Bonjour,
j'ai un problème assez tordu. J'ai une station sur laquelle j'ai choppé sasser (...worm.b)
J'ai un antivirus Mac afee qui a nettoyé le disque et détruit 9 fichiers infectés. J'ai ensuite installé le patch fxsasser (pour les variantes a, b, c, d ....) qui n'a rien détecté. Puis j'ai fait un windwos update pour combler les failles de sécurité.
Je me disais alors que tout était réglé. Mais non...
De temps en temps (toutes les 1h/1h30), macafee me trouve un fichier infecté par le même virus et le détruit.
J'ai passé plusieurs patch et j'ai essayé stinger mais il ne trouve rien. Sur le site de microsoft, l'utilitaire me dit que ma station n'est pas infecté et pourtant ça continue.
Les fichiers trouvés sont de ce genre : c:\system volume info........\A0013131.exe
A chaque fois le *.exe est incrémenté : A0013132.exe puis A0013133.exe etc...
Il doit quelque chose qui doit générer ces fichiers mais je ne sais pas quoi.
En espérant que quelqu'un ai une idée. Merci d'avance.
pb avec sasser après nettoyage
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
pb avec sasser après nettoyage
par philoxeratis » 19 Mai 2004 11:30
- philoxeratis
- Quartier Maître
- Messages: 19
- Inscrit le: 13 Avr 2004 12:04
par remi » 19 Mai 2004 11:34
Fait un test avec www.antivirus.fr
tu vas dans l'onglet particulier, et tu cliques sur Housecall.
Tiens nous au courant...
++
tu vas dans l'onglet particulier, et tu cliques sur Housecall.
Tiens nous au courant...
++
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
-
remi - AdminIxus
- Messages: 3218
- Inscrit le: 22 Avr 2002 00:00
- Localisation: Lyon
pb avec sasser après nettoyage
par philoxeratis » 19 Mai 2004 14:01
J'ai ce que tu m'avais dit mais il n'a rien détecté non plus.
Je tient à préciser que les fichiers infectés sont supprimés régulièrement et que le pc n'a aucun problème mais c'est tout de même $%#&! .
J'ai également remarqué que les fichiers infectés sont des fichiers système. Je vais essayé de d'afficher le dossier et refaire une analyse. Je vous tient au courant.
Je tient à préciser que les fichiers infectés sont supprimés régulièrement et que le pc n'a aucun problème mais c'est tout de même $%#&! .
J'ai également remarqué que les fichiers infectés sont des fichiers système. Je vais essayé de d'afficher le dossier et refaire une analyse. Je vous tient au courant.
- philoxeratis
- Quartier Maître
- Messages: 19
- Inscrit le: 13 Avr 2004 12:04
par remi » 19 Mai 2004 14:08
Tu peux donner le chemain exact des fichiers infecté ?
Cela ne viendrait pas d'un point de restauration de windows XP qui aurait été fait lorsque tu était infecté ??
Cela ne viendrait pas d'un point de restauration de windows XP qui aurait été fait lorsque tu était infecté ??
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
-
remi - AdminIxus
- Messages: 3218
- Inscrit le: 22 Avr 2002 00:00
- Localisation: Lyon
pb avec sasser après nettoyage
par philoxeratis » 19 Mai 2004 15:29
bonne nouvelle,
je n'ai plus de fichiers infectés depuis plus de deux heures. Mais bon je sais ça ne veut rien dire, mais c'est encourageant. je croise les doigts.
Pour ton information, le chemin exact du fichier je ne me rappelle plus exactement
Tout ce que je sais, c'est ce que je t'ai dit tout à l'heure. Mais en tout cas, je suis quasiment sur que qu'il n'y avait pas wsupdate dedans.
Entre temps j'ai essayé une analyse avec symantec security response (rien trouvé) et j'ai installé spybot.
je n'ai plus de fichiers infectés depuis plus de deux heures. Mais bon je sais ça ne veut rien dire, mais c'est encourageant. je croise les doigts.
Pour ton information, le chemin exact du fichier je ne me rappelle plus exactement
Tout ce que je sais, c'est ce que je t'ai dit tout à l'heure. Mais en tout cas, je suis quasiment sur que qu'il n'y avait pas wsupdate dedans.
Entre temps j'ai essayé une analyse avec symantec security response (rien trouvé) et j'ai installé spybot.
