Nettoyage Conficker
Fermé
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
-
29 oct. 2014 à 10:44
mathos33 Messages postés 119 Date d'inscription samedi 13 mars 2010 Statut Membre Dernière intervention 2 décembre 2019 - 5 nov. 2014 à 18:27
mathos33 Messages postés 119 Date d'inscription samedi 13 mars 2010 Statut Membre Dernière intervention 2 décembre 2019 - 5 nov. 2014 à 18:27
A voir également:
- Nettoyage Conficker
- Nettoyage mac - Guide
- Nettoyage pc lent - Guide
- Nettoyage de disque - Guide
- Nettoyage pc gratuit - Guide
- Nettoyage windows update - Guide
9 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 29/10/2014 à 10:48
Modifié par Malekal_morte- le 29/10/2014 à 10:48
Salut,
Tu peux donner un rapport de scan ou capture d'écran des détections ?
Conficker n'est pas un spambot, donc le problème est ailleurs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu peux donner un rapport de scan ou capture d'écran des détections ?
Conficker n'est pas un spambot, donc le problème est ailleurs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
29 oct. 2014 à 11:00
29 oct. 2014 à 11:00
Je n'ai rien d'autre comme rapport.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
29 oct. 2014 à 11:03
29 oct. 2014 à 11:03
ok sur DSBAPPLI1, fais un scan OTL pour vérifier si le PC est vraiment infecté.
~~
Je pense que tu devrais lancer un netstat ou utiliser currports https://forum.malekal.com/viewtopic.php?t=20417&start=
sur chaque machine pour vérifier s'il y a des connexions SMTP intempestives.
Après le top, c'est ça : https://forum.malekal.com/viewtopic.php?t=27238&start=
Le scan OTL à faire sur la machine "infectée" :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
~~
Je pense que tu devrais lancer un netstat ou utiliser currports https://forum.malekal.com/viewtopic.php?t=20417&start=
sur chaque machine pour vérifier s'il y a des connexions SMTP intempestives.
Après le top, c'est ça : https://forum.malekal.com/viewtopic.php?t=27238&start=
Le scan OTL à faire sur la machine "infectée" :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
29 oct. 2014 à 11:34
29 oct. 2014 à 11:34
OK merci de ton aide. Je m'en occupe cet après midi et reviens vers toi.
J'ai lu le lien "top" que tu me donnes, il est indiqué que l'on peut suivre cette procédure de désinfection à cette adresse : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
Est-ce judicieux pour moi de suivre pas à pas ce process ?
Merci encore
J'ai lu le lien "top" que tu me donnes, il est indiqué que l'on peut suivre cette procédure de désinfection à cette adresse : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
Est-ce judicieux pour moi de suivre pas à pas ce process ?
Merci encore
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
29 oct. 2014 à 11:37
29 oct. 2014 à 11:37
Non fais OTL plutôt;
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
29 oct. 2014 à 15:31
29 oct. 2014 à 15:31
Voici le lien : https://pjjoint.malekal.com/files.php?id=OTL_20141029_i5d12c7t14s13
Il s'agit d'une analyse sur le serveur, pas sur les clients.
Il s'agit d'une analyse sur le serveur, pas sur les clients.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
29 oct. 2014 à 15:40
29 oct. 2014 à 15:40
Computer Name: ARTEC-SERVEUR | User Name: Administrateur | Logged in as Administrator.
C'est pas le serveur mis comme infecté ça.
C'est pas le serveur mis comme infecté ça.
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
29 oct. 2014 à 15:44
29 oct. 2014 à 15:44
C'est déjà une bonne nouvelle, pas d'infection sur cette partie du parc. Je fais un scan sur les autres machines et te le fais suivre.
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
5 nov. 2014 à 17:04
5 nov. 2014 à 17:04
Pour info la machine est un vieux coucou en windows 2000, je ne peux pas lancer Adwcleaner pas compatible. Aucun service pack installé, Windows Update inaccessible. Bref compliqué ! Ci-dessous j'ai tout de même réussi à effectuer un scan OTL qui a pris une à deux heures.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
5 nov. 2014 à 16:54
5 nov. 2014 à 16:54
Malekal_morte je n'ai pas pu faire de scan OTL jusqu'aujourd'hui.
Le voici https://pjjoint.malekal.com/files.php?id=20141105_s5i10k13e13z15
Peux-tu toujours m'aider ?
Merci
Le voici https://pjjoint.malekal.com/files.php?id=20141105_s5i10k13e13z15
Peux-tu toujours m'aider ?
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 5/11/2014 à 17:08
Modifié par Malekal_morte- le 5/11/2014 à 17:08
il est bien infecté par Conficker avec ces deux DLL :
[2003/06/19 11:05:04 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\thvqx.dll
[1999/12/14 22:20:10 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\zsxrfkw.dll
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
NetSvcs: ntnhtaw - C:\WINNT\system32\zsxrfkw.dll ()
NetSvcs: xcgra - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ekbzqoomz - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ueovnqdzu - C:\WINNT\system32\thvqx.dll ()
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (xcgra)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ueovnqdzu)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ekbzqoomz)
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
[2003/06/19 11:05:04 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\thvqx.dll
[1999/12/14 22:20:10 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\zsxrfkw.dll
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
NetSvcs: ntnhtaw - C:\WINNT\system32\zsxrfkw.dll ()
NetSvcs: xcgra - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ekbzqoomz - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ueovnqdzu - C:\WINNT\system32\thvqx.dll ()
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (xcgra)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ueovnqdzu)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ekbzqoomz)
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
5 nov. 2014 à 17:45
5 nov. 2014 à 17:45
Merci de la rapidité
Voici le résultat : https://pjjoint.malekal.com/files.php?id=20141105_g15f9q7z10l8
Voici le résultat : https://pjjoint.malekal.com/files.php?id=20141105_g15f9q7z10l8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
5 nov. 2014 à 17:47
5 nov. 2014 à 17:47
Pour savoir s'il est encore actif, faut browser sur cette page : http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
si des logos n'apparaissent pas, c'est qu'il est encore actif.
Y a un antivirus sur ce serveur ?
si des logos n'apparaissent pas, c'est qu'il est encore actif.
Y a un antivirus sur ce serveur ?
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
5 nov. 2014 à 17:58
5 nov. 2014 à 17:58
La page est assez longue à afficher, pour le moment j'ai 3 logos sur 6, ceux du haut. J'ai effectué un scan Conficker detection tool de McAfee, il m'indique que le PC n'est plus infecté. Ce qui est une bonne nouvelle.
Il n'y a pas d'antivirus. Que puis-je mettre avec un windows 2000 pas à jour en gratuit ?!
Il n'y a pas d'antivirus. Que puis-je mettre avec un windows 2000 pas à jour en gratuit ?!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 5/11/2014 à 18:03
Modifié par Malekal_morte- le 5/11/2014 à 18:03
Aucune idée pour l'antivirus mais je doute que les dernières versions supportent encore Windows 2000.
Note que Conficker se propage aussi par clef USB, si y a des clefs USB qui ont été utilisées sur ce serveur, il faudrait les scanner avec un antivirus.
Ce serait bien de faire tourner Currports pour voir les connexions, si y a des connexions SMTP qui persistent.
Note que Conficker se propage aussi par clef USB, si y a des clefs USB qui ont été utilisées sur ce serveur, il faudrait les scanner avec un antivirus.
Ce serait bien de faire tourner Currports pour voir les connexions, si y a des connexions SMTP qui persistent.
mathos33
Messages postés
119
Date d'inscription
samedi 13 mars 2010
Statut
Membre
Dernière intervention
2 décembre 2019
5 nov. 2014 à 18:27
5 nov. 2014 à 18:27
Je tente pour les antivirus mais rien ne marche pour l'instant.
Je vais faire tourner Currports et reviens vers toi.
En tout cas merci de ton aide
Je vais faire tourner Currports et reviens vers toi.
En tout cas merci de ton aide
