Virus de 9 lettres à la racine des lecteurs
teddyteddy72
-
Erwan031284 Messages postés 15764 Statut Membre -
Erwan031284 Messages postés 15764 Statut Membre -
Bonjour,
Nous avons un virus qui se balade dans mon entreprise :
- Ce virus génère un .exe de 9 lettres et s'auto-régénère sur les disques locaux où il se situe.
-> Exemples :
- rudwlfgmf.exe -> processus cmxdheqaz.exe
- jkcuubcnl.exe
- ect ...
rudwlfgmf
- Le soucis est que nous avons des connexions de partage communes à tous. Lorsque qu'une machine se connecte à la connexion de partage (en lecteur réseau = disque local), elle distribue le virus au lecteur réseau et à toutes les machines connectées à ce lecteur réseau.
- Nous arrivons à éradiquer le virus en traitant les connexions de partages et la plupart des machines tant qu'une machine ayant le virus ne se connecte pas ! Car il est quasi impossible de traiter toutes les machines. Et donc le virus se régénère et réinfecte beaucoup de machines, et rebelote ...
Si quelqu'un a une idée ?
Nous avons un virus qui se balade dans mon entreprise :
- Ce virus génère un .exe de 9 lettres et s'auto-régénère sur les disques locaux où il se situe.
-> Exemples :
- rudwlfgmf.exe -> processus cmxdheqaz.exe
- jkcuubcnl.exe
- ect ...
rudwlfgmf
- Le soucis est que nous avons des connexions de partage communes à tous. Lorsque qu'une machine se connecte à la connexion de partage (en lecteur réseau = disque local), elle distribue le virus au lecteur réseau et à toutes les machines connectées à ce lecteur réseau.
- Nous arrivons à éradiquer le virus en traitant les connexions de partages et la plupart des machines tant qu'une machine ayant le virus ne se connecte pas ! Car il est quasi impossible de traiter toutes les machines. Et donc le virus se régénère et réinfecte beaucoup de machines, et rebelote ...
Si quelqu'un a une idée ?
A voir également:
- Virus de 9 lettres à la racine des lecteurs
- Virus mcafee - Accueil - Piratage
- Le fichier contient un tableau affichant la taille des populations des 419 communes de l’ain. triez le tableau pour que les villes les plus peuplées soient en haut. quel mot est formé par les 9 premières lettres de la colonne indice ? ✓ - Forum C
- Mon clavier n'écrit plus les lettres ✓ - Forum Clavier
- Dans le document à télécharger, trouvez les lettres situées derrière les rectangles pour reconstituer le nom du chat. comment s'appelle-t-il ? - Forum InDesign
- Le fichier contient une liste de prénoms. triez ce tableau par ordre alphabétique des prénoms. quel mot est formé par les 6 premières lettres de la colonne code ? ✓ - Forum Bureautique
9 réponses
j'ai une idée, avant l' attaque du virus vous devez desactiver le system restore sur tous les poste de votre reseau( clique droite sur le poste de travail ==> propriétés ==>Restauration du système ==>selectionner désactiver la Restauration du système sur tous les lecteurs)
- debrancher le cable reseau durant le scan
- faites l mise a jour de votre anti-virus
- lorsque vous terminez, activer le system restore ( important (quelque programmes))
- ce né pa un virus c'est une worm puisqu'il infecte le LAN
- debrancher le cable reseau durant le scan
- faites l mise a jour de votre anti-virus
- lorsque vous terminez, activer le system restore ( important (quelque programmes))
- ce né pa un virus c'est une worm puisqu'il infecte le LAN
Nous utilisons OfficeScan Client/Server Edition 8.0 qui est totalement inefficace face à ce virus, toutes nos machines en sont équipées.
J'applique une astuce temporaire de bloquer la "création de fichiers/écriture de données" à tous nos partages réseaux. Le virus ne peut plus s'installer et infecter les machines s'y connectant.
J'applique une astuce temporaire de bloquer la "création de fichiers/écriture de données" à tous nos partages réseaux. Le virus ne peut plus s'installer et infecter les machines s'y connectant.
