[VIRUS] Problème Bizarre

Problème Bizarre [VIRUS] - Sécurité - Windows & Software

Marsh Posté le 16-03-2004 à 23:23:23    

C'est à ne rien y comprendre...
 
Après installation de mon Windows XP + SP1 et connexion au Web, me voilà attaqué par Blaster. Logique, jusque là rien d'anormal, je pensais le connaître le petit saligaud. Mais voilà que j'installe tous les correctifs Windows nécessaires (et même tous les correctifs tout court), que je nettoie de fond en comble et mon Windows et ma base de registre (passage de plusieurs antivirus en ligne + Ad-Aware + Optimisation de la base de registre + Repérage dans le Run de Windows de la base de registre sans oublier la recherche de tout fichier méchant sur mes disque dur) si bien que ce charmant et vilain virus s'en trouve annihilé.
 
Mais, car il y a un mais, il est toujours présent. En effet, après un petit regedit ma base de registre se ferme toute seule après quelques secondes. Il en va de même pour mon antivirus (Norton 2004), ce qui prouve bien la présence du vil dans mes fichiers.
 
Donc là évidemment, re scan de toute part, utilisation du petit utilitaire symantec ou du petit utilitaire Sophos spécialement prévu pour Blaster, qui me disent tous deux avec un grand sourire stupide que Blaster ne se trouve pas présent dans mon système.
 
Alors peut être s'agit il d'un autre virus, mais là vraiment je n'en sais rien puisqu'après plusieurs scans antivirus online (secuser + panda sans oublier les éternels détecteurs de trojans), rien n'apparaît.
 
Alors je désespère, et je sens le vil formatage bourrin se rapprocher, mais ca m'agace puisque je veux comprendre.
 
Avez-vous une idée sur ce qui est en train de m'arriver ?
 
Merci d'avance !

Reply

Marsh Posté le 16-03-2004 à 23:23:23   

Reply

Marsh Posté le 16-03-2004 à 23:25:07    

Je précise que j'ai bien évidemment désactivé la restauration Windouille.

Reply

Marsh Posté le 16-03-2004 à 23:33:08    

welchia.b ?
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
 
sinon c'est marrant cette inconscient de se connecter sur internet sachant pertinnement que tu allais te prendre un virus...


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 16-03-2004 à 23:33:28    

sinon les site d'antivirus (comme norton) propose un scan online des virus


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 17-03-2004 à 00:30:55    

Même soucis, je bataille depuis des heures sur ça.
Je pensais avoir eu Blaster. Shutdown -a en pensant ensuite résoudre le pb en moins de 2. Que neni. Différents logiciels installés pour virer ce satané virus n'y font rien. Pas de Blaster détécté. Installation de patchs en tous genre, en mode sans echec, déconnecté du net. Toujours plus ou moins pareil. Plus ou moins pask'au départ, je ne pouvais plus copier/coller, et différentes couilles du genre. C'est réglé. Mais reste tjrs la base de registre qui se ferme toute seule au bout de qques secondes. Rien n'y fait, j'ai essayé Spybot&Destroy, CWShredder, HijackThis, Ad-Aware, des anti-virus en ligne, Panda, Trend micro, Inoculer, Antivir, regcleaner, et j'en passe d'autres. Rien que dalle.
Si qqu'un sait quelles clef supprimer dans le registre... Grand merci!

Reply

Marsh Posté le 17-03-2004 à 07:34:14    

Citation :

sinon c'est marrant cette inconscient de se connecter sur internet sachant pertinnement que tu allais te prendre un virus...


 
En fait, je pensais que tous les patchs nécessaires étaient compris dans le SP1. Véritablement, je voulais surtout tester ma connexion vu que j'avais quelques problèmes avec avant le formatage.
 
Sinon, ce n'est visiblement pas Welchia. Le plus étonnant c'est que rien ne semble anormal dans ma base de registre. J'ai en effet utilisé des petits softs pour l'analyser et rien n'est suspect.
 
Alors franchement je ne comprends pas d'où cela peut venir, d'autant plus que tous les patchs de sécurité, je dis bien tous, sont installés. Toutes mes autres applications marchent normalement, mon processeur ne parait pas plus surchargé que cela, en bref tout semble normal excepté le fait que ma base de registre ainsi que mon antivirus se ferment seuls. Je sais qu'une version de Blaster installe un Trojan produisant justement ces effets, en créant certaines clefs dans la base de registre, clefs qui ne sont pas présentes dans la mienne.
 
Le mystère reste complet.

Reply

Marsh Posté le 17-03-2004 à 09:03:49    

Salut,
1. tu ne sembles pas avoir utilisé un antitrojan puissant genre pestpatrol, tauscan. Norton pas suffisant
2. spybot a-t-il été utilisé en vaccination ? recherche active X, etc , que dit la liste des tâches, processus bizarre ?
3. les ports TCP 69, de 135 à 139 (mais si réseau interne plus de partage de fichiers) et 4444 sont-ils bloqués (utilisés par blaster).
4. après gros nettoyage avec antitrojan avec rest syst out , je désinstallerais norton 2004 + nettoyage registre avec JV16 , puis réinstaller norton. tout cela en étant déconnecté du web.  Rien que sur ce forum c'est fou le nbre de problèmes avec norton après infection.
5. pour comprendre éventuellement problème s'il se reproduit après manoeuvre : utiliser regsnap aux différentes étapes pour comparer les modif. registre.
6. après manoeuvres, repasser un coup de JV16  
Intellectuellement plus complexe mais plus valorisant que "format c:" (la peinture à l'huile.........)
A+
 
 
 

Reply

Marsh Posté le 17-03-2004 à 10:46:10    

welchia.b une vrai merde.
une semaine il ( elle :) ) m'a fait chier.
 
Mais je l'ai finallement eu la kokine :)

Reply

Marsh Posté le 17-03-2004 à 11:02:28    

Pour ceux qui réinstallent XP :
 
Cet OS contient un firewall intégré, qui même si il est simpliste empêche les connexions intiées depuis l'extérieur.
 
En fait il suffit d'activer le firewall (procédure décrite dans l'aide de Windows) avant d'établir la connexion internet, le firewall n'empechera pas de mettre à jour le système d'exploitation, mais bloquera les divers virus utilisant des failles du modules RPC.
 
Pour les autres qui n'utilisent pas Windows XP il serait plus prudent de placer les patchs sur un CD, de mettre à jour le système d'exploitation et ensuite suelement de se connecter.

Reply

Marsh Posté le 20-03-2004 à 00:14:04    

Reformaté. Installé ts les patchs de billou, mis à jour IE6, Kerio, et ensuite, branché sur le net. Depuis, le PC marche nickel. Rien à redire. Kerio est top, pas de réglages fastidieux.

Reply

Marsh Posté le 20-03-2004 à 00:14:04   

Reply

Marsh Posté le 20-03-2004 à 00:16:49    

J'ai exactement le même problème. C'est un virus du type W32.explore. Tu remarqueras qu'un processus explore.exe ou _setup.exe tourne et te bouffe tes performances. Je n'arrive pas à m'en débarasser...  :sweat:
 
-EDIT-
 
http://securityresponse.symantec.c [...] re@mm.html  
 
bonne chasse  :)


Message édité par Tir3Boochon le 20-03-2004 à 00:21:59
Reply

Marsh Posté le 20-03-2004 à 01:41:38    

ça me fait penser au virus agobot (qui s'appelle parfois goabot)


---------------
Is it a bird? Is it a plane? No it s F22Raptor !  -  I love flying because football, baseball, rugby, and golf only take one ball
Reply

Marsh Posté le 20-03-2004 à 10:27:57    

Pour compléter le post de Requin, Bilou propose de sécuriser gratuitement win (c'est bien le moins qu'il puisse faire) au moyen d'un cd reperenant tous les patches sécurité à commander à l'adresse suivante :
http://www.microsoft.com/france/se [...] /cdrom.asp
F-secure AV+FW est offert aussi pour 6 mois.
Seule ombre, faut s'identifier avec adresse (ben oui pour la poste) mais comme 90% le sont déjà avec ID number unique de leur PC.
Pour éviter problèmes déjà virer le couple infernal IE+outlook et remplacer par Mozilla  
A+
A+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed