Communauté Informatique NDFR.net : Problème récurrent Gaobot / Randex - Internet, Réseaux et Sécurité
Reply
Problème récurrent Gaobot / Randex
Thread Tools Display Modes
  #1  
Old 09-02-2005, 12:04
conscience conscience is offline
Membre junior
 
Join Date: 09-02-2005
Posts: 2
Problème récurrent Gaobot / Randex

Bonjour à toutes et à tous,

Voici mon problème :

J'ai un parc de 5 machines connectés en reseau par un groupe de travail, ce sont des postes w2k parfaitements patchés et mis à jour, norton est l'antivirus installé sur chaque machine et lui aussi mis à jour.
Depuis 1 mois, j'ai le virus W32.HLLW.Gaobot qui tourne sur ces machines, bien que Norton soit mis a jour il arrive quand meme à s'installer. Chaque machine possède 3 partitions, une pour le systeme, une pour les documents et une troisième pour les ghosts. La plupart du temps il s'installe sur un des deux dernières partitions (D ou E), je retrouve regulièrement sur une de ces deux partitions un ptit fichier nommé testfil sans extension, apparement une des signatures du virus qui scan le reseau pour chercher un ordinateur vulnérable.
J'ai bien entendu fait tous ce que préconise les editeurs d'antivirus, à savoir faire un scan complet en mode sans echec, nettoyer le base de registre des entrées avec scvsrv32.exe et check des clefs HKLM\soft\microsoft\windows\currentversion\run, verifier dans les services de chaque ordinateur si ya pas de trucs louches etc...
Et à chaque fois le virus réapparait... lassant à la longue...
Je me suis donc penché sur les partages de chaque ordinateur, en regardant les partage reseau de chaque poste je vois : C$, D$, E$, IPC$, ADMIN$. Ces partages ne peuvent ils pas etre à l'origine des réinfections de mes postes ?
Si oui, comment les supprimer ? Car quand je veux le faire à la main, via : clic droit poste de travail, gérer, dossier partagés, partage ensuite clic droit sur le partage que je veux supprimer, là l'ordinateur me dit que ok il peux supprimer le partage administratif mais que des que le service serveur ou que l'ordinateur sera rebooté le partage réapparaitra...


Pensez vous que ces partages rendent mes postes sensibles à l'infection de Gaobot (et randex puisque lui aussi me joue des tours) bien que mes postes soient mis à jour et depuis longtemps ne sont plus sensibles à la faille RPC ? Et si oui ces partages sont nocifs, comment les supprimer pour de bons ? Leur suppression est il nuisible à un travail en réseau ?

Merci d'avance de vos lumières )

Stéphane
Reply With Quote
  #2  
Old 09-02-2005, 16:55
Werner's Avatar
Werner Werner is offline
cOWboy attitUDe
 
Join Date: 15-09-2001
Location: Stuttgart
Age: 45
Posts: 2,961
Salut, je viens de voir que sur le site de Symantec à cette adresse http://www.symantec.com/region/fr/te...oval.tool.html, ils ont un outil de suppression pour ce virus. Il a d'ailleurs été mise à jour le 29 janvier 2005.

Je te conseille de le télécharger et de scanner tes postes en prenant soin de déconnecter le câble réseau avant, car ce virus se propage par certains ports. Une fois qu'ils sont tous OK tu peux les reconnecter.

Il faudra aussi peut-être regarder du côté du firewall si tu en as un histoire de renforcer la sécurité contre les attaques de l'extérieur.
Reply With Quote
  #3  
Old 09-02-2005, 17:15
conscience conscience is offline
Membre junior
 
Join Date: 09-02-2005
Posts: 2
Bonjour,

Malheureusement j'ai déjà utilisé ce tool (et de nombreux autres) sur mon parc avec cable deconnecté et en mode sans echec... le virus revient toujours 1 semaine apres
Si kk1 a une autre idée ?

Merci

Conscience
Reply With Quote
  #4  
Old 09-02-2005, 19:20
Werner's Avatar
Werner Werner is offline
cOWboy attitUDe
 
Join Date: 15-09-2001
Location: Stuttgart
Age: 45
Posts: 2,961
Re salut j'ai une autre idée, mais je doute que ça règle ton problème. Il faudrait démarrer via un CD de Boot genre PE Builder et nettoyer les dossiers "System Volume Information" de chaque disques durs/partitions sur tes PC.Je vais voir si je ne trouve pas une vraie solution... tiens-nous quand même au courant.
Reply With Quote
Reply

Bookmarks


Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)
 
Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Petit probléme avec outlook express !!! Alexlesioux Internet, Réseaux et Sécurité 11 31-08-2004 08:16
Gros Problème De Réseau... LeFouDuWeb Internet, Réseaux et Sécurité 2 03-04-2004 16:53
Probléme de lenteurs... chalouf Discussions sur le site et/ou le forum 11 22-01-2003 20:37
Probleme site!! chalouf Discussions sur le site et/ou le forum 4 21-10-2002 22:06
Problème forum claude922 Discussions sur le site et/ou le forum 15 21-10-2002 08:04

All times are GMT +2. The time now is 07:46.

Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.