[conscience]

Bonjour à toutes et à tous,

Voici mon problème :

J'ai un parc de 5 machines connectés en reseau par un groupe de travail, ce sont des postes w2k parfaitements patchés et mis à jour, norton est l'antivirus installé sur chaque machine et lui aussi mis à jour.
Depuis 1 mois, j'ai le virus W32.HLLW.Gaobot qui tourne sur ces machines, bien que Norton soit mis a jour il arrive quand meme à s'installer. Chaque machine possède 3 partitions, une pour le systeme, une pour les documents et une troisième pour les ghosts. La plupart du temps il s'installe sur un des deux dernières partitions (D ou E), je retrouve regulièrement sur une de ces deux partitions un ptit fichier nommé testfil sans extension, apparement une des signatures du virus qui scan le reseau pour chercher un ordinateur vulnérable.
J'ai bien entendu fait tous ce que préconise les editeurs d'antivirus, à savoir faire un scan complet en mode sans echec, nettoyer le base de registre des entrées avec scvsrv32.exe et check des clefs HKLM\soft\microsoft\windows\currentversion\run, verifier dans les services de chaque ordinateur si ya pas de trucs louches etc...
Et à chaque fois le virus réapparait... lassant à la longue...
Je me suis donc penché sur les partages de chaque ordinateur, en regardant les partage reseau de chaque poste je vois : C$, D$, E$, IPC$, ADMIN$. Ces partages ne peuvent ils pas etre à l'origine des réinfections de mes postes ?
Si oui, comment les supprimer ? Car quand je veux le faire à la main, via : clic droit poste de travail, gérer, dossier partagés, partage ensuite clic droit sur le partage que je veux supprimer, là l'ordinateur me dit que ok il peux supprimer le partage administratif mais que des que le service serveur ou que l'ordinateur sera rebooté le partage réapparaitra...

Pensez vous que ces partages rendent mes postes sensibles à l'infection de Gaobot (et randex puisque lui aussi me joue des tours) bien que mes postes soient mis à jour et depuis longtemps ne sont plus sensibles à la faille RPC ? Et si oui ces partages sont nocifs, comment les supprimer pour de bons ? Leur suppression est il nuisible à un travail en réseau ?

Merci d'avance de vos lumières )

Stéphane

[Werner]

Salut, je viens de voir que sur le site de Symantec à cette adresse http://www.symantec.com/region/fr/te...oval.tool.html, ils ont un outil de suppression pour ce virus. Il a d'ailleurs été mise à jour le 29 janvier 2005.

Je te conseille de le télécharger et de scanner tes postes en prenant soin de déconnecter le câble réseau avant, car ce virus se propage par certains ports. Une fois qu'ils sont tous OK tu peux les reconnecter.

Il faudra aussi peut-être regarder du côté du firewall si tu en as un histoire de renforcer la sécurité contre les attaques de l'extérieur.

[conscience]

Bonjour,

Malheureusement j'ai déjà utilisé ce tool (et de nombreux autres) sur mon parc avec cable deconnecté et en mode sans echec... le virus revient toujours 1 semaine apres
Si kk1 a une autre idée ?

Merci

Conscience

[Werner]

Re salut j'ai une autre idée, mais je doute que ça règle ton problème. Il faudrait démarrer via un CD de Boot genre PE Builder et nettoyer les dossiers "System Volume Information" de chaque disques durs/partitions sur tes PC.Je vais voir si je ne trouve pas une vraie solution... tiens-nous quand même au courant.