depuis 10 jours environ, j'essaie d'aider un collègue qui a subi une véritable attaque en règle de son réseau. En effet, le 03 janvier, un nombre important de ses postes a présenté des dysfonctionnements importants : lancement de fichier 1.exe ou 2.exe ... lancement d'impressions sans raison ... Bref, la panique. En plus de cela, un très très fort trafic réseau.
Bien sur, on ne trouve pas de virus ni avec F-Prot, ni Housecall de TREND et peu ou pas d'adware avec spybot ou ad-aware.
Le point commun que l'on trouve après analyse de la base de registre, et des process montre qu'un processus "nese.exe" est en route et implanté dans la base de registre et dans C:\Windows\System32\nese.exe.
Nous avons globalement réussi à supprimer ce processus non sans mal (réaction diffèrente suivant les ordinateurs) mais sur certains postes, le mal revient. Pire, après un formatage et une réinstallation du système, certains postes sont à nouveau contaminés.
Le seul virus que HouseCall de TREND arrive alors à trouver est WORM_SDBOT.AHY dans le fameux fichier nese.exe qui est réapparu comme par enchantement
Je précise que l'analyse de plusieurs fichiers logs présents sur la racine de chaque machine infectée montre des requêtes vers des sites IRC !!!
Si l'un d'entre vous a une idée ou a été confronté à ce problème, je l'en remercie d'avance de me donner une information.
