SSVICHOSST Virus ou quoi?
Résolu
hmcirta
Messages postés
249
Date d'inscription
Statut
Membre
Dernière intervention
-
INCONNUE -
INCONNUE -
Bonjour à tous
Win XP - F-Secure avec avant dernière mise à jour.
Depuis une semaine environ, et une fois que j'introduit un flash disque, un message agaçant disant "il n'y a pas de disque dans le lecteur" ne cesse pas m'empoisonner la vie. je n'arrive pas à fermer cette fenêtre, un je dois en plus de ça clicker plusieurs fois sur le buton "continuer" pour pouvoir ouvrir des applications (Word, Excel, etc..). Aussi, Ctrl+Alt+Supp m'affiche une fenêtre avec le bouton du "Gestionnaire des tâches" grisé (non accessible).
Sachant qu'en plus de ça, "Options de dossiers" a disparu du menu "outil" et du "Panneau de configuration".
J'ai essayé AVG avec dernière mise à jour, BitDefender, et KASPERSKY mais sans succés.
Après avoir utilisé un utilitaire qui fixe le "gestionnaire des tâches", j'ai pu y accéder (au gestionnaire des tâches), et là en supprimant les 2 processus "ssvichosst.exe" le message disparait après avoir clicker 2 fois sur "continuer". Mais une fois que je redémarre windows, rebolotte et faut faire la même chose à chaque fois.
Y at il une personne qui pourrait m'aider SVP? - Merci de me faciliter la vie
____
A quoi sert la connaissance si elle n'est pas partagée
Win XP - F-Secure avec avant dernière mise à jour.
Depuis une semaine environ, et une fois que j'introduit un flash disque, un message agaçant disant "il n'y a pas de disque dans le lecteur" ne cesse pas m'empoisonner la vie. je n'arrive pas à fermer cette fenêtre, un je dois en plus de ça clicker plusieurs fois sur le buton "continuer" pour pouvoir ouvrir des applications (Word, Excel, etc..). Aussi, Ctrl+Alt+Supp m'affiche une fenêtre avec le bouton du "Gestionnaire des tâches" grisé (non accessible).
Sachant qu'en plus de ça, "Options de dossiers" a disparu du menu "outil" et du "Panneau de configuration".
J'ai essayé AVG avec dernière mise à jour, BitDefender, et KASPERSKY mais sans succés.
Après avoir utilisé un utilitaire qui fixe le "gestionnaire des tâches", j'ai pu y accéder (au gestionnaire des tâches), et là en supprimant les 2 processus "ssvichosst.exe" le message disparait après avoir clicker 2 fois sur "continuer". Mais une fois que je redémarre windows, rebolotte et faut faire la même chose à chaque fois.
Y at il une personne qui pourrait m'aider SVP? - Merci de me faciliter la vie
____
A quoi sert la connaissance si elle n'est pas partagée
A voir également:
- SSVICHOSST Virus ou quoi?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
30 réponses
Salut hmcirta
Ce ver est une drôle de saleté :-), quand l'infection est active, il empêche l'utilisation de certains programmes en refermant immédiatement leur fenêtres et télécharge puis installe un keylogger qui à pour but de recupérer tout ce que tu tapes au clavier, que ce soit dans une application, une page web, un tchat...etc.
D'ailleur si tu utilises souvent des logiciels de traitement de texte, du bloc-notes à Word et quand l'infection était active, tu as surement du t'apercevoir du petit soucis avec l'accent circonflexe ;-).
Quoi qu'il en soit, si les divers scan AV ne donnent rien de concluant, tu peux toujours essayer ceci, c'est un script vbs qui automatise la suppression de ce ver.
Tu pourras le télécharger ici:
http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
Le lien est valable 21 jours
Une fois fait, dezippe le fichier (clic-droit dessus > extraire tout) à un endroit ou tu seras sur(e) de le retrouver facilement.
Tu obtiendras un fichier nommé Hakafix.vbs qu'il te suffira d'exécuter sur le pc infecté.
Au fur et à mesure de la désinfection plusieurs fenêtres s'ouvriront avec le résultat des différentes étapes effectuées (arrêt des processus, nettoyage registre et suppression fichiers).
