Virus Net-Worm.Win32.Kido.ih
Résolu
spedy34
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.
Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage
Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca
Pouvez-vous m'aider svp ?
Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.
Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage
Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca
Pouvez-vous m'aider svp ?
Configuration: Windows / Chrome 71.0.3578.98
3 réponses
-
Salut,
Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=
Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.
Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.
~~
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
-
-
-
-
-
Pareil ce serveur est à jour ?
Je pense que tu dis avoir un ou plusieurs postes touchées qui tentent d'infecter les serveurs.
Faudrait isoler ces postes t les désinfecter ou les réinstaller.
Tu n'as pas d'autres alertes Kaspersky sur d'autres postes ?
Je pense que le mieux est de contacter Kaspersky.
Vous devez jouir d'un support, ils doivent avoir des outils pour les réseaux touchés par Conficker.
-
Bonjour à tous,
Pour "conficker" et Kaspersky, voici de la documentation
https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker
https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent
Tout ça, pour connaître et être tenu informé des suites entamées par spedy34
Merci .
Vœux de bonne santé à chacun.
Albert
-
Bonjour, je vous remercie tous pour vos réponses.
Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.
Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.
Je vous souhaite une bonne année 2019 !
Cordialement,