Pour supprimer ce virus en local d'un PC, je le fais manuellement :
Etape 1 : Rendre visible les fichiers cachés (Dans l'explorateur de fichiers : Outils>Options des dossiers>Affichage>Cocher "Afficher les fichiers et dossiers cachés")
Etape 2 : Modifier la sécurité à la racine du C: (Clic droit>propriétés>sécurité>paramètres avancés) et bloquer la création de fichier pour les Administrateurs, créateur propriétaire et system.
Etape 3 : Supprimer le fichier de 9 lettres.exe (exemple : C:\rudwlfgmf.exe)
Etape 4 : Récupérer le nom du processus du virus dans le gestionnaire des tâches (Clic droit sur la barre du menu démarrer>Gestionnaire des tâches>Processus) (exemple : cmxdheqaz.exe). Ne pas fermer le gestionnaire des tâches.
Etape 5 : Modifier la sécurité dans C:\WINDOWS\System32 (Clic droit>propriétés>sécurité>paramètres avancés) et bloquer la création de fichier pour les Administrateurs, créateur propriétaire et system.
Etape 6 : Supprimer le fichier de 9 lettres.exe (exemple : C:\WINDOWS\System32\cmxdheqaz.exe)
Etape 7 : Arrêter le processus (Dans le Gestionnaire des tâches>Processus, sélection le processus puis Terminer le processus) (exemple : cmxdheqaz.exe)
Etape 8 : Dans le regedit (Démarrer\Exécuter taper regedit), rechercher toutes les clés "cmxdheqaz" et les supprimer, ainsi que les dossiers "MDM Rock 4" (Edition>Rechercher puis F3 pour passer au suivant)
Etape 9 : Remettre la sécurité dans C:\WINDOWS\System32 (Clic droit>propriétés>sécurité>paramètres avancés) et Contrôle total pour les Administrateurs, créateur propriétaire et system.
Etape 10 : Remettre la sécurité dans C:\ (Clic droit>propriétés>sécurité>paramètres avancés) et Contrôle total pour les Administrateurs, créateur propriétaire et system.
Etape 11 (si besoin) : Rendre invisible les fichiers cachés (Dans l'explorateur de fichiers : Outils>Options des dossiers>Affichage>Cocher "Ne pas afficher les fichiers et dossiers cachés")
Etape 1 : Rendre visible les fichiers cachés (Dans l'explorateur de fichiers : Outils>Options des dossiers>Affichage>Cocher "Afficher les fichiers et dossiers cachés")
Etape 2 : Modifier la sécurité à la racine du C: (Clic droit>propriétés>sécurité>paramètres avancés) et bloquer la création de fichier pour les Administrateurs, créateur propriétaire et system.
Etape 3 : Supprimer le fichier de 9 lettres.exe (exemple : C:\rudwlfgmf.exe)
Etape 4 : Récupérer le nom du processus du virus dans le gestionnaire des tâches (Clic droit sur la barre du menu démarrer>Gestionnaire des tâches>Processus) (exemple : cmxdheqaz.exe). Ne pas fermer le gestionnaire des tâches.
Etape 5 : Modifier la sécurité dans C:\WINDOWS\System32 (Clic droit>propriétés>sécurité>paramètres avancés) et bloquer la création de fichier pour les Administrateurs, créateur propriétaire et system.
Etape 6 : Supprimer le fichier de 9 lettres.exe (exemple : C:\WINDOWS\System32\cmxdheqaz.exe)
Etape 7 : Arrêter le processus (Dans le Gestionnaire des tâches>Processus, sélection le processus puis Terminer le processus) (exemple : cmxdheqaz.exe)
Etape 8 : Dans le regedit (Démarrer\Exécuter taper regedit), rechercher toutes les clés "cmxdheqaz" et les supprimer, ainsi que les dossiers "MDM Rock 4" (Edition>Rechercher puis F3 pour passer au suivant)
Etape 9 : Remettre la sécurité dans C:\WINDOWS\System32 (Clic droit>propriétés>sécurité>paramètres avancés) et Contrôle total pour les Administrateurs, créateur propriétaire et system.
