2007 &agr