C'est à ne rien y comprendre...
 
Après installation de mon Windows XP + SP1 et connexion au Web, me voilà attaqué par Blaster. Logique, jusque là rien d'anormal, je pensais le connaître le petit saligaud. Mais voilà que j'installe tous les correctifs Windows nécessaires (et même tous les correctifs tout court), que je nettoie de fond en comble et mon Windows et ma base de registre (passage de plusieurs antivirus en ligne + Ad-Aware + Optimisation de la base de registre + Repérage dans le Run de Windows de la base de registre sans oublier la recherche de tout fichier méchant sur mes disque dur) si bien que ce charmant et vilain virus s'en trouve annihilé.
 
Mais, car il y a un mais, il est toujours présent. En effet, après un petit regedit ma base de registre se ferme toute seule après quelques secondes. Il en va de même pour mon antivirus (Norton 2004), ce qui prouve bien la présence du vil dans mes fichiers.
 
Donc là évidemment, re scan de toute part, utilisation du petit utilitaire symantec ou du petit utilitaire Sophos spécialement prévu pour Blaster, qui me disent tous deux avec un grand sourire stupide que Blaster ne se trouve pas présent dans mon système.
 
Alors peut être s'agit il d'un autre virus, mais là vraiment je n'en sais rien puisqu'après plusieurs scans antivirus online (secuser + panda sans oublier les éternels détecteurs de trojans), rien n'apparaît.
 
Alors je désespère, et je sens le vil formatage bourrin se rapprocher, mais ca m'agace puisque je veux comprendre.
 
Avez-vous une idée sur ce qui est en train de m'arriver ?
 
Merci d'avance !

Je précise que j'ai bien évidemment désactivé la restauration Windouille.

welchia.b ?
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
 
sinon c'est marrant cette inconscient de se connecter sur internet sachant pertinnement que tu allais te prendre un virus...

sinon les site d'antivirus (comme norton) propose un scan online des virus

Même soucis, je bataille depuis des heures sur ça.
Je pensais avoir eu Blaster. Shutdown -a en pensant ensuite résoudre le pb en moins de 2. Que neni. Différents logiciels installés pour virer ce satané virus n'y font rien. Pas de Blaster détécté. Installation de patchs en tous genre, en mode sans echec, déconnecté du net. Toujours plus ou moins pareil. Plus ou moins pask'au départ, je ne pouvais plus copier/coller, et différentes couilles du genre. C'est réglé. Mais reste tjrs la base de registre qui se ferme toute seule au bout de qques secondes. Rien n'y fait, j'ai essayé Spybot&Destroy, CWShredder, HijackThis, Ad-Aware, des anti-virus en ligne, Panda, Trend micro, Inoculer, Antivir, regcleaner, et j'en passe d'autres. Rien que dalle.
Si qqu'un sait quelles clef supprimer dans le registre... Grand merci!

 
En fait, je pensais que tous les patchs nécessaires étaient compris dans le SP1. Véritablement, je voulais surtout tester ma connexion vu que j'avais quelques problèmes avec avant le formatage.
 
Sinon, ce n'est visiblement pas Welchia. Le plus étonnant c'est que rien ne semble anormal dans ma base de registre. J'ai en effet utilisé des petits softs pour l'analyser et rien n'est suspect.
 
Alors franchement je ne comprends pas d'où cela peut venir, d'autant plus que tous les patchs de sécurité, je dis bien tous, sont installés. Toutes mes autres applications marchent normalement, mon processeur ne parait pas plus surchargé que cela, en bref tout semble normal excepté le fait que ma base de registre ainsi que mon antivirus se ferment seuls. Je sais qu'une version de Blaster installe un Trojan produisant justement ces effets, en créant certaines clefs dans la base de registre, clefs qui ne sont pas présentes dans la mienne.
 
Le mystère reste complet.

Salut,
1. tu ne sembles pas avoir utilisé un antitrojan puissant genre pestpatrol, tauscan. Norton pas suffisant
2. spybot a-t-il été utilisé en vaccination ? recherche active X, etc , que dit la liste des tâches, processus bizarre ?
3. les ports TCP 69, de 135 à 139 (mais si réseau interne plus de partage de fichiers) et 4444 sont-ils bloqués (utilisés par blaster).
4. après gros nettoyage avec antitrojan avec rest syst out , je désinstallerais norton 2004 + nettoyage registre avec JV16 , puis réinstaller norton. tout cela en étant déconnecté du web.  Rien que sur ce forum c'est fou le nbre de problèmes avec norton après infection.
5. pour comprendre éventuellement problème s'il se reproduit après manoeuvre : utiliser regsnap aux différentes étapes pour comparer les modif. registre.
6. après manoeuvres, repasser un coup de JV16  
Intellectuellement plus complexe mais plus valorisant que "format c:" (la peinture à l'huile.........)
A+
 
 
 

welchia.b une vrai merde.
une semaine il ( elle ) m'a fait chier.
 
Mais je l'ai finallement eu la kokine

Pour ceux qui réinstallent XP :
 
Cet OS contient un firewall intégré, qui même si il est simpliste empêche les connexions intiées depuis l'extérieur.
 
En fait il suffit d'activer le firewall (procédure décrite dans l'aide de Windows) avant d'établir la connexion internet, le firewall n'empechera pas de mettre à jour le système d'exploitation, mais bloquera les divers virus utilisant des failles du modules RPC.
 
Pour les autres qui n'utilisent pas Windows XP il serait plus prudent de placer les patchs sur un CD, de mettre à jour le système d'exploitation et ensuite suelement de se connecter.

Reformaté. Installé ts les patchs de billou, mis à jour IE6, Kerio, et ensuite, branché sur le net. Depuis, le PC marche nickel. Rien à redire. Kerio est top, pas de réglages fastidieux.

J'ai exactement le même problème. C'est un virus du type W32.explore. Tu remarqueras qu'un processus explore.exe ou _setup.exe tourne et te bouffe tes performances. Je n'arrive pas à m'en débarasser...  
 
-EDIT-
 
http://securityresponse.symantec.c [...] re@mm.html  
 
bonne chasse  

ça me fait penser au virus agobot (qui s'appelle parfois goabot)

Pour compléter le post de Requin, Bilou propose de sécuriser gratuitement win (c'est bien le moins qu'il puisse faire) au moyen d'un cd reperenant tous les patches sécurité à commander à l'adresse suivante :
http://www.microsoft.com/france/se [...] /cdrom.asp
F-secure AV+FW est offert aussi pour 6 mois.
Seule ombre, faut s'identifier avec adresse (ben oui pour la poste) mais comme 90% le sont déjà avec ID number unique de leur PC.
Pour éviter problèmes déjà virer le couple infernal IE+outlook et remplacer par Mozilla  
A+
A+