Bonjour, et merci à TWEAKIE d'avoir répondu à mon message issu de FOORUM, car je
ne vois MON propre message sur mon lecteur de news qu'à travers sa
réponse(apparemment, sur news.noos.fr on n'accède pas aux messages issus de
Foorum).
Donc voilà je vous explique tout :
- il y a 10 jours, j'ai commencé à avoir une fenêtre qui s'affiche avec "SCVHOST
a généré des erreurs et sera fermé par windows".
- Ensuite, 2000 fois ce message => je dois fermer une fenêtre toutes les 10
secondes sinon il se reproduit à la vitesse de l'éclair
- Ensuite : plus de message, mais tous les autres symptomes subsistent
(voir+bas les symptomes)
- Quand je regarde les processus, SCVHOST occupe toute la ressource CPU
- Et en plus, il tourne en double (2 processus du même nom tournent.. étrange)
- je tente de le supprimer => impossible
- je le renomme => ok, mais il se duplique.....(via le dossier i386 qui en
conserve une copie, je suppose)
- j'apprends entretemps que SCVHost est un processus Windows, et qu'un troyen
qui s'appelle presque comme ça doit donc être installé sur ma machine..
(confusion entre SCV- et SVC-host, l'un est de chez windows, l'autre non)
Donc :
- je sauvegarde mes données, et je reformatte mon DD, en partitionnant C:/ et
D:/ différemment (pour être certaine que tout est bien effacé)
=> quand je relance la machine, j'ai encore le message "SCVHOST..."
Là j'ai très mal..Le formattage ne fait donc rien. COMMENT est-ce possible ?
Quelqu'un peut-il m'expliquer où est ce virus une fois que j'ai formatté le DD
?????? Est-ce qu'il a pu rester dans la mémoire cache ? Dans mes données ?
Les symptomes de ce virus sont :
** Copié-collé impossible (dans toutes les applis => c'est très gênant)
** impossible d'envoyer des mails (message "Mémoire insuffisante" dès que je
tente d'écrire un mail ou de répondre)
** Possibilité de lire les news, mais impossible de poster ( = torture !!)
(jusqu'à ce que je me souvienne de FOORUM)
** Plus aucun menu contextuel n'est accessible par bouton droit
** La fenêtre affichant la base de registres ne tient pas + de 10 secondes
** impossible d'imprimer sous OE ou IE
** Surf très difficile sur le web, car bcp de fenêtres ne s'ouvrent pas
** Note importante : tous ces symptomes se déclenchent 5 minutes après que j'aie
allumé mon PC, il semble donc que le virus soit inactif qq minutes avant d'agir
Donc désespoir si le formattage ne fait rien (fait avec les CD de réinstall)..
Je cours acheter Norton AV (la totale Sécurité Internet, pour 90 Euros) (tant
qu'à faire....) et je reviens chez moi, toute contente, et persuadée que ça y
est, je vais pouvoir enfin dégager ce virus (sur le site de Symantec, j'ai vu
qu'ils ont débusqué une variante de MSBlast / Agobot qui ressemble furieusement
au mien, donc je crois naïvement que si j'ai le temps de télécharger les màj de
NAV, l'affaire est dans le sac). Mais NAV se fait zigouiller au bout de 5
minutes, à peine installé => il est bloqué par mon ver de terre (symptome
identiques à REGEDIT = la fenêtre NAV disparait au bout de 5 secondes).
BOooooooN.. Superrrr (..je vais bien, tout va bien...)
Il me reste une seule solution >> aller chez Surcouf avec mon
petit scooter et mon énorme portable (un gros Sony VAIO lourd et encombrant) et
donner e*n*c*o*r*e 59 euros au "village des techniciens" pour qu'ils
"éradiquent" le virus (qui bien sur va revenir le temps que je rentre chez moi).
Mais au fond de moi quelquechose se rebelle. D'accord, je me suis faite avoir de
90 euros..OK, mais n'y a-t-il pas un moyen pour que j'en perde pas encore 50 ?
Si eux (surcouf) peuvent supprimer ce virus, pourquoi pas moi ? Pourquoi
personne ne pourrait-il me guider à distance, en échange de ma reconnaissance
éternelle ?
Pourquoi suis-je la seule à avoir attrappé ce virus ? Pourquoi le formattage ne
le supprime-t-il pas ? Que dois-je faire docteur ??????????
Ma config : Win2000Pro, 512MoRAM, OE 5.5 (OE6 et IE6 au moment de l'infection)
Au moment de l'infection : ZonAlarm (gratuit), mais aucun AV (jamais aucune
infection depuis 1 an 1/2).