Il te faudra simplement cliquer sur "OK" à chacunes de ces fenêtres et étapes.
Voilà, en espérant que cela puisse t'aider, si bien sur d'ici là tu n'as pas déjà réglé le problème :-)
Bonne continuation.
Ce ver est une drôle de saleté :-), quand l'infection est active, il empêche l'utilisation de certains programmes en refermant immédiatement leur fenêtres et télécharge puis installe un keylogger qui à pour but de recupérer tout ce que tu tapes au clavier, que ce soit dans une application, une page web, un tchat...etc.
D'ailleur si tu utilises souvent des logiciels de traitement de texte, du bloc-notes à Word et quand l'infection était active, tu as surement du t'apercevoir du petit soucis avec l'accent circonflexe ;-).
Quoi qu'il en soit, si les divers scan AV ne donnent rien de concluant, tu peux toujours essayer ceci, c'est un script vbs qui automatise la suppression de ce ver.
Tu pourras le télécharger ici:
http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
Le lien est valable 21 jours
Une fois fait, dezippe le fichier (clic-droit dessus > extraire tout) à un endroit ou tu seras sur(e) de le retrouver facilement.
Tu obtiendras un fichier nommé Hakafix.vbs qu'il te suffira d'exécuter sur le pc infecté.
Au fur et à mesure de la désinfection plusieurs fenêtres s'ouvriront avec le résultat des différentes étapes effectuées (arrêt des processus, nettoyage registre et suppression fichiers).
Il te faudra simplement cliquer sur "OK" à chacunes de ces fenêtres et étapes.
Voilà, en espérant que cela puisse t'aider, si bien sur d'ici là tu n'as pas déjà réglé le problème :-)
Bonne continuation.
si kaspersky nariva pa a detecter de virus c peut etre un prob materiel
esay de poser ta kestion sur le forum materiel
c just eun petite idee
esay de poser ta kestion sur le forum materiel
c just eun petite idee
Salut hmcirta
En fait il ne vous manquait plus qu'une clé pour le neutraliser :-) , en plus de celle que tu cites il y a aussi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"= Explorer.exe SSVICHOSST.exe
Ce qui donne quand on regarde un rapport hijackthis, ceci:
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe
Pour faire simple, dès que pendant la procédure de démarrage de windows, le bureau apparaissait, SSVICHOSST.exe était exécuté en même temps que le chargement du bureau.
Dans certaines variantes, le ver utilise une tâche planifiée qui est automatiquement exécutée à intervalles réguliers pour relancer l'infection.
Il me semble aussi que ce ver utilise les partages réseau pour se propager, la variante que j'avais pu tester utilisait le fichier nommé New Folder.exe dont l'icône était la même que celles des dossiers.
Facile de se tromper dans ce cas, si les extentions de fichier ne sont pas visibles car ça laisse penser qui s'agit d'un nouveau dossier.
Si jamais c'était ton cas (pc en réseau), le mieux est de désactiver momentanément tous les partages sur chaque pc et de traiter chaques machines une par une, sinon c'est la partie de cache-cache assurée pendant des jours :-)
Voilà, j'espère que ça répondra à ta question !
a++
PS:
Je viens d'updater le script avec l'ajout de la détection et suppression de ces 4 fichiers:
c:\WINDOWS\system32\nhatquanglan18.exe
c:\WINDOWS\system32\nhatquanglan20.exe
c:\WINDOWS\system32\SCVHSOT.exe
c:\WINDOWS\system32\test1.exe
http://cjoint.com/data/ijwYzBXqzm_Hakafix.vbs
En fait il ne vous manquait plus qu'une clé pour le neutraliser :-) , en plus de celle que tu cites il y a aussi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"= Explorer.exe SSVICHOSST.exe
Ce qui donne quand on regarde un rapport hijackthis, ceci:
F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe
Pour faire simple, dès que pendant la procédure de démarrage de windows, le bureau apparaissait, SSVICHOSST.exe était exécuté en même temps que le chargement du bureau.
