Virus 3j2h0tf.bat sur serveur intranet ...
Résolu
reMix
-
Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à toutes et à tous, merci d'avance à ceux qui me liront et essaieront de m'aider.
J'admin un serveur web sur un intranet (Windows server2003). Je viens de remarquer qu'il est infecté par un virus que je n'arrive pas à supprimer.
Un certain 3j2h0tf.bat et son autorun.inf correspondant qui infecte tout ce qu'on connecte (donc dans mon cas les clées USB qui me servent a ajouter du contenu) et se propage facilement sur les autres postes.
Sur ce serveur est installé Kaspersky pour serveurs mais avec une base de signatures qui date du mois de mai. Le soucis étant que la mise à jour manuelle ne marche plus, et que ce serveur n'est pas connecté à internet, je n'ai donc pas d'antivirus à jour.
Antivir personnal édition détecte ce virus, et le supprime, mais se met à jour uniquement par internet (ou sinon je ne sais pas le faire manuellement).
De plus, sur ce serveur l'affichage des fichiers cachés est impossible, j'ai bien l'option, mais après validation elle repasse automatiquement sur ne pas afficher les fichiers et dossiers cachés.
J'ai bien essayé de mettre à jour le registre avec le code ci dessous, mais que ce soit avant ou après redémarrage, ça ne fonctionne pas mieux.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
Auriez vous une idée pour m'aider ? :x
J'admin un serveur web sur un intranet (Windows server2003). Je viens de remarquer qu'il est infecté par un virus que je n'arrive pas à supprimer.
Un certain 3j2h0tf.bat et son autorun.inf correspondant qui infecte tout ce qu'on connecte (donc dans mon cas les clées USB qui me servent a ajouter du contenu) et se propage facilement sur les autres postes.
Sur ce serveur est installé Kaspersky pour serveurs mais avec une base de signatures qui date du mois de mai. Le soucis étant que la mise à jour manuelle ne marche plus, et que ce serveur n'est pas connecté à internet, je n'ai donc pas d'antivirus à jour.
Antivir personnal édition détecte ce virus, et le supprime, mais se met à jour uniquement par internet (ou sinon je ne sais pas le faire manuellement).
De plus, sur ce serveur l'affichage des fichiers cachés est impossible, j'ai bien l'option, mais après validation elle repasse automatiquement sur ne pas afficher les fichiers et dossiers cachés.
J'ai bien essayé de mettre à jour le registre avec le code ci dessous, mais que ce soit avant ou après redémarrage, ça ne fonctionne pas mieux.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
Auriez vous une idée pour m'aider ? :x
A voir également:
- Virus 3j2h0tf.bat sur serveur intranet ...
- Changer serveur dns - Guide
- Virus mcafee - Accueil - Piratage
- Serveur dns gratuit - Guide
- Serveur entrant et sortant - Guide
- Faux message virus iphone ✓ - Forum Virus
26 réponses
Raté mon C/C ><
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cdoosoft deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 21129590 bytes
->Temporary Internet Files folder emptied: 1914306 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 21,98 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10222009_152254
Files moved on Reboot...
Registry entries deleted on Reboot...
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cdoosoft deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 21129590 bytes
->Temporary Internet Files folder emptied: 1914306 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 21,98 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10222009_152254
Files moved on Reboot...
Registry entries deleted on Reboot...
Non ca marche nikel =)
Je suis assez impressionné par votre réactivité et votre précision.
Merci beaucoup !
... et bonne journée :P
Je suis assez impressionné par votre réactivité et votre précision.
Merci beaucoup !
... et bonne journée :P
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