Merci beaucoup d'avance, et surtout, merci d'avoir lu toute ma prose :)))
-------
nadia
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Quand tu réinstalles ton système, si la zone mémoire occupée par ton fichier n'est pas écrasée, ton fichier se retrouve là, et donc automatiquement réérencé dans la FAT. Caramba, tout est à recommencer.
Quel paquet de co**eries :(
-- joke0
Salut,
Rémy Venturi:
Quand tu réinstalles ton système, si la zone mémoire occupée
par ton fichier n'est pas écrasée, ton fichier se retrouve
là, et donc automatiquement réérencé dans la FAT. Caramba,
tout est à recommencer.
Quand tu réinstalles ton système, si la zone mémoire occupée par ton fichier n'est pas écrasée, ton fichier se retrouve là, et donc automatiquement réérencé dans la FAT. Caramba, tout est à recommencer.
Quel paquet de co**eries :(
-- joke0
Rémi
Une solution ayant une probabilité un peu plus élevée de marcher, c'est de détryure ta partition. Puis d'en recréer une, le tout se faisant très bien avec fdisk. Tapartition n'est pas forcément recréée au même endroit sur le disque, tu as donc une chance pour ton fichier soit écrasé.
Mais comme la faille de windows utilisée par agobot n'est pas comblée par fdisk Nadia se retrouvera dans peu de temps avec le même problème...
Rémi
-- enlevez 123 456 pour me répondre directement
Une solution ayant une probabilité un peu plus élevée de marcher, c'est de
détryure ta partition. Puis d'en recréer une,
le tout se faisant très bien avec fdisk. Tapartition n'est pas forcément
recréée au même endroit sur le disque, tu as donc une chance pour ton
fichier soit écrasé.
Mais comme la faille de windows utilisée par agobot n'est pas comblée
par fdisk Nadia se retrouvera dans peu de temps avec le même problème...
Une solution ayant une probabilité un peu plus élevée de marcher, c'est de détryure ta partition. Puis d'en recréer une, le tout se faisant très bien avec fdisk. Tapartition n'est pas forcément recréée au même endroit sur le disque, tu as donc une chance pour ton fichier soit écrasé.
Mais comme la faille de windows utilisée par agobot n'est pas comblée par fdisk Nadia se retrouvera dans peu de temps avec le même problème...
Rémi
-- enlevez 123 456 pour me répondre directement
nn
"Tweakie" a écrit
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run si vous voyez la ligne Configuration Loader="wincrt32.exe" , supprimez la. Sinon, envoyez la liste ici pour qu'on puisse vous guider.
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je crois bien que vous avez pratiquement trouvé l'origine de mon problème. Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les news sans passer par FOORUM, sans doute grâce à mes màj sur Windows Update) : -------------------------------------------------- - j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT (sans passer par redémarrage + F8 + mode sans échec, car je ne me souviens plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un eRaseDirectory au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "ren x.exe y.exe" ça marche ?) => bref, cette copie édite le registre super bien, sans que le virus ne ferme ma fenêtre (gros progrès !). --------------------------------------------------- Ensuite, j'ai trouvé la même entrée : "Configuration Loading svchos1.exe" dans les 2 rubriques suivantes de la base des registres : HKLM>Software>Microsoft>Windows>CurrentVersion>Run HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices ==> Dois-je les supprimer ? (je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/Bf) --------------------------------------------------- ==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif , ou bien un troyen ? En faisant une recherche de tous les fichiers nommés SVC*.* sur ma machine, j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k scvhos1.exe.poly 71 k scvhost.exe 8k (=> il se retrouve aussi dans i386, donc c'est un "bon") ------------------------------------------------------- Forte suspicion que SCVHOS1 soit un ver/virus/troyen. Maintenant, est-ce que je dois supprimer les 2 entrées de la base des registres précitées ? Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses tranquillement, et attendre les conseils des spécialistes, car j'ai téléchargé 30 Mo de WindowsUpdate en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chose, pas plus que les correctifs KB8****), et je n'ai pas envie de tout recommencer avec une fausse manip.
Merciiiiiiiii encore, Tweakie :))))))))))) Nadia
"Tweakie" <NO_eikaewt_SPAM@hotmail.com> a écrit
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
si vous voyez la ligne Configuration Loader="wincrt32.exe" ,
supprimez la. Sinon, envoyez la liste ici pour qu'on puisse vous
guider.
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je
crois bien
que vous avez pratiquement trouvé l'origine de mon problème.
Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les news sans
passer par
FOORUM, sans doute grâce à mes màj sur Windows Update) :
--------------------------------------------------
- j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT
(sans passer par redémarrage + F8 + mode sans échec, car je ne me souviens
plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un
eRaseDirectory
au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "ren
x.exe y.exe" ça marche ?)