Dans certaines variantes, le ver utilise une tâche planifiée qui est automatiquement exécutée à intervalles réguliers pour relancer l'infection.
Il me semble aussi que ce ver utilise les partages réseau pour se propager, la variante que j'avais pu tester utilisait le fichier nommé New Folder.exe dont l'icône était la même que celles des dossiers.
Facile de se tromper dans ce cas, si les extentions de fichier ne sont pas visibles car ça laisse penser qui s'agit d'un nouveau dossier.
Si jamais c'était ton cas (pc en réseau), le mieux est de désactiver momentanément tous les partages sur chaque pc et de traiter chaques machines une par une, sinon c'est la partie de cache-cache assurée pendant des jours :-)
Voilà, j'espère que ça répondra à ta question !
a++
PS:
Je viens d'updater le script avec l'ajout de la détection et suppression de ces 4 fichiers:
c:\WINDOWS\system32\nhatquanglan18.exe
c:\WINDOWS\system32\nhatquanglan20.exe
c:\WINDOWS\system32\SCVHSOT.exe
c:\WINDOWS\system32\test1.exe
http://cjoint.com/data/ijwYzBXqzm_Hakafix.vbs
Merci pour ton idée soprno49150 mais je ne pense pas que ce soit ça, puisque tout allait très bien jusqu'à ce qu'un type introduise son flash disque dans le PC, et depuis ce message s'est incrusté. Mais je posterai quand même mon message dans le forum materiel... sait on jamais
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
redemare ton pc en mode sans echec avec prise en charge reseau
puis fais une analyse on line scaner sur le site de kaspersky
di moi si sa a marcher
puis fais une analyse on line scaner sur le site de kaspersky
di moi si sa a marcher
Je n'ai pas de connection à internet, et le PC en question est au bulot, et je m'y rends que dans 4 semaines pour travailler 4 autres semaines. Il va faloir attendre un peu, mais je vous tiendrai informés de l'évolution du problème.... promis
Ca ressemble en effet au virus SSVICHOSST qui se transmet par flash disk. https://www.mcafee.com/enterprise/en-us/threat-center.html
Salut Nad
Tout d'abord merci pour le lien, ça m'a permi de comprendre quelques trucs en plus.
C'est exactement comme tu dis, et c'est après introduction d'un flash disque que la machine a été infecté par ce worm. On a essayé KASPERSKY sans succès (AVG et F-Secure (MAJ Juin) n'ont rien fait non plus)
Reste plus qu'à essayer McAfee.
Merci Nad
Tout d'abord merci pour le lien, ça m'a permi de comprendre quelques trucs en plus.
C'est exactement comme tu dis, et c'est après introduction d'un flash disque que la machine a été infecté par ce worm. On a essayé KASPERSKY sans succès (AVG et F-Secure (MAJ Juin) n'ont rien fait non plus)
Reste plus qu'à essayer McAfee.
Merci Nad
Salam alikoum (Salu en arab)
SSvighosst.exe est un virus , plus de la desactivation du gestionaire des tache il cree un fichier exicutable dans chaque fichier ouvert.
Pour la solution je pense que kaspersky peut le suprimé et il vous reste a ectivé le gestionaire des tache.
Si kaspersky n'arvive pas a le suprimé j'ai une petite astuce :
Il faut metre le fichier C:\Windows\ssvichosst.exe en quarantine manuelement et le suprimé aprés le prochain demarage .
et meme truc pour le fichier TonFlash\ssvichosst.exe.
mais si vous utilisé un autre falsh non desinficté le virus revien.
SSvighosst.exe est un virus , plus de la desactivation du gestionaire des tache il cree un fichier exicutable dans chaque fichier ouvert.
Pour la solution je pense que kaspersky peut le suprimé et il vous reste a ectivé le gestionaire des tache.
Si kaspersky n'arvive pas a le suprimé j'ai une petite astuce :
Il faut metre le fichier C:\Windows\ssvichosst.exe en quarantine manuelement et le suprimé aprés le prochain demarage .
et meme truc pour le fichier TonFlash\ssvichosst.exe.
mais si vous utilisé un autre falsh non desinficté le virus revien.
je suis touché par SSVICHOSST j'ai rien comprid de ce virus, pourriez vous m'aider à le supprimer ..merci à l'avance .
