Discussion :

[devlopassion]

bonjour tlm,
-depuis ce matin je ne peu plus accédé au commande msdos ni au gestionaire des taches.
-pour le Msdos rien ne se passe comme si j'ai rien fait, et pour le gestionir j'ai le message d'avertissement comme si le gestionaire est désactivé par l'administrateur.
-un ami ma avancé la probabilité d'un virus "newfolder"
merci

[Jannus]

Présenté comme ça, on dirait bien un virus en effet.
Tu as un AV ?
Tu as fait un scan en ligne ?
Quel est ton OS ?

[devlopassion]

oui j'ai 2 antivirus: avg, et avast et ils sont mis à jour
mais ils n ont rien capté
-j'utilise Windows XP SP2
Merci

[Jannus]

2 anti-virus c'est un de trop
Désinstalle un des deux (AVG en ce qui me concerne)
et fait un/des scans en ligne

[devlopassion]

- j'ai peut etre une piste
- un processus louche "ssvichosst"
Merci

[winow]

Bonsoir

Pour desinfecter ton pc il existe ce script "Flash_Disinfector" special pour killer ce virus

A+

[devlopassion]

merci
- mais j'ai essayé sans succé
- il m'affiche un message "done" et le virus est tjr la
AIDEZ MOI

[winow]

Bonjour

A tu essayer "Flash_Disinfector" en mode sans echecs ?
Sur le compte Administrateur bien sur.

A+

[devlopassion]

-oui oui bien sur
-mode sans echec
-dimarage en mode diagnostic
vraiment je conprend pas
merci pour ton aide en tou cas l'ami
si tu a une autres proposition n'hésitye pas

[winow]

Salut

Moi je ferai cela ( a vu de nez )

J'irai voir dans "msconfig" et je décocherai tout ce qui s'y trouve,
pour empêcher le démarrage a l'ouverture de xp des log,
et je redémarre xp en administrateur et mode sans echecs,

Ouvre la base du registre et lance une recherche "ssvichosst"
a chaque fois qu'il trouve un valeur/clé avec ce nom, tu la supprime sans hésité,

Ensuite j'exécuterai HijackThis pour voir ou il peut encore se cacher
et j'irai directement les supprimer manuellement,

Essai de lancer le gestionnaire des tâches manuellement,
il se trouve ici : "C:\WINDOWS\System32\taskmgr.exe"

Vide les dossiers Temp, le cache ie si tu l'utilise ?, ou netoie ton pc avec cCleaner

Voila pour le moment, plus d'idées
je vais voir au niveau des services d'xp se qui se passe pour le gestionnaire des tâches etc..

PS:
N'oublie pas de redémarrer les logs dans "msconfig" si tu le fait, antivirus etc..

A+

[winow]

Pour activé le gestionnaire des tâches verifie cette valeur dans le registre

Chemin = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"

valeur = "DisableTaskMgr", si cette valeur a pour données le chiffre 1 alors mettre a zéro pour activé le GDT,

PS:
Pour trouvé cette valeur lance pluto une recherche, c'est mieux, défois qu'il y en ai plusieurs ?

A+

[winow]

Alors:

Sacré virus celui la

Dans la base du registre il faut vérifié ces valeur:

chemin = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
changé la valeur = "NofolderOptions"= “1” = par "0"

chemin = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
change la Valeur = "DisableTaskMgr"=”1” = par "0"

chemin = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
change la valeur = "DisableRegistryTools"=”1” = par "0"

chemin = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\
change la valeur = "AtTaskMaxHours" =”0” = par "1"

chemin = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\
"shared"="\\[SHARES]\New Folder.exe"

Il faut inversé toutes ces données par le chiffre contraire de ci-dessus.
//---------------------------------------------------
puis il faut supprimer ces valeurs:

chemin = HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
valeur a supprimé = “Shell” =” Explorer.exe SSVICHOSST.exe”

chemin = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
valeur a supprimé = “Yahoo Messengger” = “%SYSDIR%\ SSVICHOSST.exe”

/=============================================

Il faut supprimé ces fichier:

"SSVICHOSST.exe" qui se trouve dans "C:\WINDOWS"

"SKCVHOSThk.dll" qui se trouve dans "C:\WINDOWS\system32"

"SKCVHOST.exe" qui se trouve dans "C:\WINDOWS\system32"

"SKCVHOSTr.exe" qui se trouve dans "C:\WINDOWS\system32"

//=============================================

puis il faut trouvé ce fichier qui se trouve sur le disque dur:

"At1.job"

il faut le supprimé.

//=============================================

Voila, c'est tout pour le moment

A+

[devlopassion]

merci beaucoup mon ami
pour ces efforts :-)