Etape 10 : Remettre la sécurité dans C:\ (Clic droit>propriétés>sécurité>paramètres avancés) et Contrôle total pour les Administrateurs, créateur propriétaire et system.
Etape 11 (si besoin) : Rendre invisible les fichiers cachés (Dans l'explorateur de fichiers : Outils>Options des dossiers>Affichage>Cocher "Ne pas afficher les fichiers et dossiers cachés")
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il n'y a aucun souci à procéder de cette manière, c'est exactement ce que ferait un antivirus dans mon cas, c'est-à-dire rechercher toutes les dépendances au virus : fichiers cachés et base de registre.
En tout cas, en local, le virus est éradiqué en totalité, et le PC fonctionne très bien xD.
En tout cas, en local, le virus est éradiqué en totalité, et le PC fonctionne très bien xD.
Scan total grâce à antivirus gérant le scan réseau...
Cher mais efficace : installer l'antivirus et le mettre à jour sur TOUS les postes! Puis scan minutieux, en isolant les poste infectés, puis remettant sur le réseau les postes sains, avec l'antivirus ultra-protecteur sur les acces réseaux... (renseigne-toi sur les méthodes des unités spéciales anti propagation des virus de l'OMS, l'homme et l'ordi sont différents, mais les méthodes sont les mêmes!)
Cher mais efficace : installer l'antivirus et le mettre à jour sur TOUS les postes! Puis scan minutieux, en isolant les poste infectés, puis remettant sur le réseau les postes sains, avec l'antivirus ultra-protecteur sur les acces réseaux... (renseigne-toi sur les méthodes des unités spéciales anti propagation des virus de l'OMS, l'homme et l'ordi sont différents, mais les méthodes sont les mêmes!)
... Il est temps de se renseigner sur les antivirus efficaces à l'heure actuelle pour les réseaux...
Ne peux plus t'aider sur ce terrain, car mes solutions s'appliquent à des postes plutôt isolés... mais pas extension...
Bonne chance!
Vu sur un autre forum :
===============================
Bonsoir
1. Télécharge et installe
CCleaner Slim
https://www.ccleaner.com/ccleaner/download
Pendant l'installation, décoche la case "Ajouter l'option ... " Contrôler les mises à jour "
Clique sur Options -> Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Ne touche pas aux autres réglages.
Il n'y a pas de rapport à poster pour cet outil.
Malwarebytes' Anti-Malware avec Windows Vista, XP et 2000
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le comme sur ce tuto en images :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Ne lance pas le scan maintenant. Ferme le programme.
Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau.
Si le lien ne fonctionne pas, essaie ceux-ci :
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou http://sdfix.net/SDFix.exe
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur.
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le script.
Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F5 ou F8 au redémarrage pour accéder aux options de démarrage.
Sinon, appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
2. Redémarre en mode sans échec
Redémarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuie sur la touche F8 (ou F5) jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne "Mode sans échec" et appuie sur [Entrée].
Vu que l'on ne sait pas encore par quelle(s) "bestiole(s)" tu es infecté, il ne faut absolument pas forcer le "Mode sans échec" en passant par "MSconfig".
Risque de redémarrage en boucles du PC.
Si la méthode citée plus haut ne fonctionne pas, poursuivre le nettoyage en mode normal.
3. Utilisation de CCleaner
Lance CCleaner
Clique sur le bouton "Analyse"; une fois le scan terminé, clique sur "Lancer le nettoyage"
Sois patient ! Le scan peut durer la 1ère fois.
Lance Malwarebytes' Anti-Malware
Clique sur le bouton "Recherche" (de la barre d'outils)
Cocher le bouton "Exécuter un examen complet" et clique sur "Rechercher"
A la fin du scan, choisis l'option " Supprimer la sélection " en bas, à gauche.
Ferme le programme. Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" de Malwarebytes.
Reviens dans ta réponse avec le rapport de MalwareBytes, et celui de SDFix
Bonne réception
===============================
Ne peux plus t'aider sur ce terrain, car mes solutions s'appliquent à des postes plutôt isolés... mais pas extension...