Salut à tous
Me voilà de retour chez moi, après 4 LONGUES SEMAINES de travail.
En arrivant je me suis rendu compte qu'on a changé mon PC, donc pas de virus..., mais "heureusement" un collègue l'avait lui aussi, ce qui m’a permis d’essayer ce script (hakafix), et ça a l’air d’avoir marché, en tout cas plus de SSVICHOSST.EXE dans la liste des processus de windows.
Merci a toi moe de ton aide, et surtout pour le script
Me voilà de retour chez moi, après 4 LONGUES SEMAINES de travail.
En arrivant je me suis rendu compte qu'on a changé mon PC, donc pas de virus..., mais "heureusement" un collègue l'avait lui aussi, ce qui m’a permis d’essayer ce script (hakafix), et ça a l’air d’avoir marché, en tout cas plus de SSVICHOSST.EXE dans la liste des processus de windows.
Merci a toi moe de ton aide, et surtout pour le script
Salut hmcirta
On a changé ton pc... Lol, c'est un peu radical comme solution :-)
J'espère que tu y auras gagné au change !
Merci d'avoir donné de tes nouvelles en tout cas et d'avoir aussi confirmé par la même occasion que le script a fonctionné pour ton collègue.
Ca ne lui dispense pas bien sur de faire analyser son pc par un ou plusieurs antivirus en ligne, histoire d'être sur que cette infection ne soit pas "que" la partie cachée de l'iceberg.
De rien et bonne continuation hmcirta.
a++
PS pour dokrate:
J'ai réuploadé le script ici:
http://cjoint.com/data/iisHLw6Qhc_Hakafix.vbs
Il me semble aussi que Flash_Disinfector traite cette infection:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
A essayer en complément.
On a changé ton pc... Lol, c'est un peu radical comme solution :-)
J'espère que tu y auras gagné au change !
Merci d'avoir donné de tes nouvelles en tout cas et d'avoir aussi confirmé par la même occasion que le script a fonctionné pour ton collègue.
Ca ne lui dispense pas bien sur de faire analyser son pc par un ou plusieurs antivirus en ligne, histoire d'être sur que cette infection ne soit pas "que" la partie cachée de l'iceberg.
De rien et bonne continuation hmcirta.
a++
PS pour dokrate:
J'ai réuploadé le script ici:
http://cjoint.com/data/iisHLw6Qhc_Hakafix.vbs
Il me semble aussi que Flash_Disinfector traite cette infection:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
A essayer en complément.
Salut moe
Pour le PC on m'a dit que c'est pour dépanner en attendant qu'on nettoie le mien. Mais sans aucun doute rien à gagner puisque je perds mes softwares, mais ce n'est pas grave pourvu qu'on réussisse à le nettoyer. En tout cas je leur ai donné le script. On verra bien
Au fait, merci pour le nouveau lien. Je l'ai déjà essayé sur mes clés USB. Est-ce normal que toutes les icones du bureau disparaissent durant l'exécution?
A +
Pour le PC on m'a dit que c'est pour dépanner en attendant qu'on nettoie le mien. Mais sans aucun doute rien à gagner puisque je perds mes softwares, mais ce n'est pas grave pourvu qu'on réussisse à le nettoyer. En tout cas je leur ai donné le script. On verra bien
Au fait, merci pour le nouveau lien. Je l'ai déjà essayé sur mes clés USB. Est-ce normal que toutes les icones du bureau disparaissent durant l'exécution?
A +
Salut hmcirta
En fait je pensais pas qu'il s'agisait d'un échange juste le temps du nettoyage, mais que tu avais hérité d'un nouveau pc flambant neuf :-)
Oui, c'est tout à fait normal pour les icônes qui disparaissent avec Flash_Disinfector.
Les icônes disparaissent momentanément car pendant la procédure de nettoyage, le processus explorer.exe (qui correspond en gros au bureau) est "terminé", puis réactivé ensuite en fin de procédure.
