Problème virus : Gaobot et randex

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

Publier une réponse

Problème virus : Gaobot et randex

Messagepar conscience » 09 Fév 2005 11:04

Bonjour à toutes et à tous,

Voici mon problème :

J'ai un parc de 5 machines connectés en reseau par un groupe de travail, ce sont des postes w2k parfaitements patchés et mis à jour, norton est l'antivirus installé sur chaque machine et lui aussi mis à jour.
Depuis 1 mois, j'ai le virus W32.HLLW.Gaobot qui tourne sur ces machines, bien que Norton soit mis a jour il arrive quand meme à s'installer. Chaque machine possède 3 partitions, une pour le systeme, une pour les documents et une troisième pour les ghosts. La plupart du temps il s'installe sur un des deux dernières partitions (D ou E), je retrouve regulièrement sur une de ces deux partitions un ptit fichier nommé testfil sans extension, apparement une des signatures du virus qui scan le reseau pour chercher un ordinateur vulnérable.
J'ai bien entendu fait tous ce que préconise les editeurs d'antivirus, à savoir faire un scan complet en mode sans echec, nettoyer le base de registre des entrées avec scvsrv32.exe et check des clefs HKLM\soft\microsoft\windows\currentversion\run, verifier dans les services de chaque ordinateur si ya pas de trucs louches etc...
Et à chaque fois le virus réapparait... lassant à la longue...
Je me suis donc penché sur les partages de chaque ordinateur, en regardant les partage reseau de chaque poste je vois : C$, D$, E$, IPC$, ADMIN$. Ces partages ne peuvent ils pas etre à l'origine des réinfections de mes postes ?
Si oui, comment les supprimer ? Car quand je veux le faire à la main, via : clic droit poste de travail, gérer, dossier partagés, partage ensuite clic droit sur le partage que je veux supprimer, là l'ordinateur me dit que ok il peux supprimer le partage administratif mais que des que le service serveur ou que l'ordinateur sera rebooté le partage réapparaitra...

Pensez vous que ces partages rendent mes postes sensibles à l'infection de Gaobot (et randex puisque lui aussi me joue des tours) bien que mes postes soient mis à jour et depuis longtemps ne sont plus sensibles à la faille RPC ? Et si oui ces partages sont nocifs, comment les supprimer pour de bons ? Leur suppression est il nuisible à un travail en réseau ?

Merci d'avance de vos lumières :o)

Stéphane
conscience
Matelot
Matelot
 
Messages: 2
Inscrit le: 09 Fév 2005 10:42
Haut

Messagepar pulsergene » 09 Fév 2005 11:18

bonjour

deux solutions

utiliser un fix comme celui ci
http://www.secuser.com/alertes/2003/gaobot.htm
ou
http://search.atomz.com/search/?sp-a=sp ... &submit=Ok

bonne journée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city
Haut

Messagepar conscience » 09 Fév 2005 12:21

Bonjour,

C'est déjà fait sur ton mon parc, je l'ai refait pas plus tard que ce matin, j'ai meme utilisé l'utilitaire de désinfection que microsoft à sorti recemment et sensé eradiquer plusieurs virus dont gaobot.
Résultat des scans = négatif...
Mais je sais tres bien que d'ici demain il aura réapparu, c'est pour cela que je me pose des questions sur les partages administratifs

MErci en tout cas de ta réponse

Stéphane
conscience
Matelot
Matelot
 
Messages: 2
Inscrit le: 09 Fév 2005 10:42
Haut

Messagepar pulsergene » 09 Fév 2005 12:38

sinon installes avast mets le a jour et analyse les postes via les partages
:idea:
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city
Haut
Publier une réponse

Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

Powered by boolaz
cron