=> bref, cette copie édite le registre super bien, sans que le virus ne
ferme ma fenêtre (gros progrès !).
---------------------------------------------------
Ensuite, j'ai trouvé la même entrée :
"Configuration Loading svchos1.exe"
dans les 2 rubriques suivantes de la base des registres :
HKLM>Software>Microsoft>Windows>CurrentVersion>Run
HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices
==> Dois-je les supprimer ?
(je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/Bf)
---------------------------------------------------
==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif ,
ou bien un troyen ?
En faisant une recherche de tous les fichiers nommés SVC*.* sur ma
machine,
j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k
scvhos1.exe.poly 71 k
scvhost.exe 8k (=> il se retrouve
aussi dans i386, donc c'est un "bon")
-------------------------------------------------------
Forte suspicion que SCVHOS1 soit un ver/virus/troyen.
Maintenant, est-ce que je dois supprimer les 2 entrées de la base des
registres précitées ?
Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans
winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses
tranquillement,
et attendre les conseils des spécialistes, car j'ai téléchargé 30 Mo de
WindowsUpdate
en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chose, pas
plus que les
correctifs KB8****), et je n'ai pas envie de tout recommencer avec une
fausse manip.
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run si vous voyez la ligne Configuration Loader="wincrt32.exe" , supprimez la. Sinon, envoyez la liste ici pour qu'on puisse vous guider.
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je crois bien que vous avez pratiquement trouvé l'origine de mon problème. Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les news sans passer par FOORUM, sans doute grâce à mes màj sur Windows Update) : -------------------------------------------------- - j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT (sans passer par redémarrage + F8 + mode sans échec, car je ne me souviens plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un eRaseDirectory au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "ren x.exe y.exe" ça marche ?) => bref, cette copie édite le registre super bien, sans que le virus ne ferme ma fenêtre (gros progrès !). --------------------------------------------------- Ensuite, j'ai trouvé la même entrée : "Configuration Loading svchos1.exe" dans les 2 rubriques suivantes de la base des registres : HKLM>Software>Microsoft>Windows>CurrentVersion>Run HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices ==> Dois-je les supprimer ? (je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/Bf) --------------------------------------------------- ==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif , ou bien un troyen ? En faisant une recherche de tous les fichiers nommés SVC*.* sur ma machine, j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k scvhos1.exe.poly 71 k scvhost.exe 8k (=> il se retrouve aussi dans i386, donc c'est un "bon") ------------------------------------------------------- Forte suspicion que SCVHOS1 soit un ver/virus/troyen. Maintenant, est-ce que je dois supprimer les 2 entrées de la base des registres précitées ? Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses tranquillement, et attendre les conseils des spécialistes, car j'ai téléchargé 30 Mo de WindowsUpdate en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chose, pas plus que les correctifs KB8****), et je n'ai pas envie de tout recommencer avec une fausse manip.
Merciiiiiiiii encore, Tweakie :))))))))))) Nadia
nn
Merci, rainbow (corinne ?) et tous les autres, désolée je n'avais pas vu vos messages, car euh bon, mon OE6 est configuré depuis peu, et je ne vois que les entêtes de thread, et les messages de TWEAKIE-trop-sympa.
Donc je n'ai pas pu répondre, mais merci de votre aide :)) OUI je vais mettre un firewall, puisque j'ai acheté NAV récemment, (90 euros, ouille) donc il va pouvoir marcher un jour quand il pourra télécharger les mises à jour sans que le virus l'en empêche, je pense.
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Merci à tous Nadia
Merci, rainbow (corinne ?) et tous les autres, désolée je n'avais pas vu vos
messages, car euh bon, mon OE6 est configuré depuis peu, et je ne
vois que les entêtes de thread, et les messages de TWEAKIE-trop-sympa.
Donc je n'ai pas pu répondre, mais merci de votre aide :))
OUI je vais mettre un firewall, puisque j'ai acheté NAV récemment,
(90 euros, ouille) donc il va pouvoir marcher un jour quand il pourra
télécharger les mises à jour sans que le virus l'en empêche, je pense.
Pourquoi dites-vous que ce sont des conneries, le fait qu'un
formattage n'efface pas les données ??? Comment explique-t-on qu'un
formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Merci, rainbow (corinne ?) et tous les autres, désolée je n'avais pas vu vos messages, car euh bon, mon OE6 est configuré depuis peu, et je ne vois que les entêtes de thread, et les messages de TWEAKIE-trop-sympa.
Donc je n'ai pas pu répondre, mais merci de votre aide :)) OUI je vais mettre un firewall, puisque j'ai acheté NAV récemment, (90 euros, ouille) donc il va pouvoir marcher un jour quand il pourra télécharger les mises à jour sans que le virus l'en empêche, je pense.
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Merci à tous Nadia
Tweakie
On Sat, 13 Dec 2003, nn wrote:
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je crois bien que vous avez pratiquement trouvé l'origine de mon problème.
Tsss, z'allez me faire rougir...
Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les n ews sans passer par FOORUM, sans doute grâce à mes màj sur Windows Update) : -------------------------------------------------- - j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT (sans passer par redémarrage + F8 + mode sans échec, car je ne me sou viens plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un eRaseDirectory au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "r en x.exe y.exe" ça marche ?) => bref, cette copie édite le registre super bien, sans que le virus ne ferme ma fenêtre (gros progrès !). ---------------------------------------------------
Mais le mode sans echec est un mode avec interface graphique, pas en ligne de commande ! Il n'eut pas ete necessaire de connaitre la syntaxe en ligne de commande (d'ailleurs, "ren x.exe y.exe" marche, "rename ..." aussi, en cas de doute, il est toujours possible de faire rename /? pour avoir la syntaxe correcte).
Ensuite, j'ai trouvé la même entrée : "Configuration Loading svchos1.exe" dans les 2 rubriques suivantes de la base des registres : HKLM>Software>Microsoft>Windows>CurrentVersion>Run HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices ==> Dois-je les supprimer ?
Oui, mais je vous conseille tout de meme de passer en safe mode pour le fire. Je ne sais pas si c'est le cas d'Agobot/Gaobot, mais certains vers ne peuvent etre eradiques correctement quand leur processus est lance' (en particuier, il peut s'avarer impossible de supprimer l'executable).
(je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/B f)
Pas grave, il semblerait que ca depende de la version du vers.
--------------------------------------------------- ==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif , ou bien un troyen ?
C'est le troyen.
En faisant une recherche de tous les fichiers nommés SVC*.* sur ma machine, j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k scvhos1.exe.poly 71 k
Ces deux la sont a supprimer. En safe mode (mode sans echec).
scvhost.exe 8k (=> il se ret rouve aussi dans i386, donc c'est un "bon")
Celui-la est a conserver, c'est celui de windows.
------------------------------------------------------- Forte suspicion que SCVHOS1 soit un ver/virus/troyen. Maintenant, est-ce que je dois supprimer les 2 entrées de la base des registres précitées ? Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses tranquillement, et attendre les conseils des spécialistes,
Vous avez ma benediction pour le faire ;-) (quoique si, avant ca, vous pouviez envoyer une copie du vers (svhos1.exe) a tweakie-at-mail.nu avant, ca serait bien, mais bon, c'est pas non plus necessaire).
car j'ai téléchargé 30 Mo de WindowsUpdate en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chos e, pas plus que les correctifs KB8****), et je n'ai pas envie de tout recommencer avec une fausse manip.
Ca a change' une chose essentielle : vous ne vous ferez pas re-infecter immediatement apres votre desinfection, comme ca vous est manifestement arrive' apres votre formatage.
-- Tweakie
On Sat, 13 Dec 2003, nn wrote:
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je
crois bien
que vous avez pratiquement trouvé l'origine de mon problème.
Tsss, z'allez me faire rougir...
Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les n ews sans
passer par
FOORUM, sans doute grâce à mes màj sur Windows Update) :
--------------------------------------------------
- j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT
(sans passer par redémarrage + F8 + mode sans échec, car je ne me sou viens
plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un
eRaseDirectory
au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "r en
x.exe y.exe" ça marche ?)
=> bref, cette copie édite le registre super bien, sans que le virus ne
ferme ma fenêtre (gros progrès !).
---------------------------------------------------
Mais le mode sans echec est un mode avec interface graphique, pas en
ligne de commande ! Il n'eut pas ete necessaire de connaitre la
syntaxe en ligne de commande (d'ailleurs, "ren x.exe y.exe" marche,
"rename ..." aussi, en cas de doute, il est toujours possible de
faire rename /? pour avoir la syntaxe correcte).
Ensuite, j'ai trouvé la même entrée :
"Configuration Loading svchos1.exe"
dans les 2 rubriques suivantes de la base des registres :
HKLM>Software>Microsoft>Windows>CurrentVersion>Run
HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices
==> Dois-je les supprimer ?
Oui, mais je vous conseille tout de meme de passer en safe mode pour
le fire. Je ne sais pas si c'est le cas d'Agobot/Gaobot, mais certains
vers ne peuvent etre eradiques correctement quand leur processus est
lance' (en particuier, il peut s'avarer impossible de supprimer
l'executable).