Dans les cas de certaines infections particulières ou il y a un problème pour accéder à l'ouverture de la clé ou DD externe, comme par exemple un message indiquant que "tel" fichier n'a pas pu être trouvé ou une boîte de dialogue qui demande de choisir un programme pour pouvoir ouvrir le DD ou la clé, et bien cette technique permet une fois le nettoyage effectué, de réinitialiser l'explorateur (explorer.exe) et d'éviter un redemarrage du pc, pour pouvoir retrouver une ouverture normale de la clé infectée.
Flash_Disinfector est efficace contre SSVICHOSST, mais il existe une variante qui est en plus couplé à un keylogger et dans ce cas malheureusement, Flash_Disinfector ne traite pas la partie "keylogger".
Le script lui traite aussi la partie keylogger, mais comme je n'ai pu tester cette infection qu'une seule fois sous cette forme et comme je te le disais dans mon post précédant, ça ne dispense donc pas ensuite de rester prudent et de faire au minimum un scan AV en ligne, histoire d'être certain que l'infection est totalement éradiquée.
Tiens moi au courant en tout cas pour la suite et de ce qu'aura donné le nettoyage de ton pc :-)
a++
En fait je pensais pas qu'il s'agisait d'un échange juste le temps du nettoyage, mais que tu avais hérité d'un nouveau pc flambant neuf :-)
Oui, c'est tout à fait normal pour les icônes qui disparaissent avec Flash_Disinfector.
Les icônes disparaissent momentanément car pendant la procédure de nettoyage, le processus explorer.exe (qui correspond en gros au bureau) est "terminé", puis réactivé ensuite en fin de procédure.
Dans les cas de certaines infections particulières ou il y a un problème pour accéder à l'ouverture de la clé ou DD externe, comme par exemple un message indiquant que "tel" fichier n'a pas pu être trouvé ou une boîte de dialogue qui demande de choisir un programme pour pouvoir ouvrir le DD ou la clé, et bien cette technique permet une fois le nettoyage effectué, de réinitialiser l'explorateur (explorer.exe) et d'éviter un redemarrage du pc, pour pouvoir retrouver une ouverture normale de la clé infectée.
Flash_Disinfector est efficace contre SSVICHOSST, mais il existe une variante qui est en plus couplé à un keylogger et dans ce cas malheureusement, Flash_Disinfector ne traite pas la partie "keylogger".
Le script lui traite aussi la partie keylogger, mais comme je n'ai pu tester cette infection qu'une seule fois sous cette forme et comme je te le disais dans mon post précédant, ça ne dispense donc pas ensuite de rester prudent et de faire au minimum un scan AV en ligne, histoire d'être certain que l'infection est totalement éradiquée.
Tiens moi au courant en tout cas pour la suite et de ce qu'aura donné le nettoyage de ton pc :-)
a++
Salut moe
Merci pour les explications que tu m'as donné, ça m'a soulagé de le savoir, car à un moment j'avais peur.
Tout a fait c'est ce que je comptais faire une fois de retour au boulot.
Tien ça m'a rappelé quelque chose. Avant d'essayer le script, on a tenté de faire un "nettoyage" manuel en changeant les valeurs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Policies\Explorer et changer la valeur de "NoFolderOptions" par 0 ce qui a permis de remettre "Options de Dossier". Aussi on a exécuté "msconfig" et on a décoché la case de "SSVICHOSST.EXE" pour l'empêcher de s'exécuter au démarrage. Mais ça n'a pas durer longtemps puisque "Options de Dossiers" a disparu encore une fois et on a retrouver "SSVICHOSST.EXE" parmis les processus (Ayant utiliser TaskManagerFix pour réactiver Ctrl+Alt+Supp).
Alors qu'est-ce qui a pu faire exécuter "SSVICHOSST.EXE" alors qu'on a décoché sa case dans "msconfig"? j'ai du raté un épisode… ;-)
Merci pour les explications que tu m'as donné, ça m'a soulagé de le savoir, car à un moment j'avais peur.
Tout a fait c'est ce que je comptais faire une fois de retour au boulot.