- philoxeratis
- Quartier Maître
- Messages: 19
- Inscrit le: 13 Avr 2004 12:04
pb avec sasser après nettoyage
par philoxeratis » 19 Mai 2004 15:53
mauvaise nouvelle ça l'a refait.
Je ne sais plus trop quoi faire.
J'ai reussi à afficher le répertoire dans lequel les fichiers infectés se trouvent, mais je ne peux pas le parcourir. Pourtant l'antivirus à l'air de l'analyser.
Est ce que cela peut venir de là??? mystère...
avez vous une idée lumineuse à me proposer please??
Je ne sais plus trop quoi faire.
J'ai reussi à afficher le répertoire dans lequel les fichiers infectés se trouvent, mais je ne peux pas le parcourir. Pourtant l'antivirus à l'air de l'analyser.
Est ce que cela peut venir de là??? mystère...
avez vous une idée lumineuse à me proposer please??
- philoxeratis
- Quartier Maître
- Messages: 19
- Inscrit le: 13 Avr 2004 12:04
pb avec sasser après nettoyage
par philoxeratis » 19 Mai 2004 16:43
Je crois avoir trouvé la solution.
Je n'avais pas désactivé la restauration système automatique. A chaque restauration, le vers était regénéré car la restauration devait se faire sur une base dans laquelle des fichiers était infecté. J'ai désactivé cette restauration et j'attends maintenant de voir.
Je n'avais pas désactivé la restauration système automatique. A chaque restauration, le vers était regénéré car la restauration devait se faire sur une base dans laquelle des fichiers était infecté. J'ai désactivé cette restauration et j'attends maintenant de voir.
- philoxeratis
- Quartier Maître
- Messages: 19
- Inscrit le: 13 Avr 2004 12:04
par xenovong » 19 Mai 2004 16:54
salut !
j'ai une p'tite astuce :
désactive la restauration du système de XP
repère le premier point de restauration du système qui vient juste après la date de ton infection (si tu te souviens de la date !)
supprime tous les points de restauration qui viennent après cette date
et restaure à partir du premier point de restauration précédent !
ensuite un 'tit coup de scan et de windows update et roulez jeunesse !
bon courage !
j'ai une p'tite astuce :
désactive la restauration du système de XP
repère le premier point de restauration du système qui vient juste après la date de ton infection (si tu te souviens de la date !)
supprime tous les points de restauration qui viennent après cette date
et restaure à partir du premier point de restauration précédent !
ensuite un 'tit coup de scan et de windows update et roulez jeunesse !
bon courage !
- xenovong
- Major
- Messages: 82
- Inscrit le: 19 Déc 2003 01:00
par tiresias » 22 Mai 2004 23:21
salut
Il est possible aussi que sa ne vienne pas de ton système de restauration. Mais du faite que ton port 435 est toujours ouvert et de ce faite le virus SASSER continue de t'attaquer. Pour remedier à ce problème je te conseille de fermer le port 435 ( si tu ne l'utilise pas. Car il sert dans le cadre d'un réseau local microsoft. Donc si c'est une utilisation personnelle.... )
Bref pour ce faire c'est tout simple tu va dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
puis tu repère la clé "TransportBindName" et tu supprime sa valeur. Au redemarrage le port 435 sera définitivement fermé.
Si tu a toujours ton problème après cette manip regarde dans le systèmes de restauration.
bonne chance
Il est possible aussi que sa ne vienne pas de ton système de restauration. Mais du faite que ton port 435 est toujours ouvert et de ce faite le virus SASSER continue de t'attaquer. Pour remedier à ce problème je te conseille de fermer le port 435 ( si tu ne l'utilise pas. Car il sert dans le cadre d'un réseau local microsoft. Donc si c'est une utilisation personnelle.... )
Bref pour ce faire c'est tout simple tu va dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
puis tu repère la clé "TransportBindName" et tu supprime sa valeur. Au redemarrage le port 435 sera définitivement fermé.
Si tu a toujours ton problème après cette manip regarde dans le systèmes de restauration.
bonne chance
Ce n'est pas parce qu'on prêche dans les églises que les paratonnerres y sont inutiles- Georges Christoph Lichtenberg
-
tiresias - Quartier Maître
- Messages: 25
- Inscrit le: 25 Déc 2003 01:00
9 messages
• Page 1 sur 1
Retour vers Virus et Anti-virus
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité