Virus 3j2h0tf.bat sur serveur intranet ...

Résolu/Fermé
reMix - 22 oct. 2009 à 11:23
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 22 oct. 2009 à 16:25
Bonjour à toutes et à tous, merci d'avance à ceux qui me liront et essaieront de m'aider.

J'admin un serveur web sur un intranet (Windows server2003). Je viens de remarquer qu'il est infecté par un virus que je n'arrive pas à supprimer.

Un certain 3j2h0tf.bat et son autorun.inf correspondant qui infecte tout ce qu'on connecte (donc dans mon cas les clées USB qui me servent a ajouter du contenu) et se propage facilement sur les autres postes.

Sur ce serveur est installé Kaspersky pour serveurs mais avec une base de signatures qui date du mois de mai. Le soucis étant que la mise à jour manuelle ne marche plus, et que ce serveur n'est pas connecté à internet, je n'ai donc pas d'antivirus à jour.
Antivir personnal édition détecte ce virus, et le supprime, mais se met à jour uniquement par internet (ou sinon je ne sais pas le faire manuellement).

De plus, sur ce serveur l'affichage des fichiers cachés est impossible, j'ai bien l'option, mais après validation elle repasse automatiquement sur ne pas afficher les fichiers et dossiers cachés.
J'ai bien essayé de mettre à jour le registre avec le code ci dessous, mais que ce soit avant ou après redémarrage, ça ne fonctionne pas mieux.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"



Auriez vous une idée pour m'aider ? :x

26 réponses

Utilisateur anonyme
22 oct. 2009 à 15:33
??
0
Raté mon C/C ><

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cdoosoft deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 21129590 bytes
->Temporary Internet Files folder emptied: 1914306 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 21,98 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10222009_152254

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Utilisateur anonyme
22 oct. 2009 à 15:38
:)

toujours des soucis ?
0
Non ca marche nikel =)

Je suis assez impressionné par votre réactivité et votre précision.
Merci beaucoup !

... et bonne journée :P
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
22 oct. 2009 à 15:43
DR , bonne journée également
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 725
22 oct. 2009 à 16:25
Merci à Chiquitine pour son intervention

Bonne journée à vous deux.
0