Tien ça m'a rappelé quelque chose. Avant d'essayer le script, on a tenté de faire un "nettoyage" manuel en changeant les valeurs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Policies\Explorer et changer la valeur de "NoFolderOptions" par 0 ce qui a permis de remettre "Options de Dossier". Aussi on a exécuté "msconfig" et on a décoché la case de "SSVICHOSST.EXE" pour l'empêcher de s'exécuter au démarrage. Mais ça n'a pas durer longtemps puisque "Options de Dossiers" a disparu encore une fois et on a retrouver "SSVICHOSST.EXE" parmis les processus (Ayant utiliser TaskManagerFix pour réactiver Ctrl+Alt+Supp).
Alors qu'est-ce qui a pu faire exécuter "SSVICHOSST.EXE" alors qu'on a décoché sa case dans "msconfig"? j'ai du raté un épisode… ;-)
salut moe
Heu... j'avais oublié... merci pour le nouveau script, je vais l'essayer la prochaine fois
A +
Heu... j'avais oublié... merci pour le nouveau script, je vais l'essayer la prochaine fois
A +
Bonjour,
merci moe por ton script, j'ai deja formaté mon pc mais il y'a d'autres pc infectés je vais essayer le script que tu as envoyé et j'espere que sa va marcher.
bonne journee
merci moe por ton script, j'ai deja formaté mon pc mais il y'a d'autres pc infectés je vais essayer le script que tu as envoyé et j'espere que sa va marcher.
bonne journee
Bonjour,
merci moe, ton script marche à merveille je l'ai testé sur deux pc, tu es un vrai genie.
merci encore,
Mila
merci moe, ton script marche à merveille je l'ai testé sur deux pc, tu es un vrai genie.
merci encore,
Mila
Bonjour,
merci MOE pour tes explications sur SSVICHOSST,
Après avoir lancer mac afee (resultat mise en quarantaine de SSVICHOSST.exe) j'avais toujours des problèmes méssage d'erreur fichier non trouvé au démarrage, Gestionnaire des taches et niveau d'acces "adminstrateur" non accessible.
J'ai lancer Flash disinfector et j'ai récupéré le gestionnaire des taches ainsi que le niveau d'acces "adminstrateur" sur mon PC.
J'ai également supprimé le nom du fichier à la suite de explorer dans la clé du registre
Une petite question pour approfondir
Comment savoir s'il est nécessaire d'utiliser ton script après ces actions? (tout semble OK)
Ou comment savoir si une partie KEY LOGGER est encore présente sur mon PC
merci MOE pour tes explications sur SSVICHOSST,
Après avoir lancer mac afee (resultat mise en quarantaine de SSVICHOSST.exe) j'avais toujours des problèmes méssage d'erreur fichier non trouvé au démarrage, Gestionnaire des taches et niveau d'acces "adminstrateur" non accessible.
J'ai lancer Flash disinfector et j'ai récupéré le gestionnaire des taches ainsi que le niveau d'acces "adminstrateur" sur mon PC.
J'ai également supprimé le nom du fichier à la suite de explorer dans la clé du registre
Une petite question pour approfondir
Comment savoir s'il est nécessaire d'utiliser ton script après ces actions? (tout semble OK)
Ou comment savoir si une partie KEY LOGGER est encore présente sur mon PC
Bonjour,
j'ai le meme probleme
merci
je cherche:http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
la date de validite est terminé
j'ai le meme probleme
merci
je cherche:http://cjoint.com/data/gEx5m2xcLp_Hakafix.zip
la date de validite est terminé
Un grand merci à toi; ... non pas encore, je n'ai pas encore essayé ton script , mais un grand merci pour les explications et la description très claire que tu m'as donné et aussi pour le lien.
Je te tiendrai informé du resultat, mais tu devras patienter un bon moment, car le PC infecté est au boulot qui se trouve à 800 km de chez moi, et je dois m'y rendre dans une semaine pour rentrer chez moi aprés 4 semaines de travail.... Hé oui c'est long, mais pas plus que pour moi. Alors je te donne rendez-vous à toi et à tout ceux qui m'ont proposé des idées aux environs du 10 août.
Merci à tous
de plus ce vers me pouris la vie serieusement
merci davanace
mon adresse
issaoua@hotmail.com
est ce que tu peux m'envoyer ce script, le lien n'est plus valable.
merci
sait2004@hotmail.com
Pour sscviihost.exe/new folder.exe & co, mieux vaut que tu télécharge et passe d'abord cet outil qui supprime très bien cette infection:
Flash Disinfector de sUBs
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Avant de le lancer, assures-toi que tous les périphériques externes qui auraient pu être infectés soit bien connectés au pc.
Passes ensuite Flash_Disinfector et laisse toi guider. (Le bureau va disparaitre puis réapparaitre, c'est normal).
Si jamais l'infection ou la partie "Keylogger" parfois installée avec cette infection devait persister après le passage de Flash_Disinfector, voilà le code du script qui pourra t'être utile:
(A noter que ce script, n'est plus updaté depuis 1 mois et demi..)
Ouvre le bloc note, et copie et colle absolument tout ce qui est en bleu ci-dessous.
Une fois fait, et dans le menu "Fichier" du bloc notes, clic sur enregistrer.
Dans la boîte de dialogue qui s'ouvrira :
- Choisis le bureau comme lieu de destination
- Dans : [Nom du fichier] tu mets -> Hakafix.vbs
- Dans : [Type] -> selectionne dans le menu déroulant: "Tous les fichiers"
Clic sur le bouton [Enregistrer]
Sur ton bureau, tu trouveras si tout c'est bien passé jusque là, un fichier nommé: Hakafix.vbs
Double clic dessus pour l'exécuter.
Tout ceci bien sur, ne te dispense pas de faire scanner ton pc par un antivirus.
Que se soit par un AV en ligne ou ton Antivirus résident une fois mis à jours.
Bon courage Mila :-)
Code source du script :
Option Explicit Dim WshShell, DocDir, TmpDir, WinDir, SysDir Dim strComp, strLogs, arrProcs(6), arrFiles(45) Set WshShell = WScript.CreateObject("WScript.Shell") DocDir = WshShell.ExpandEnvironmentStrings("%UserProfile%") & chr(92) TmpDir = WshShell.ExpandEnvironmentStrings("%Temp%") & chr(92) WinDir = WshShell.ExpandEnvironmentStrings("%WinDir%") & chr(92) SysDir = WinDir & chr(92) & "system32" & chr(92) strComp = "." strLogs = "" arrProcs(0) = "rvhost.exe" arrProcs(1) = "ssvichosst.exe" arrProcs(2) = "sscviihost.exe" arrProcs(3) = "new folder.exe" arrProcs(4) = "skcvhost.exe" arrProcs(5) = "svichoost.exe" arrProcs(6) = "systems.exe" arrFiles(0) = WinDir & "RVHOST.exe" arrFiles(1) = WinDir & "SSVICHOSST.exe" arrFiles(2) = WinDir & "SSCVIIHOST.exe" arrFiles(3) = WinDir & "Tasks\At1.job" arrFiles(4) = SysDir & "nhatquanglan9.exe" arrFiles(5) = SysDir & "nhatquanglan11.exe" arrFiles(6) = SysDir & "SSVICHOSST.exe" arrFiles(7) = SysDir & "SSCVIIHOST.exe" arrFiles(8) = SysDir & "New Folder.exe" arrFiles(9) = SysDir & "hinhem.scr" arrFiles(10) = SysDir & "blastclnnn.exe" arrFiles(11) = SysDir & "autorun.ini" arrFiles(12) = SysDir & "setting.ini" arrFiles(13) = SysDir & "setting.xls" arrFiles(14) = SysDir & "SKCVHOST.exe" arrFiles(15) = SysDir & "SKCVHOSTr.exe" arrFiles(16) = SysDir & "SKCVHOSThk.dll" arrFiles(17) = SysDir & "SCVHSOT.exe" arrFiles(18) = SysDir & "SYSTEMS.exe" arrFiles(19) = SysDir & "SYSTEMShk.dll" arrFiles(20) = SysDir & "SYSTEMShk.dll" arrFiles(21) = SysDir & "test1.exe" arrFiles(22) = SysDir & "apps.dat" arrFiles(23) = SysDir & "bpk.bin" arrFiles(24) = SysDir & "bpk.dat" arrFiles(25) = SysDir & "bpk.exe" arrFiles(26) = SysDir & "bpkch.dat" arrFiles(27) = SysDir & "bsdhooks.dll" arrFiles(28) = SysDir & "inst.dat" arrFiles(29) = SysDir & "inst.tmp" arrFiles(30) = SysDir & "kw.dat" arrFiles(31) = SysDir & "mc.dat" arrFiles(32) = SysDir & "pk.bin" arrFiles(33) = SysDir & "rinst.dat" arrFiles(34) = SysDir & "rinst.exe" arrFiles(35) = SysDir & "titles.dat" arrFiles(36) = SysDir & "web.dat" arrFiles(37) = SysDir & "web.dll" arrFiles(38) = SysDir & "keystrokes.html" arrFiles(39) = SysDir & "websites.html" arrFiles(40) = SysDir & "chats.html" arrFiles(42) = SysDir & "report.txt" arrFiles(43) = SysDir & "SSVICHOSST.exe" arrFiles(44) = SysDir & "nhatquanglan18.exe" arrFiles(45) = SysDir & "nhatquanglan20.exe" delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions" delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared" delRegVal "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger" delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bpk" delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYSTEMS" delRegVal "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SKCVHOST" setRegVal "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe", "REG_SZ" delRegVal "HKLM\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxHours" If strLogs <> "" Then WScript.Echo "Winlogon... Restauration valeur Explorer.exe : " & VBCrLf & VBCrLf & strLogs strLogs = "" End If Sub setRegVal(Target, Value, Reg) On Error Resume Next WshShell.RegWrite Target, Value, Reg If Err = 0 Then strLogs = strLogs & ".. " & Target & " to " & Value & VBCrLf End If Err.Clear On Error Goto 0 End Sub Sub delRegVal(Target) On Error Resume Next WshShell.RegDelete Target If Err = 0 Then strLogs = strLogs & "Valeurs supprimés : " & Target & VBCrLf End If Err.Clear On Error Goto 0 End Sub Dim objWMI : Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComp & "\root\cimv2") Dim objFSO : Set objFSO = WScript.CreateObject("Scripting.FileSystemObject") If Err = 0 Then KillProcs Set objWMI = Nothing Set objFSO = Nothing End If Err.Clear Sub KillProcs ' Variables Dim objProc, objFile Dim strFile, i Dim colProc : Set colProc = objWMI.ExecQuery("Select Name from Win32_Process") For Each objProc in colProc For i=0 to UBound(arrProcs) If arrProcs(i) = LCase(CStr(objProc.Name)) Then objProc.Terminate() strLogs = strLogs & "Processus arrêté: " & arrProcs(i) & VBCrLf Exit For End If Next Next Set colProc = Nothing Set objProc = Nothing For i=0 to UBound(arrFiles) RemoveFile arrFiles(i) Next RemoveTmpFolder TmpDir If strLogs <> "" Then WScript.Echo "Scan en cours: " & VBCrLf & VBCrLf & strLogs End If End Sub Sub RemoveTmpFolder(Target) On Error Resume Next Dim tmpDir : Set tmpDir = objFSO.GetFolder(Target) Dim tmpFolder, tmpFile For Each tmpFile In tmpDir.Files tmpFile.Attributes = 0 tmpFile.Delete Next For Each tmpFolder In tmpDir.SubFolders RemoveTmpFolder tmpFolder.Path tmpFolder.Attributes = 0 tmpFolder.Delete Next Set tmpDir = Nothing Set tmpFolder = Nothing Set tmpFile = Nothing On Error Goto 0 End Sub Sub RemoveFile(Target) On Error Resume Next If objFSO.FileExists(Target) Then Dim objFile : Set objFile = objFSO.GetFile(Target) objFile.attributes = 0 objFile.Delete Set objFile = Nothing strLogs = strLogs & "Fichier supprimé : " & Target & VBCrLf End If On Error Goto 0 End Sub WScript.Echo "Fin du nettoyage." WScript.Quitmerci d'avance
metang10