Virus Net-Worm.Win32.Kido.ih
Résolu/Fermé
spedy34
-
Modifié le 28 déc. 2018 à 11:33
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 janv. 2019 à 18:04
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 janv. 2019 à 18:04
A voir également:
- Virus kido
- Paint net - Télécharger - Dessin & Illustration
- Net framework 4.0 - Télécharger - Divers Utilitaires
- Microsoft .net framework 2.0 - Télécharger - Divers Utilitaires
- Paint net mac ✓ - Forum MacOS
- Onoffapp net ✓ - Forum Consommation & Internet
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
28 déc. 2018 à 14:35
28 déc. 2018 à 14:35
Salut,
Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=
Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.
Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.
~~
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=
Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.
Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.
~~
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
31 déc. 2018 à 10:44
31 déc. 2018 à 10:44
Bonjour à tous,
Pour "conficker" et Kaspersky, voici de la documentation
https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker
https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent
Tout ça, pour connaître et être tenu informé des suites entamées par spedy34
Merci .
Vœux de bonne santé à chacun.
Albert
Pour "conficker" et Kaspersky, voici de la documentation
https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker
https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent
Tout ça, pour connaître et être tenu informé des suites entamées par spedy34
Merci .
Vœux de bonne santé à chacun.
Albert
spedy34
Messages postés
83
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
10 février 2022
3
2 janv. 2019 à 11:45
2 janv. 2019 à 11:45
Bonjour, je vous remercie tous pour vos réponses.
Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.
Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.
Je vous souhaite une bonne année 2019 !
Cordialement,
Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.
Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.
Je vous souhaite une bonne année 2019 !
Cordialement,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
2 janv. 2019 à 11:47
2 janv. 2019 à 11:47
Il suffit qu'un utilisateur ait branché un ordinateur portable infecté sur le réseau, il a pu ensuite attaquer des ordinateurs vulnérables.
A partir de là, il reste en place tant qu'un seul ordinateur est infecté.
Il faut mettre à jour tous les postes.
Du coup, les serveurs ne sont plus touchés ?
A partir de là, il reste en place tant qu'un seul ordinateur est infecté.
Il faut mettre à jour tous les postes.
Du coup, les serveurs ne sont plus touchés ?
spedy34
Messages postés
83
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
10 février 2022
3
2 janv. 2019 à 14:58
2 janv. 2019 à 14:58
Les serveurs ne sont plus touchés et tout le monde est à jour :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
spedy34
Messages postés
83
Date d'inscription
dimanche 23 janvier 2011
Statut
Membre
Dernière intervention
10 février 2022
2 janv. 2019 à 18:04
2 janv. 2019 à 18:04
Super, peut-être qu'il faudrait changer les mots de passe du domaine, par sécurité =)
28 déc. 2018 à 16:08
Je vous joins les liens :
addition : https://pjjoint.malekal.com/files.php?id=20181228_j14l11l7v9p15
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20181228_b11h11g5q6x13
Shortcut : https://pjjoint.malekal.com/files.php?id=20181228_u14r9u12n14h15
28 déc. 2018 à 17:48
Soit il n'est ps actif, soit FRST ne l'affiche pas.
Tu n'as pas répondu pour les mises à jour, toutes les mises à jour sont bien installées ?
29 déc. 2018 à 14:39
Le virus n'est pas actif puisque Kaspersky le bloque constamment.
En fait un fichier malicieux se crée perpétuellement dans : C:\Windows\System32\arkwowe.i
Il y a forcément un processus qui recrée ce fichier ?
29 déc. 2018 à 14:41
Il détecte et supprime un fichier au même endroit mais avec un nom différent : C:\Windows\System32\qjxvrp.qq
Modifié le 29 déc. 2018 à 20:24
Je pense que tu dis avoir un ou plusieurs postes touchées qui tentent d'infecter les serveurs.
Faudrait isoler ces postes t les désinfecter ou les réinstaller.
Tu n'as pas d'autres alertes Kaspersky sur d'autres postes ?
Je pense que le mieux est de contacter Kaspersky.
Vous devez jouir d'un support, ils doivent avoir des outils pour les réseaux touchés par Conficker.