(je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/B f)
Pas grave, il semblerait que ca depende de la version du vers.
---------------------------------------------------
==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif ,
ou bien un troyen ?
C'est le troyen.
En faisant une recherche de tous les fichiers nommés SVC*.* sur ma
machine,
j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k
scvhos1.exe.poly 71 k
Ces deux la sont a supprimer. En safe mode (mode sans echec).
scvhost.exe 8k (=> il se ret rouve
aussi dans i386, donc c'est un "bon")
Celui-la est a conserver, c'est celui de windows.
-------------------------------------------------------
Forte suspicion que SCVHOS1 soit un ver/virus/troyen.
Maintenant, est-ce que je dois supprimer les 2 entrées de la base des
registres précitées ?
Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans
winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses
tranquillement,
et attendre les conseils des spécialistes,
Vous avez ma benediction pour le faire ;-) (quoique si, avant ca, vous
pouviez envoyer une copie du vers (svhos1.exe) a tweakie-at-mail.nu avant,
ca serait bien, mais bon, c'est pas non plus necessaire).
car j'ai téléchargé 30 Mo de
WindowsUpdate
en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chos e, pas
plus que les
correctifs KB8****), et je n'ai pas envie de tout recommencer avec une
fausse manip.
Ca a change' une chose essentielle : vous ne vous ferez pas re-infecter
immediatement apres votre desinfection, comme ca vous est manifestement
arrive' apres votre formatage.
Merci pour les conseils, TWEAKIE, vraiment vous êtes super sympa, et je crois bien que vous avez pratiquement trouvé l'origine de mon problème.
Tsss, z'allez me faire rougir...
Donc voilà ce que j'ai fait (j'arrive maintenant à écrire sur les n ews sans passer par FOORUM, sans doute grâce à mes màj sur Windows Update) : -------------------------------------------------- - j'ai recopié REGEDIT.EXE => COPIEREGEDIT.EXE directement dans WINNT (sans passer par redémarrage + F8 + mode sans échec, car je ne me sou viens plus des commandes DOS en dehors de dir *.* et j'ai peur de faire un eRaseDirectory au lieu d'une copie tout bête ((en plus renommer me souviens plus ?? "r en x.exe y.exe" ça marche ?) => bref, cette copie édite le registre super bien, sans que le virus ne ferme ma fenêtre (gros progrès !). ---------------------------------------------------
Mais le mode sans echec est un mode avec interface graphique, pas en ligne de commande ! Il n'eut pas ete necessaire de connaitre la syntaxe en ligne de commande (d'ailleurs, "ren x.exe y.exe" marche, "rename ..." aussi, en cas de doute, il est toujours possible de faire rename /? pour avoir la syntaxe correcte).
Ensuite, j'ai trouvé la même entrée : "Configuration Loading svchos1.exe" dans les 2 rubriques suivantes de la base des registres : HKLM>Software>Microsoft>Windows>CurrentVersion>Run HKLM>Software>Microsoft>Windows>CurrentVersion>RunServices ==> Dois-je les supprimer ?
Oui, mais je vous conseille tout de meme de passer en safe mode pour le fire. Je ne sais pas si c'est le cas d'Agobot/Gaobot, mais certains vers ne peuvent etre eradiques correctement quand leur processus est lance' (en particuier, il peut s'avarer impossible de supprimer l'executable).
(je n'ai pas trouvé d'entrée HKLM/System/CurrentControlSet/Services/B f)
Pas grave, il semblerait que ca depende de la version du vers.
--------------------------------------------------- ==> C'est quoi SVCHOS1.EXE ? Est-ce un processus windows natif , ou bien un troyen ?
C'est le troyen.
En faisant une recherche de tous les fichiers nommés SVC*.* sur ma machine, j'ai trouvé les fichiers suivants sur WINNT/SYSTEM32 :
scvhos1.exe 71 k scvhos1.exe.poly 71 k
Ces deux la sont a supprimer. En safe mode (mode sans echec).
scvhost.exe 8k (=> il se ret rouve aussi dans i386, donc c'est un "bon")
Celui-la est a conserver, c'est celui de windows.
------------------------------------------------------- Forte suspicion que SCVHOS1 soit un ver/virus/troyen. Maintenant, est-ce que je dois supprimer les 2 entrées de la base des registres précitées ? Est-ce que je dois supprimer scvhos1.exe et scvhos1.exe.poly dans winnt.system32 ??
