Bonjour,
L'endroit ou je travail est au prise avec, ce que je crois etre, un nouveau virus.
Symptome: Reboot RPC avec compte a rebours, comme Blaster, mais ce n'Est pas blaster. aucun antivirus qu'on a essayer le détecte (Trend, Norton, McAfee, Stinger)
Des idées ??
Nouveau virus ??
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
par xMaximex » 23 Nov 2004 18:50
Un petit UP svp... je travail dans un hopital dans le departement informatique .. tout les postes sont infecté .. vous voyez le problème..
Le message d'erreur avant que l'ordinateur ferme est le suivant :
Arret du systeme. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arret a été initie par AUTORITE NT/SYSTEM
Temps restant avant l'arrêt du systeme: 00:00:60
Message :
Le processus systeme c:\winnt\system32\lsass.exe s'est terminé de maniere innatendue avec le code d'état 128. Le systeme va maintenant s'éteindre et redémarrer.
C'est exactement le meme message que pour le virus Sasser, mais les processus de Sasser ne sont pas sur les postes a problème. De plus, un scan des postes ont été fait avec Norton, McAfee, Trend et Stinger et aucun des 4 ne l'ont détecté.
Si vous avez des informations svp m'en faire part
Merci beaucoup
Le message d'erreur avant que l'ordinateur ferme est le suivant :
Arret du systeme. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arret a été initie par AUTORITE NT/SYSTEM
Temps restant avant l'arrêt du systeme: 00:00:60
Message :
Le processus systeme c:\winnt\system32\lsass.exe s'est terminé de maniere innatendue avec le code d'état 128. Le systeme va maintenant s'éteindre et redémarrer.
C'est exactement le meme message que pour le virus Sasser, mais les processus de Sasser ne sont pas sur les postes a problème. De plus, un scan des postes ont été fait avec Norton, McAfee, Trend et Stinger et aucun des 4 ne l'ont détecté.
Si vous avez des informations svp m'en faire part
Merci beaucoup
Maxime
-
xMaximex - Enseigne de vaisseau
- Messages: 174
- Inscrit le: 11 Mars 2004 01:00
par tomtom » 23 Nov 2004 19:06
Hum...
c'est sasser ou korgo.....
Il faut absolument que tu passes les pacthes adaptés (patches concernant la vulnerabilité LSASS) : http://www.microsoft.com/technet/securi ... 4-011.mspx
Les pc qui rebootent ne sont pas forcement infectés (peut etre pour ca que tu ne trouves rien à l'antivirus), c'est juste le paquet envoyé par le virus qui fait planter le LSASS....
Il doit y avoir au moins nu pc sur ton parc infecté et celui-ci balance des paquets pourris.
t.
c'est sasser ou korgo.....
Il faut absolument que tu passes les pacthes adaptés (patches concernant la vulnerabilité LSASS) : http://www.microsoft.com/technet/securi ... 4-011.mspx
Les pc qui rebootent ne sont pas forcement infectés (peut etre pour ca que tu ne trouves rien à l'antivirus), c'est juste le paquet envoyé par le virus qui fait planter le LSASS....
Il doit y avoir au moins nu pc sur ton parc infecté et celui-ci balance des paquets pourris.
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par svart » 23 Nov 2004 20:34
Salut,
Si le poste est débranché, booté sans connexion et qu'il redemarre, sans doute qu'il est infecté.
Ce peut être aussi ce ver-là
http://www.sophos.fr/virusinfo/analyses/w32mofeib.html
Deja empeche le redemarrage de l'ordi (si XP) en tapant dans demarrer/executer
Ca te donnera plus de temps pour faire quelques vérifications
- le contenu des clés de démarrage dans la base de registre pour savoir ce qui est lancé
- un scan antiviral en ligne si possible chez www.secuser.com par exemple
http://www.secuser.com/outils/antivirus.htm
- un antispyware, tel que spybot par exemple
http://spybot.eon.net.au/fr/index.html
- les mises à jour de microsoft via windowsupdate.microsoft.com
en espérant trouver et éradiquer la cause du probleme.
A +
Si le poste est débranché, booté sans connexion et qu'il redemarre, sans doute qu'il est infecté.
Ce peut être aussi ce ver-là
http://www.sophos.fr/virusinfo/analyses/w32mofeib.html
Deja empeche le redemarrage de l'ordi (si XP) en tapant dans demarrer/executer
- Code: Tout sélectionner
shutdown -a
Ca te donnera plus de temps pour faire quelques vérifications
- le contenu des clés de démarrage dans la base de registre pour savoir ce qui est lancé
- un scan antiviral en ligne si possible chez www.secuser.com par exemple
http://www.secuser.com/outils/antivirus.htm
- un antispyware, tel que spybot par exemple
http://spybot.eon.net.au/fr/index.html
- les mises à jour de microsoft via windowsupdate.microsoft.com
en espérant trouver et éradiquer la cause du probleme.
A +
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
-
svart - Vice-Amiral
- Messages: 853
- Inscrit le: 04 Sep 2003 00:00
- Localisation: Finistère
par xMaximex » 27 Nov 2004 06:49
Merci Tom-Tom, en effet c'était Korgo .. 7 postes infecté dans un parc de 800 ... aucun n'avait les patch de sécurité a jours. Problème réglé, la patch a été poussé sur tout les postes 
merci beaucoup !
merci beaucoup !Maxime
-
xMaximex - Enseigne de vaisseau
- Messages: 174
- Inscrit le: 11 Mars 2004 01:00
7 messages
• Page 1 sur 1
Retour vers Virus et Anti-virus
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité