Virus Net-Worm.Win32.Kido.ih
Résolu
spedy34
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.
Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage
Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca
Pouvez-vous m'aider svp ?
Je suis sur un serveur Windows 2016, il est protégé par un Kaspersky en version 11.0.0.6499
Kaspersky me détecte un virus Net-Worm.Win32.Kido.ih impossible de le supprimer.
Voici ce que j'ai fais :
- Analyse Kaspersky
- Analyse Malwarebytes
- Analyse Kidokiller via l'outil de Kaspersky http://support.kaspersky.com/downloads/utils/kk.zip
- Vérification des processus et des logiciels au démarrage
Module : Protection contre les fichiers malicieux
Résultat : Détecté : Net-Worm.Win32.Kido.ih
Objet : C:\Windows\System32\arkwowe.i
Raison : Analyse des experts
Date de publication des bases : 27/12/2018 20:58:00
Hash : a8aaf7a150eb1778f21cb9f41ac0ed55914bb134221e3f0b0342e3ecdb2d58ca
Pouvez-vous m'aider svp ?
Configuration: Windows / Chrome 71.0.3578.98
A voir également:
- Virus kido
- Net framework 2.0 - Télécharger - Divers Utilitaires
- Paint net - Télécharger - Dessin & Illustration
- Logo .net - Télécharger - Études & Formations
- Net framework 4.0 - Télécharger - Divers Utilitaires
- Onoffapp net - Forum Vos droits sur internet
3 réponses
Salut,
Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=
Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.
Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.
~~
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Kido = Conficker.
Voir la fiche : https://forum.malekal.com/viewtopic.php?t=18758&start=
Ca va par disques amovibles ou des services réseaux vulnérables.
Certains variantes sont aussi capables de récupérer le mot de passe administrateur du domaine.
Avant de désinfecter.
Toutes les mises à jour de Windows ont été installées ?
Car il suffit qu'un poste sur le réseau soit infecté pour réinfecter les ordinateurs vulnérables (non à jour).
Donc ça va revenir et revenir.
~~
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Bonjour à tous,
Pour "conficker" et Kaspersky, voici de la documentation
https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker
https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent
Tout ça, pour connaître et être tenu informé des suites entamées par spedy34
Merci .
Vœux de bonne santé à chacun.
Albert
Pour "conficker" et Kaspersky, voici de la documentation
https://www.kaspersky.fr/about/press-releases/2009_kaspersky-lab-analyse-la-nouvelle-variante-du-programme-malicieux-kido--conficker
https://www.kaspersky.fr/small-to-medium-business-security/virtualization-light-agent
Tout ça, pour connaître et être tenu informé des suites entamées par spedy34
Merci .
Vœux de bonne santé à chacun.
Albert
Bonjour, je vous remercie tous pour vos réponses.
Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.
Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.
Je vous souhaite une bonne année 2019 !
Cordialement,
Nous avons lancé une tâche depuis la console Kaspersky afin d'exécuter le programme Kido Killer sur chacun des postes. Après une longue analyse, le virus a été éradiqué sur les serveurs et sur les postes.
Par contre, étant donné que la tâche s'est effectuée à distance avec le Kido Killer en arrière plan pour ne pas déranger les utilisateurs, il nous est impossible de savoir d'où a débuté l'attaque.
Je vous souhaite une bonne année 2019 !
Cordialement,
Je vous joins les liens :
addition : https://pjjoint.malekal.com/files.php?id=20181228_j14l11l7v9p15
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20181228_b11h11g5q6x13
Shortcut : https://pjjoint.malekal.com/files.php?id=20181228_u14r9u12n14h15
Soit il n'est ps actif, soit FRST ne l'affiche pas.
Tu n'as pas répondu pour les mises à jour, toutes les mises à jour sont bien installées ?
Le virus n'est pas actif puisque Kaspersky le bloque constamment.
En fait un fichier malicieux se crée perpétuellement dans : C:\Windows\System32\arkwowe.i
Il y a forcément un processus qui recrée ce fichier ?
Il détecte et supprime un fichier au même endroit mais avec un nom différent : C:\Windows\System32\qjxvrp.qq
Je pense que tu dis avoir un ou plusieurs postes touchées qui tentent d'infecter les serveurs.
Faudrait isoler ces postes t les désinfecter ou les réinstaller.
Tu n'as pas d'autres alertes Kaspersky sur d'autres postes ?
Je pense que le mieux est de contacter Kaspersky.
Vous devez jouir d'un support, ils doivent avoir des outils pour les réseaux touchés par Conficker.