OUIIII je pense que oui, mais enfin bon, je préfère faire les choses tranquillement, et attendre les conseils des spécialistes,
Vous avez ma benediction pour le faire ;-) (quoique si, avant ca, vous pouviez envoyer une copie du vers (svhos1.exe) a tweakie-at-mail.nu avant, ca serait bien, mais bon, c'est pas non plus necessaire).
car j'ai téléchargé 30 Mo de WindowsUpdate en passant entr'autres de SP1 à SP4 (ce qui n'a pas changé grand chos e, pas plus que les correctifs KB8****), et je n'ai pas envie de tout recommencer avec une fausse manip.
Ca a change' une chose essentielle : vous ne vous ferez pas re-infecter immediatement apres votre desinfection, comme ca vous est manifestement arrive' apres votre formatage.
-- Tweakie
Tweakie
On Sat, 13 Dec 2003, nn wrote:
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Il a ete tres temporairement eradique', mais comme vous n'aviez pas encore bouche' la porte par laquelle il etait entre' (la faille windows comblee depuis par windowsupdate) et que vous vous etes reconnectee a Internet, il est revenu aussi sec.
Moralite' : un antivirus ne suffit pas, il est aussi imperatif de faire regulierement les mises a jour de windows.
-- Tweakie
On Sat, 13 Dec 2003, nn wrote:
Pourquoi dites-vous que ce sont des conneries, le fait qu'un
formattage n'efface pas les données ??? Comment explique-t-on qu'un
formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Il a ete tres temporairement eradique', mais comme vous n'aviez pas
encore bouche' la porte par laquelle il etait entre' (la faille
windows comblee depuis par windowsupdate) et que vous vous etes
reconnectee a Internet, il est revenu aussi sec.
Moralite' : un antivirus ne suffit pas, il est aussi imperatif de
faire regulierement les mises a jour de windows.
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
Il a ete tres temporairement eradique', mais comme vous n'aviez pas encore bouche' la porte par laquelle il etait entre' (la faille windows comblee depuis par windowsupdate) et que vous vous etes reconnectee a Internet, il est revenu aussi sec.
Moralite' : un antivirus ne suffit pas, il est aussi imperatif de faire regulierement les mises a jour de windows.
-- Tweakie
Rémi
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà ce que je peux te dire : Le formatage permettra d'éliminer les fichiers du virus mais si la "porte d'entrée" qui lui a permis de s'installer (dans le cas présent une faille de win) n'est pas refermée il n'aura servi à rien et tu seras réinfectée très rapidement. En plus c'est une procédure bien lourde. C'est comme si pour une panne d'essence le garagiste te proposait de changer de moteur (et pour pousser la similitude avec ton cas ne remettait pas d'essence dans le résevoir ou alors quelques centilitres).
-- enlevez 123 456 pour me répondre directement
Pourquoi dites-vous que ce sont des conneries, le fait qu'un
formattage n'efface pas les données ??? Comment explique-t-on qu'un
formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà ce que
je peux te dire : Le formatage permettra d'éliminer les fichiers du
virus mais si la "porte d'entrée" qui lui a permis de s'installer (dans
le cas présent une faille de win) n'est pas refermée il n'aura servi à
rien et tu seras réinfectée très rapidement. En plus c'est une procédure
bien lourde. C'est comme si pour une panne d'essence le garagiste te
proposait de changer de moteur (et pour pousser la similitude avec ton
cas ne remettait pas d'essence dans le résevoir ou alors quelques
centilitres).
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà ce que je peux te dire : Le formatage permettra d'éliminer les fichiers du virus mais si la "porte d'entrée" qui lui a permis de s'installer (dans le cas présent une faille de win) n'est pas refermée il n'aura servi à rien et tu seras réinfectée très rapidement. En plus c'est une procédure bien lourde. C'est comme si pour une panne d'essence le garagiste te proposait de changer de moteur (et pour pousser la similitude avec ton cas ne remettait pas d'essence dans le résevoir ou alors quelques centilitres).
-- enlevez 123 456 pour me répondre directement
rainbow
NewsGroups : Hello/Bonjour Rémi , tu nous a dit / you told us
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà ce que je peux te dire : Le formatage permettra d'éliminer les fichiers du virus mais si la "porte d'entrée" qui lui a permis de s'installer (dans le cas présent une faille de win) n'est pas refermée il n'aura servi à rien et tu seras réinfectée très rapidement. En plus c'est une procédure bien lourde. C'est comme si pour une panne d'essence le garagiste te proposait de changer de moteur (et pour pousser la similitude avec ton cas ne remettait pas d'essence dans le résevoir ou alors quelques centilitres).
En faite dès le premier instant de la connexion tu peux te faire infecté sans t'en rendre compte si la faille n'a pas été bouchée et qu'il n'y a pas de pare-feu. C'est ce qui est arrivé à un ami à son premier branchement internet sur un nouveau PC.
-- Corinne pour m'écrire/to write me rainbow21 server : netcourrier.com
NewsGroups : Hello/Bonjour Rémi , tu nous a dit / you told us
Pourquoi dites-vous que ce sont des conneries, le fait qu'un
formattage n'efface pas les données ??? Comment explique-t-on
qu'un formattage n'éradique pas un virus, si ce n'est pas à
cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà
ce que je peux te dire : Le formatage permettra d'éliminer les
fichiers du virus mais si la "porte d'entrée" qui lui a permis de
s'installer (dans le cas présent une faille de win) n'est pas
refermée il n'aura servi à rien et tu seras réinfectée très
rapidement. En plus c'est une procédure bien lourde. C'est comme
si pour une panne d'essence le garagiste te proposait de changer
de moteur (et pour pousser la similitude avec ton cas ne
remettait pas d'essence dans le résevoir ou alors quelques
centilitres).
En faite dès le premier instant de la connexion tu peux te faire infecté
sans t'en rendre compte si la faille n'a pas été bouchée et qu'il n'y a pas
de pare-feu.
C'est ce qui est arrivé à un ami à son premier branchement internet sur un
nouveau PC.
--
Corinne
pour m'écrire/to write me
rainbow21 server : netcourrier.com
NewsGroups : Hello/Bonjour Rémi , tu nous a dit / you told us
Pourquoi dites-vous que ce sont des conneries, le fait qu'un formattage n'efface pas les données ??? Comment explique-t-on qu'un formattage n'éradique pas un virus, si ce n'est pas à cause de ça ?
D'autres pourront certainement mieux répondre que moi mais voilà ce que je peux te dire : Le formatage permettra d'éliminer les fichiers du virus mais si la "porte d'entrée" qui lui a permis de s'installer (dans le cas présent une faille de win) n'est pas refermée il n'aura servi à rien et tu seras réinfectée très rapidement. En plus c'est une procédure bien lourde. C'est comme si pour une panne d'essence le garagiste te proposait de changer de moteur (et pour pousser la similitude avec ton cas ne remettait pas d'essence dans le résevoir ou alors quelques centilitres).
En faite dès le premier instant de la connexion tu peux te faire infecté sans t'en rendre compte si la faille n'a pas été bouchée et qu'il n'y a pas de pare-feu. C'est ce qui est arrivé à un ami à son premier branchement internet sur un nouveau PC.
-- Corinne pour m'écrire/to write me rainbow21 server : netcourrier.com
nn
Et voilà..........
Merci 100000000000 fois à TWEAKIE qui m'a aidée à zigouiller manuellement moi-même l'immonde AGOBOT qui détruisait ma vie et qui m'a fait prendre 4 kilos ces 15 derniers jours.
j'ai reformatté mon DD cet am => le virus est arrivé même pas 3 minutes après ma réinstall (je l'ai vu après vérif dans la base des registres, il était dans Run et RunServices) => j'ai détruit ces entrées concernant "scvhos1" (avant, j'ai renommé REGEDIT.exe => RREGEDIT.exe pour que regedit ne soit pas bloqué par AGOBOT) j'ai renommé tout ce qui s'appelait svchos1 => svchos22 j'ai vérifié dans les processus qu'il n'y a aucun SVCHOS1 qui tourne
Ensuite j'ai installé Norton Anti-Virus (finalement, je n'ai pas perdu 90 euros, car NAV va me servir de façon très utile maintenant). Agobot ne pouvait plus empêcher NAV de fonctionner => j'ai pu faire toutes les màj de NAV via Live Update.
Et maintenant, j'ai un bel ordinateur tout neuf !!!!!!!!!!!!!!!!!
MERCI TWEAKIE =>>>>>>>>> Pour la peine, je vais t'envoyer une boite de chocolats.
Ben oui, GRACE A TOI, je n'ai pas eu besoin d'aller chez SURCOUF pour voir un techos faire 3 manips sur la base des registres et me dire ensuite "walllllllaaaaaa ma ptite dame ... ça vous f'ra 59 euros TTC"......... Ca mérite bien une boite de chocolats, et comme il y a une boutique genre Leonidas juste en bas de chez moi, ça me fera moins loin pour y aller :))))))))))))) ===================================== Merci de me donner ton adresse sur ma bàl (ainsi que les recommandations concernant le port 60000 et quelque qui serait ouvert par le ver dont j'ai été victime //un simple copié-collé suffira//, car j'ai perdu tous mes mails, suite à mon dernier reformattage du DD qui a été le bon
OUFFFFFFFF Merci à tous, vraiment, j'ai peiné pendant 15 jours, mais vous êtes quand même super forts, 100000 fois MERCI
Et voilà..........
