Je poste ici-même, car la question que je pose en fin de description relève
à mon avis des compétences des cracs de ce groupe ;-)
Un ami sous XP familial est depuis quelques jours victime de cet infâme ver.
Et, comme c'est moi qui lui ai installé sa machine, c'est également moi qui
me prend le chou depuis presque une semaine :-/
Avant tout, je tiens à préciser qu'il utilise le même antivirus que moi, et
que bien que ma version ne fût pas à jour depuis près d'un mois, je n'ai pas
été infecté - devrais-je remercier W2k pro ?
J'ai eu beau lancer l'antivirus mainte et mainte fois, rien à faire : au
bout de quelques temps, rebelote :-(
Après recherches, je suis tombé sur un site qui décrit la procédure pour
éradiquer manuellement l'indésirable :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
J'ai donc suivi la procédure, et suis même parvenu à force d'astuce à
supprimer le fameux svchost.exe présent dans \drivers, puis j'ai relancé
l'antivirus, qui, cette fois, est enfin parvenu à supprimer l'infection.
Sauf que, 2 heures plus tard, l'ami me rappelait pour m'informer d'une
nouvelle alerte concernant le même ver!
J'ai donc passé quelques heures à parcourir tous les sites parlant de ce
ver, et suis tombé sur l'un d'eux qui informait que le ver s'auto-détruirait
après le 01/06/2004.
Qu'à celà ne tienne : j'ai éteint la machine, puis ai modifié la date dans
le bios au 04/06/2004 et effectivement, plus de trace de nachi : disparu!
Envolé!
J'ai atendu plus de deux heures, ai repassé l'antivirus, toujours rien.
Enfin!
J'ai donc de nouveau éteint la machine, et ai remis la date à jour, puis ai
lancé l'antivirus une bonne dizaine de fois durant les deux heures
suivantes, et suis reparti tranquille, et content surtout d'avoir pu vaincre
si facilement (ou presque) cet ennemi :-)
Sauf que... deux heures plus tard, sans rien avoir fait que laisser
l'ordinateur allumé, nouvelle alerte de l'antivirus signalant la présence de
Nachi.B!!!
J'ai ré-examiné la BdR, et y ai trouvé d'a&utres occurences du fameux
wkspatch décrit dans la procédure de Trend (cf. lien ci-dessus) : il s'agit
de clefs nommées LEGACY_WKSPATCH, que le système m'empêche de détruire, et
que je soupçonne de permettre à Nachi de «ressusciter».
D'où (enfin) ma question : comment faire pour supprimer ces fameuses clefs ?
Je suppose que, si j'exportais le registre, puis y supprimais les entrées au
moyen d'un éditeur de texte et le réimportais, ça ne marcherait pas,
n'est-ce pas ?
Merci et pardon d'avoir été aussi long,
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe fr.comp.securite.virus, où vous devriez reposter votre message.
-- Cordialement
Jean-Luc
"Eric" <ericb33+ a écrit dans le message de news:
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe fr.comp.securite.virus, où vous devriez reposter votre message.
OK, je tente.
Merci,
J.-Luc -- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
"Eric" <ericb33+spam@alussinan.org> a écrit dans le message de news:
ruohbf3ly5xw.dlg@ericb33spam.alussinan.org...
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe
fr.comp.securite.virus, où vous devriez reposter votre message.
OK, je tente.
Merci,
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe fr.comp.securite.virus, où vous devriez reposter votre message.
OK, je tente.
Merci,
J.-Luc -- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
Th.A.C
As-tu passé les patchs préconisés sur trendmicro? Le virus utilise une faille pour se dupliquer sur Internet. Sans patch, l'anti-virus ne sert pas à grand chose...
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais pas la correspondance dans WXP) et de modifier les droits... Cette clé permet de lancer le virus en tant que service au démarrage de la machine
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T qui décris ce que fais le virus dans le système.
As-tu passé les patchs préconisés sur trendmicro?
Le virus utilise une faille pour se dupliquer sur Internet.
Sans patch, l'anti-virus ne sert pas à grand chose...
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis
d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais pas
la correspondance dans WXP) et de modifier les droits...
Cette clé permet de lancer le virus en tant que service au démarrage de la
machine
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T
qui décris ce que fais le virus dans le système.
As-tu passé les patchs préconisés sur trendmicro? Le virus utilise une faille pour se dupliquer sur Internet. Sans patch, l'anti-virus ne sert pas à grand chose...
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais pas la correspondance dans WXP) et de modifier les droits... Cette clé permet de lancer le virus en tant que service au démarrage de la machine
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T qui décris ce que fais le virus dans le système.
Jean-Luc
"Eric" <ericb33+ a écrit dans le message de news:
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe fr.comp.securite.virus, où vous devriez reposter votre message.
Et en ce qui concerne la suppression des clefs de registre «LEGACY_WKSPATCH», comment dois-je procéder ?
J.-Luc -- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
"Eric" <ericb33+spam@alussinan.org> a écrit dans le message de news:
ruohbf3ly5xw.dlg@ericb33spam.alussinan.org...
