Nettoyage Conficker
mathos33
Messages postés
119
Date d'inscription
Statut
Membre
Dernière intervention
-
mathos33 Messages postés 119 Date d'inscription Statut Membre Dernière intervention -
mathos33 Messages postés 119 Date d'inscription Statut Membre Dernière intervention -
Bonjour
Je dispose d'un réseau de 8 postes en réseau au sein d'une société, notre IP publique a été blacklistée. Aujourd'hui impossible de recevoir ni d'envoyer des mails depuis nos clients de messagerie locaux. J'ai effectué un scan avec l'outil de McAfee Conficker detection. Il apparait 3 postes infectés.
Connaissez-vous des outils efficaces pour supprimer ce virus ?
Merci de votre aide
Je dispose d'un réseau de 8 postes en réseau au sein d'une société, notre IP publique a été blacklistée. Aujourd'hui impossible de recevoir ni d'envoyer des mails depuis nos clients de messagerie locaux. J'ai effectué un scan avec l'outil de McAfee Conficker detection. Il apparait 3 postes infectés.
Connaissez-vous des outils efficaces pour supprimer ce virus ?
Merci de votre aide
A voir également:
- Nettoyage Conficker
- Nettoyage pc lent - Guide
- Nettoyage mac - Guide
- Nettoyage de disque - Guide
- Nettoyage - Guide
- Nettoyage pc gratuit - Guide
9 réponses
Salut,
Tu peux donner un rapport de scan ou capture d'écran des détections ?
Conficker n'est pas un spambot, donc le problème est ailleurs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu peux donner un rapport de scan ou capture d'écran des détections ?
Conficker n'est pas un spambot, donc le problème est ailleurs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ok sur DSBAPPLI1, fais un scan OTL pour vérifier si le PC est vraiment infecté.
~~
Je pense que tu devrais lancer un netstat ou utiliser currports https://forum.malekal.com/viewtopic.php?t=20417&start=
sur chaque machine pour vérifier s'il y a des connexions SMTP intempestives.
Après le top, c'est ça : https://forum.malekal.com/viewtopic.php?t=27238&start=
Le scan OTL à faire sur la machine "infectée" :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
~~
Je pense que tu devrais lancer un netstat ou utiliser currports https://forum.malekal.com/viewtopic.php?t=20417&start=
sur chaque machine pour vérifier s'il y a des connexions SMTP intempestives.
Après le top, c'est ça : https://forum.malekal.com/viewtopic.php?t=27238&start=
Le scan OTL à faire sur la machine "infectée" :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
OK merci de ton aide. Je m'en occupe cet après midi et reviens vers toi.
J'ai lu le lien "top" que tu me donnes, il est indiqué que l'on peut suivre cette procédure de désinfection à cette adresse : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
Est-ce judicieux pour moi de suivre pas à pas ce process ?
Merci encore
J'ai lu le lien "top" que tu me donnes, il est indiqué que l'on peut suivre cette procédure de désinfection à cette adresse : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
Est-ce judicieux pour moi de suivre pas à pas ce process ?
Merci encore
Voici le lien : https://pjjoint.malekal.com/files.php?id=OTL_20141029_i5d12c7t14s13
Il s'agit d'une analyse sur le serveur, pas sur les clients.
Il s'agit d'une analyse sur le serveur, pas sur les clients.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte je n'ai pas pu faire de scan OTL jusqu'aujourd'hui.
Le voici https://pjjoint.malekal.com/files.php?id=20141105_s5i10k13e13z15
Peux-tu toujours m'aider ?
Merci
Le voici https://pjjoint.malekal.com/files.php?id=20141105_s5i10k13e13z15
Peux-tu toujours m'aider ?
Merci
il est bien infecté par Conficker avec ces deux DLL :
[2003/06/19 11:05:04 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\thvqx.dll
[1999/12/14 22:20:10 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\zsxrfkw.dll
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
NetSvcs: ntnhtaw - C:\WINNT\system32\zsxrfkw.dll ()
NetSvcs: xcgra - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ekbzqoomz - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ueovnqdzu - C:\WINNT\system32\thvqx.dll ()
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (xcgra)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ueovnqdzu)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ekbzqoomz)
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
[2003/06/19 11:05:04 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\thvqx.dll
[1999/12/14 22:20:10 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\zsxrfkw.dll
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
NetSvcs: ntnhtaw - C:\WINNT\system32\zsxrfkw.dll ()
NetSvcs: xcgra - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ekbzqoomz - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ueovnqdzu - C:\WINNT\system32\thvqx.dll ()
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (xcgra)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ueovnqdzu)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ekbzqoomz)
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci de la rapidité
Voici le résultat : https://pjjoint.malekal.com/files.php?id=20141105_g15f9q7z10l8
Voici le résultat : https://pjjoint.malekal.com/files.php?id=20141105_g15f9q7z10l8
Pour savoir s'il est encore actif, faut browser sur cette page : http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
si des logos n'apparaissent pas, c'est qu'il est encore actif.
Y a un antivirus sur ce serveur ?
si des logos n'apparaissent pas, c'est qu'il est encore actif.
Y a un antivirus sur ce serveur ?
La page est assez longue à afficher, pour le moment j'ai 3 logos sur 6, ceux du haut. J'ai effectué un scan Conficker detection tool de McAfee, il m'indique que le PC n'est plus infecté. Ce qui est une bonne nouvelle.
Il n'y a pas d'antivirus. Que puis-je mettre avec un windows 2000 pas à jour en gratuit ?!
Il n'y a pas d'antivirus. Que puis-je mettre avec un windows 2000 pas à jour en gratuit ?!
Aucune idée pour l'antivirus mais je doute que les dernières versions supportent encore Windows 2000.
Note que Conficker se propage aussi par clef USB, si y a des clefs USB qui ont été utilisées sur ce serveur, il faudrait les scanner avec un antivirus.
Ce serait bien de faire tourner Currports pour voir les connexions, si y a des connexions SMTP qui persistent.
Note que Conficker se propage aussi par clef USB, si y a des clefs USB qui ont été utilisées sur ce serveur, il faudrait les scanner avec un antivirus.
Ce serait bien de faire tourner Currports pour voir les connexions, si y a des connexions SMTP qui persistent.