Merci 100000000000 fois à TWEAKIE qui m'a aidée à zigouiller
manuellement moi-même l'immonde AGOBOT qui détruisait ma vie
et qui m'a fait prendre 4 kilos ces 15 derniers jours.
j'ai reformatté mon DD cet am => le virus est arrivé même pas 3 minutes
après
ma réinstall (je l'ai vu après vérif dans la base des registres, il était
dans Run et
RunServices) => j'ai détruit ces entrées concernant "scvhos1"
(avant, j'ai renommé REGEDIT.exe => RREGEDIT.exe pour que regedit
ne soit pas bloqué par AGOBOT)
j'ai renommé tout ce qui s'appelait svchos1 => svchos22
j'ai vérifié dans les processus qu'il n'y a aucun SVCHOS1 qui tourne
Ensuite j'ai installé Norton Anti-Virus (finalement, je n'ai pas perdu 90
euros,
car NAV va me servir de façon très utile maintenant). Agobot ne pouvait plus
empêcher NAV de fonctionner => j'ai pu faire toutes les màj de NAV via Live
Update.
Et maintenant, j'ai un bel ordinateur tout neuf !!!!!!!!!!!!!!!!!
MERCI TWEAKIE
=>>>>>>>>>
Pour la peine, je vais t'envoyer une boite de chocolats.
Ben oui, GRACE A TOI, je n'ai pas eu besoin d'aller chez SURCOUF pour voir
un techos faire 3 manips sur la base des registres et me dire ensuite
"walllllllaaaaaa ma ptite dame ... ça vous f'ra 59 euros TTC".........
Ca mérite bien une boite de chocolats, et comme il y a une boutique genre
Leonidas juste en bas de chez moi, ça me fera moins loin pour y aller
:)))))))))))))
=====================================
Merci de me donner ton adresse sur ma bàl (ainsi que les recommandations
concernant le port 60000 et quelque qui serait ouvert par le ver dont j'ai
été
victime //un simple copié-collé suffira//, car j'ai perdu tous mes
mails, suite à mon dernier reformattage du DD qui a été le bon
OUFFFFFFFF
Merci à tous, vraiment, j'ai peiné pendant 15 jours, mais vous êtes quand
même
super forts, 100000 fois MERCI
Merci 100000000000 fois à TWEAKIE qui m'a aidée à zigouiller manuellement moi-même l'immonde AGOBOT qui détruisait ma vie et qui m'a fait prendre 4 kilos ces 15 derniers jours.
j'ai reformatté mon DD cet am => le virus est arrivé même pas 3 minutes après ma réinstall (je l'ai vu après vérif dans la base des registres, il était dans Run et RunServices) => j'ai détruit ces entrées concernant "scvhos1" (avant, j'ai renommé REGEDIT.exe => RREGEDIT.exe pour que regedit ne soit pas bloqué par AGOBOT) j'ai renommé tout ce qui s'appelait svchos1 => svchos22 j'ai vérifié dans les processus qu'il n'y a aucun SVCHOS1 qui tourne
Ensuite j'ai installé Norton Anti-Virus (finalement, je n'ai pas perdu 90 euros, car NAV va me servir de façon très utile maintenant). Agobot ne pouvait plus empêcher NAV de fonctionner => j'ai pu faire toutes les màj de NAV via Live Update.
Et maintenant, j'ai un bel ordinateur tout neuf !!!!!!!!!!!!!!!!!
MERCI TWEAKIE =>>>>>>>>> Pour la peine, je vais t'envoyer une boite de chocolats.
Ben oui, GRACE A TOI, je n'ai pas eu besoin d'aller chez SURCOUF pour voir un techos faire 3 manips sur la base des registres et me dire ensuite "walllllllaaaaaa ma ptite dame ... ça vous f'ra 59 euros TTC"......... Ca mérite bien une boite de chocolats, et comme il y a une boutique genre Leonidas juste en bas de chez moi, ça me fera moins loin pour y aller :))))))))))))) ===================================== Merci de me donner ton adresse sur ma bàl (ainsi que les recommandations concernant le port 60000 et quelque qui serait ouvert par le ver dont j'ai été victime //un simple copié-collé suffira//, car j'ai perdu tous mes mails, suite à mon dernier reformattage du DD qui a été le bon
OUFFFFFFFF Merci à tous, vraiment, j'ai peiné pendant 15 jours, mais vous êtes quand même super forts, 100000 fois MERCI
