Au secours!! virus?

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

Au secours!! virus?

Messagepar canarddesbois » 25 Jan 2006 12:07

Bonjour,

J'ai un gros souci sur l'un de mes PC, je vous expose mon cas:

Tout d'abord j'ai 3 PC sous windows XP (SP2 avec les mises à jour automatiques) reliés en réseau par l'intermédiaire d'un switch qui lui même est relié à une freebox en mode routeur (le routeur n'est réglé que pour le web et l'accès au logiciel RealVNC). Sur chaque PC j'ai norton internet security 2005 activé en permanence et se mettant à jour automatiquement. Le PC qui pose problème n'est pas utilisé pour le courrier électronique, seulement occasionnelement pour le surf (et assez rarement), par contre il abrite une base de donnée ACCESS utilisée en permanence par les 2 autres PC.

Depuis ce matin, la souris se met à trembler par intermittence, quand j'ouvre un programme il s'ouvre en fait plein de fois de suite, et impossible d'accéder aux fontions de norton (pour faire un scan complet par exemple). Les 2 autres PC n'ont rien, j'ai fait un scan complet sur chacun d'eux. Actuellement le PC posant problème est allumé est les 2 autres peuvent accéder à la base de donnée sans problème, mais je ne peux pas faire la moindre manip directement sur la machine elle-même (il y a même eu un message indiquant un manque de mémoire virtuelle!!!!).

Aucun programme n'a été installé sur les machines depuis belle lurette, je ne comprends pas ce qui a pu infecter cette machine. des idées?
canarddesbois
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Jan 2006 11:54

Messagepar kornfr » 25 Jan 2006 12:16

1. Sauvegarde rapidement ta base de donnees si ne n'est tjs pas fait !

2. tu peux deja peut etre faire une analyse de ton pc via cette antivirus en ligne et gratuit http://secuser.com/antivirus/index.htm

3. desinstalle norton, reboot la machine, install Avast! et lorsqu'il te demande si il scanne au prochain boot tu lui reponds OUI (en effet il va scanner ton disque dur avant que ton Windows soit complement booter ce qui permet d'etre plus efficace.



Voila pour commencer.....


Sinon d'ou peux provenir ton probleme :
ton PC est relie a internet si il n'y a pas de parfeu, il peux y avoir des intrusions,
ta sourie bouge toutes seul peut etre que c une souris optique mal brancher / mal possitionne
le manque de memoire virutel peux provnir du fait que ca fait longtemps que le pc na pas rebooter
verifie egalement tes journaux .... mais ca je pense que tu le fais deja ;)
Proliant ML110(PIV 3,2, 1Go, ATA 80Go)
-IPCOP 1.4.8
AdvProxy, UrlFilter,BlockOutTraffic, Calamaris, Enhanced Proxy Log Viewer, Copfilter (monit,P3Scan,SpamAssassin,ClamAV,Renattach,Rules Du Jour), OpenVPN
140 clients Win et 40 clients Mac OS X
Avatar de l’utilisateur
kornfr
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 230
Inscrit le: 02 Déc 2003 01:00
Localisation: Alsace

Messagepar canarddesbois » 25 Jan 2006 12:30

Merci pour cette réponse rapide.

Effectivement, la base de donnée a déja été sauvegardée...

Je vais essayer l'analyse en ligne, j'espère que ça donnera quelquechose.
et je vais peut être aussi essayer AVAST (j'espère que ça ne posera pas de problème avec les autres PC qui ont norton)

Par contre, en ce qui concerne les intrusions, j'ai du mal à y croire car le pare-feu de norton est tout le temps activé et en plus il y a un routeur qui fait également office de pare-feu rudimentaire et la table NAT n'est remplie que pour l'utilisation de VNC (afin de controler les PC à distance) avec identification par mot de passe crypté.

Je précise que le PC est éteind tous les soirs et rallumé le matin. (le réseau est celui d'une librairie).
canarddesbois
Matelot
Matelot
 
Messages: 2
Inscrit le: 25 Jan 2006 11:54

Messagepar frost » 25 Jan 2006 14:11

Déjà avec un port router vers une de tes machines, cela ouvre des possibilités pour s'introduire; de plus rien n'empêche l'attaquant d'utiliser le port de VNC pour prendre le controle de ton pc ou bien même d'éxecuter un code non autorisé (dépassement de mémoire (buffer overflow), shellcode).

Sans vouloir te mener à la panique... Les produits norton ne sont pas les plus sécurisés (récemment des failles ont été découvertes sur leur différent produit). Là par contre ou tu pourrais intervenir puisque ta freebox gére le mode bridge, c'est à la rigueur intercaler une solution ipcop ou autre solution sécurisée.

Concernant ton probléme de mémoire virtuelle (swap); il peut être lié à un processus qui requiert beaucoup de mémoire, donc à toi de trouver les processus qui te semblent louches (et voir à la rigueur de chercher au boot de ta machine si tu n'as pas des intrus dans ta base de registre)
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras


Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron