Nettoyage Conficker
mathos33
Messages postés
125
Statut
Membre
-
mathos33 Messages postés 125 Statut Membre -
mathos33 Messages postés 125 Statut Membre -
Bonjour
Je dispose d'un réseau de 8 postes en réseau au sein d'une société, notre IP publique a été blacklistée. Aujourd'hui impossible de recevoir ni d'envoyer des mails depuis nos clients de messagerie locaux. J'ai effectué un scan avec l'outil de McAfee Conficker detection. Il apparait 3 postes infectés.
Connaissez-vous des outils efficaces pour supprimer ce virus ?
Merci de votre aide
Je dispose d'un réseau de 8 postes en réseau au sein d'une société, notre IP publique a été blacklistée. Aujourd'hui impossible de recevoir ni d'envoyer des mails depuis nos clients de messagerie locaux. J'ai effectué un scan avec l'outil de McAfee Conficker detection. Il apparait 3 postes infectés.
Connaissez-vous des outils efficaces pour supprimer ce virus ?
Merci de votre aide
9 réponses
-
Salut,
Tu peux donner un rapport de scan ou capture d'écran des détections ?
Conficker n'est pas un spambot, donc le problème est ailleurs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left -
-
ok sur DSBAPPLI1, fais un scan OTL pour vérifier si le PC est vraiment infecté.
~~
Je pense que tu devrais lancer un netstat ou utiliser currports https://forum.malekal.com/viewtopic.php?t=20417&start=
sur chaque machine pour vérifier s'il y a des connexions SMTP intempestives.
Après le top, c'est ça : https://forum.malekal.com/viewtopic.php?t=27238&start=
Le scan OTL à faire sur la machine "infectée" :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
-
OK merci de ton aide. Je m'en occupe cet après midi et reviens vers toi.
J'ai lu le lien "top" que tu me donnes, il est indiqué que l'on peut suivre cette procédure de désinfection à cette adresse : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
Est-ce judicieux pour moi de suivre pas à pas ce process ?
Merci encore-
-
Voici le lien : https://pjjoint.malekal.com/files.php?id=OTL_20141029_i5d12c7t14s13
Il s'agit d'une analyse sur le serveur, pas sur les clients. -
-
-
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Malekal_morte je n'ai pas pu faire de scan OTL jusqu'aujourd'hui.
Le voici https://pjjoint.malekal.com/files.php?id=20141105_s5i10k13e13z15
Peux-tu toujours m'aider ?
Merci -
il est bien infecté par Conficker avec ces deux DLL :
[2003/06/19 11:05:04 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\thvqx.dll
[1999/12/14 22:20:10 | 000,159,519 | RHS- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINNT\system32\zsxrfkw.dll
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
NetSvcs: ntnhtaw - C:\WINNT\system32\zsxrfkw.dll ()
NetSvcs: xcgra - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ekbzqoomz - C:\WINNT\system32\thvqx.dll ()
NetSvcs: ueovnqdzu - C:\WINNT\system32\thvqx.dll ()
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (xcgra)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ueovnqdzu)
SRV - [2003/06/19 11:05:04 | 000,159,519 | RHS- | M] () [Auto | Start_Pending] -- C:\WINNT\system32\thvqx.dll -- (ekbzqoomz)
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left -
Merci de la rapidité
Voici le résultat : https://pjjoint.malekal.com/files.php?id=20141105_g15f9q7z10l8 -
Pour savoir s'il est encore actif, faut browser sur cette page : http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
si des logos n'apparaissent pas, c'est qu'il est encore actif.
Y a un antivirus sur ce serveur ?
-
La page est assez longue à afficher, pour le moment j'ai 3 logos sur 6, ceux du haut. J'ai effectué un scan Conficker detection tool de McAfee, il m'indique que le PC n'est plus infecté. Ce qui est une bonne nouvelle.
Il n'y a pas d'antivirus. Que puis-je mettre avec un windows 2000 pas à jour en gratuit ?!-
Aucune idée pour l'antivirus mais je doute que les dernières versions supportent encore Windows 2000.
Note que Conficker se propage aussi par clef USB, si y a des clefs USB qui ont été utilisées sur ce serveur, il faudrait les scanner avec un antivirus.
Ce serait bien de faire tourner Currports pour voir les connexions, si y a des connexions SMTP qui persistent. -
-