Bonne chance!
Vu sur un autre forum :
===============================
Bonsoir
1. Télécharge et installe
CCleaner Slim
https://www.ccleaner.com/ccleaner/download
Pendant l'installation, décoche la case "Ajouter l'option ... " Contrôler les mises à jour "
Clique sur Options -> Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Ne touche pas aux autres réglages.
Il n'y a pas de rapport à poster pour cet outil.
Malwarebytes' Anti-Malware avec Windows Vista, XP et 2000
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le comme sur ce tuto en images :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Ne lance pas le scan maintenant. Ferme le programme.
Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau.
Si le lien ne fonctionne pas, essaie ceux-ci :
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou http://sdfix.net/SDFix.exe
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur.
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le script.
Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F5 ou F8 au redémarrage pour accéder aux options de démarrage.
Sinon, appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
2. Redémarre en mode sans échec
Redémarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuie sur la touche F8 (ou F5) jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne "Mode sans échec" et appuie sur [Entrée].
Vu que l'on ne sait pas encore par quelle(s) "bestiole(s)" tu es infecté, il ne faut absolument pas forcer le "Mode sans échec" en passant par "MSconfig".
Risque de redémarrage en boucles du PC.
Si la méthode citée plus haut ne fonctionne pas, poursuivre le nettoyage en mode normal.
3. Utilisation de CCleaner
Lance CCleaner
Clique sur le bouton "Analyse"; une fois le scan terminé, clique sur "Lancer le nettoyage"
Sois patient ! Le scan peut durer la 1ère fois.
Lance Malwarebytes' Anti-Malware
Clique sur le bouton "Recherche" (de la barre d'outils)
Cocher le bouton "Exécuter un examen complet" et clique sur "Rechercher"
A la fin du scan, choisis l'option " Supprimer la sélection " en bas, à gauche.
Ferme le programme. Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" de Malwarebytes.
Reviens dans ta réponse avec le rapport de MalwareBytes, et celui de SDFix
Bonne réception
===============================
"Pour supprimer ce virus en local d'un PC, je le fais manuellement"
Vice de procédure!
Si ce que tu supprime n'est qu'un executable créé par un autre executable chaché ailleur dans le PC, tu n'arrivera à rien! (au mieux, tu enlève un symptôme... j'usqu'au prochain démarrage, de Windows ou de l'executable source)
Et puis je n'ai jamais entendu ou vu un virus pouvant être supprimé/éradiqué manuellement...
Je m'avance peut-être, mais ta procédure n'a aucune efficacité...
Seul un antivirus peut permettre l'éradication du virus, par un scan complet et systématique de l'ensemble du réseau.
"rechercher toutes les clés "cmxdheqaz" et les supprimer, ainsi que les dossiers "MDM Rock 4"" Oula! Fais attention avec la base de registre, car si les clé supprimée corresponde à des execultables necessaires à l'execution/stabilité de Windows, et qu'il ne sont que vérolés... gare aux dégâts!
<avis personnel, et 'vu d'ici'>
Vice de procédure!
Si ce que tu supprime n'est qu'un executable créé par un autre executable chaché ailleur dans le PC, tu n'arrivera à rien! (au mieux, tu enlève un symptôme... j'usqu'au prochain démarrage, de Windows ou de l'executable source)
Et puis je n'ai jamais entendu ou vu un virus pouvant être supprimé/éradiqué manuellement...
Je m'avance peut-être, mais ta procédure n'a aucune efficacité...
Seul un antivirus peut permettre l'éradication du virus, par un scan complet et systématique de l'ensemble du réseau.
"rechercher toutes les clés "cmxdheqaz" et les supprimer, ainsi que les dossiers "MDM Rock 4"" Oula! Fais attention avec la base de registre, car si les clé supprimée corresponde à des execultables necessaires à l'execution/stabilité de Windows, et qu'il ne sont que vérolés... gare aux dégâts!
<avis personnel, et 'vu d'ici'>