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe
fr.comp.securite.virus, où vous devriez reposter votre message.
Et en ce qui concerne la suppression des clefs de registre
«LEGACY_WKSPATCH», comment dois-je procéder ?
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
Le 20 février 2004 à 20:20, Jean-Luc nous disait :
[snip]
> Merci et pardon d'avoir été aussi long,
Je crois que vous trouverez plus de réponses sur le groupe fr.comp.securite.virus, où vous devriez reposter votre message.
Et en ce qui concerne la suppression des clefs de registre «LEGACY_WKSPATCH», comment dois-je procéder ?
J.-Luc -- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
Jean-Luc
"Th.A.C" a écrit dans le message de news: c17j2i$7l8$
Bonsoir,
As-tu passé les patchs préconisés sur trendmicro?
J'ai fait tellement de choses que je ne sais même plus ce que j'ai fait :-( Plus sérieusement : il existe de fortes chances pour que le ver empêche l'application de quoi que ce soit censé l'empêcher de se réinstaller... donc, si comme je le crains il était toujours dans la place lorsque le patch a été installé...
Le virus utilise une faille pour se dupliquer sur Internet. Sans patch, l'anti-virus ne sert pas à grand chose...
Au moins à avertir de la présence de l'intrus ;-) Bon, je viens de passer plus de 5 heures sur la machine en question, et il semblerait que le problème soit temporairement réglé : je retournerai m'occuper de cette histoire de patch ultérieurement.
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais
pas
la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
Cette clé permet de lancer le virus en tant que service au démarrage de la machine
Il y a donc de fortes chances que je reçoive à nouveau un appel m'informant du retour de l'intrus :-(
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci:
Je les ai lus en long, en large et en travers, et d'autres aussi, ce qui fait que j'ai sans doute pu passer à côté de choses importantes - ça arrive souvent lorsqu'on dispose de trop peu de temps pour ce qu'on doit faire :-( Je suis tout de même bien content d'utiliser W2k au lieu d'XP ;-) Et d'utiliser un FalCT60 le reste du temps ;-)
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
"Th.A.C" <aenleverthierry.arbezcarme@free.fr> a écrit dans le message de
news: c17j2i$7l8$1@news-reader1.wanadoo.fr...
Bonsoir,
As-tu passé les patchs préconisés sur trendmicro?
J'ai fait tellement de choses que je ne sais même plus ce que j'ai fait :-(
Plus sérieusement : il existe de fortes chances pour que le ver empêche
l'application de quoi que ce soit censé l'empêcher de se réinstaller...
donc, si comme je le crains il était toujours dans la place lorsque le patch
a été installé...
Le virus utilise une faille pour se dupliquer sur Internet.
Sans patch, l'anti-virus ne sert pas à grand chose...
Au moins à avertir de la présence de l'intrus ;-)
Bon, je viens de passer plus de 5 heures sur la machine en question, et il
semblerait que le problème soit temporairement réglé : je retournerai
m'occuper de cette histoire de patch ultérieurement.
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis
d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais
pas
la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
Cette clé permet de lancer le virus en tant que service au démarrage de la
machine
Il y a donc de fortes chances que je reçoive à nouveau un appel m'informant
du retour de l'intrus :-(
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci:
Je les ai lus en long, en large et en travers, et d'autres aussi, ce qui
fait que j'ai sans doute pu passer à côté de choses importantes - ça arrive
souvent lorsqu'on dispose de trop peu de temps pour ce qu'on doit faire :-(
Je suis tout de même bien content d'utiliser W2k au lieu d'XP ;-)
Et d'utiliser un FalCT60 le reste du temps ;-)
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
"Th.A.C" a écrit dans le message de news: c17j2i$7l8$
Bonsoir,
As-tu passé les patchs préconisés sur trendmicro?
J'ai fait tellement de choses que je ne sais même plus ce que j'ai fait :-( Plus sérieusement : il existe de fortes chances pour que le ver empêche l'application de quoi que ce soit censé l'empêcher de se réinstaller... donc, si comme je le crains il était toujours dans la place lorsque le patch a été installé...
Le virus utilise une faille pour se dupliquer sur Internet. Sans patch, l'anti-virus ne sert pas à grand chose...
Au moins à avertir de la présence de l'intrus ;-) Bon, je viens de passer plus de 5 heures sur la machine en question, et il semblerait que le problème soit temporairement réglé : je retournerai m'occuper de cette histoire de patch ultérieurement.
Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais
pas
la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
Cette clé permet de lancer le virus en tant que service au démarrage de la machine
Il y a donc de fortes chances que je reçoive à nouveau un appel m'informant du retour de l'intrus :-(
Si tu lis l'anglais, relis bien le lien que tu as donné et aussi celui-ci:
Je les ai lus en long, en large et en travers, et d'autres aussi, ce qui fait que j'ai sans doute pu passer à côté de choses importantes - ça arrive souvent lorsqu'on dispose de trop peu de temps pour ce qu'on doit faire :-( Je suis tout de même bien content d'utiliser W2k au lieu d'XP ;-) Et d'utiliser un FalCT60 le reste du temps ;-)
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
Th.A.C
"Jean-Luc" a écrit dans le message de news:c18e38$3ij$
"Th.A.C" a écrit dans le message de news: c17j2i$7l8$
> Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis > d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais pas la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
il faut utiliser regedt32 (sous w2k en tout cas)
Il y a donc de fortes chances que je reçoive à nouveau un appel
m'informant
du retour de l'intrus :-(
je ne te le souhaite pas
... Et d'utiliser un FalCT60 le reste du temps ;-)
:-) c'est ce qu'il y a de mieux. pas de virus ni de base de registre...
P.S: je vois ton adresse mail en clair dans les en-têtes...
"Jean-Luc" <Jean-Luc.Ceccoli@wanadoo.fr> a écrit dans le message de
news:c18e38$3ij$1@news-reader3.wanadoo.fr...
"Th.A.C" <aenleverthierry.arbezcarme@free.fr> a écrit dans le message de
news: c17j2i$7l8$1@news-reader1.wanadoo.fr...
> Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis
> d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais
pas la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
il faut utiliser regedt32 (sous w2k en tout cas)
Il y a donc de fortes chances que je reçoive à nouveau un appel
m'informant
du retour de l'intrus :-(
je ne te le souhaite pas
...
Et d'utiliser un FalCT60 le reste du temps ;-)
:-) c'est ce qu'il y a de mieux.
pas de virus ni de base de registre...
P.S: je vois ton adresse mail en clair dans les en-têtes...
"Jean-Luc" a écrit dans le message de news:c18e38$3ij$
"Th.A.C" a écrit dans le message de news: c17j2i$7l8$
> Pour la clé à 'déverrouiller', il suffit de sélectionner la clé, puis > d'aller dans le menu 'sécurité', 'autorisations (dans W2K, je ne connais pas la correspondance dans WXP) et de modifier les droits...
Heu... depuis quel utilitaire ? je n'ai rien de tel depuis Regedit :-/
il faut utiliser regedt32 (sous w2k en tout cas)
Il y a donc de fortes chances que je reçoive à nouveau un appel
m'informant
du retour de l'intrus :-(
je ne te le souhaite pas
... Et d'utiliser un FalCT60 le reste du temps ;-)
:-) c'est ce qu'il y a de mieux. pas de virus ni de base de registre...
P.S: je vois ton adresse mail en clair dans les en-têtes...
Jean-Luc
> il faut utiliser regedt32 (sous w2k en tout cas)
Effectivement : je ne l'utilise jamais - question de goût - mais je crois que je vais faire une exception ;-)
P.S: je vois ton adresse mail en clair dans les en-têtes...
Grmbl! vivement que je puisse à nouveau utiliser mon FalCT60 pour les groupes!
Merci,
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
> il faut utiliser regedt32 (sous w2k en tout cas)
Effectivement : je ne l'utilise jamais - question de goût - mais je crois
que je vais faire une exception ;-)
P.S: je vois ton adresse mail en clair dans les en-têtes...
Grmbl! vivement que je puisse à nouveau utiliser mon FalCT60 pour les
groupes!
Merci,
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
> il faut utiliser regedt32 (sous w2k en tout cas)
Effectivement : je ne l'utilise jamais - question de goût - mais je crois que je vais faire une exception ;-)
P.S: je vois ton adresse mail en clair dans les en-têtes...
Grmbl! vivement que je puisse à nouveau utiliser mon FalCT60 pour les groupes!
Merci,
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
Jean-Luc
Bonsoir,
P.S: je vois ton adresse mail en clair dans les en-têtes...
Çà y est : j'émets de nouveau en NG avec mon FalCT60! :-) Adieu adresse réelle visible, vive l'adresse anti-spam! ;-)
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
Bonsoir,
P.S: je vois ton adresse mail en clair dans les en-têtes...
Çà y est : j'émets de nouveau en NG avec mon FalCT60! :-)
Adieu adresse réelle visible, vive l'adresse anti-spam! ;-)
J.-Luc
--
«From» est une adresses anti-spam. Pour me répondre, lire mon
adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read
my adress zigzaging in the box below (non-prop font, please).
+----------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+----------------------------+
P.S: je vois ton adresse mail en clair dans les en-têtes...
Çà y est : j'émets de nouveau en NG avec mon FalCT60! :-) Adieu adresse réelle visible, vive l'adresse anti-spam! ;-)
J.-Luc
-- «From» est une adresses anti-spam. Pour me répondre, lire mon adresse en zigzagant dans la boîte ci-dessous (fonte fixe, svp). -=oOo=- "From" is an anti-spam adress. If you wish to contact me, read my adress zigzaging in the box below (non-prop font, please).
+----------------------------+ |J - . c @ a . | | e n L c C c o i w n d o f | | a u e l a o r| +----------------------------+
