[TechniDens]

Bonjour,
Je suis RSI d'une PME avec 40 postes et 3 serveurs windows 2003 et 2008.
J'ai fait l'acquisition de licences F-Secure dernièrement et je suis en cours de déploiement. Pas de soucis pour l'ensemble du parc mais j'ai un serveur Windows 2003 SP2 sur lequel j'ai plusieurs "conficker" qui me bloque la protection. J'ai contacté mon prestataire qui m'a renvoyé sur commentcamarche.net et d'utiliser USB Fix.
Avant de lancer une recherche sur un serveur de prod, j'ai donc lancé une recherche sur la machine que j'utilise (voir ci-dessous le rapport d'analyse) pour tester son fonctionnement.
Dans les éléments infectieux, je vois sur 2 lignes une référence à  "D:\", ces lignes correspondent à  un CD Autoroute express.
Quelles sont les précautions à  prendre avant de lancer l'outil sur le serveur et comment l'utiliser efficacement ?

Code: Tout sélectionner

############################## | UsbFix V 7.102 | [Recherche]

Utilisateur: Denis T (Administrateur) # ATE-SI3
Mis à  jour le 20/12/2012 par El Desaparecido
Lancé à  15:40:43 | 09/01/2013

Site Web: http://sosvirus.org" onclick="window.open(this.href);return false;
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (HP Z200 Workstation) (x64-based PC
CPU: Intel(R) Core(TM) i5 CPU 660 @ 3.33GHz (3466)
RAM -> [Total : 3959 | Free : 1195]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: F-Secure PSB Workstation Security 9.30 [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ -> Disque fixe # 296 Go (184 Go libre(s) - 62%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 51 Go (20 Go libre(s) - 39%) [SYSTEM WINDOWS] # NTFS
F:\ -> Disque fixe # 59 Go (44 Go libre(s) - 75%) [DATA1] # NTFS
G:\ -> CD-ROM
M:\ -> Disque fixe # 39 Go (22 Go libre(s) - 56%) [DATA2] # NTFS
N:\ -> Disque amovible # 4 Go (2 Go libre(s) - 54%) [NANO PRO] # FAT32
O:\ -> Disque fixe # 233 Go (203 Go libre(s) - 87%) [HP Pocket Media Drive] # NTFS
P:\ -> Disque amovible # 4 Go (407 Mo libre(s) - 11%) [KINGSTON] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (468)
C:\Windows\system32\wininit.exe (516)
C:\Windows\system32\csrss.exe (528)
C:\Windows\system32\winlogon.exe (580)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (640)
C:\Windows\system32\lsm.exe (648)
C:\Windows\system32\svchost.exe (744)
C:\Windows\system32\nvvsvc.exe (812)
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (836)
C:\Windows\system32\svchost.exe (884)
C:\Windows\System32\svchost.exe (944)
C:\Windows\System32\svchost.exe (340)
C:\Windows\system32\svchost.exe (364)
C:\Windows\system32\svchost.exe (1100)
C:\Windows\system32\svchost.exe (1212)
C:\Windows\system32\svchost.exe (1284)
C:\Windows\system32\taskeng.exe (1400)
C:\Windows\System32\spoolsv.exe (1424)
C:\Windows\system32\svchost.exe (1452)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1580)
C:\Program Files (x86)\APC\PowerChute Personal Edition\mainserv.exe (1600)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1648)
C:\Program Files\Bonjour\mDNSResponder.exe (1800)
C:\ProgramData\bProtector\bProtect.exe (1820)
C:\Program Files (x86)\Cobian Backup 11\cbVSCService11.exe (1852)
C:\ProgramData\bProtector\bProtect.exe (1880)
C:\Program Files (x86)\Cobian Backup 11\cbService.exe (1576)
C:\Program Files (x86)\F-Secure\Anti-Virus\fsgk32st.exe (1380)
C:\Windows\system32\svchost.exe (2008)
C:\Program Files (x86)\F-Secure\Common\FSMA32.EXE (2020)
C:\Program Files (x86)\F-Secure\Anti-Virus\FSGK32.EXE (1984)
C:\Program Files (x86)\F-Secure\Common\FSHDLL32.EXE (2080)
C:\Program Files (x86)\F-Secure\Common\FSHDLL64.EXE (2232)
C:\Program Files (x86)\GE Nav\Server\GE.Security.GENav.Business.Services.DiagnosticPolling.exe (2376)
C:\Program Files (x86)\GE Nav\Client\GE.Security.GENav.Business.Services.LocalScheduling.exe (2696)
C:\Program Files (x86)\GE Nav\Server\GE.Security.GENav.Business.Services.NotificationProcessor.exe (2732)
C:\ProgramData\IBUpdaterService\ibsvc.exe (2808)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (2852)
C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (2880)
C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (3032)
C:\Program Files (x86)\NETASQ\NETASQ Updater\autoupdate.exe (3060)
C:\Program Files\Common Files\Nitro PDF\Reader\2.0\NitroPDFReaderDriverService2x64.exe (2444)
C:\Program Files (x86)\VisioWave\Mills UDel Ntp\ntpd.exe (2552)
C:\Program Files (x86)\PDF Architect\HelperService.exe (108)
C:\Program Files (x86)\PDF Architect\ConversionService.exe (2412)
C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe (2668)
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (2292)
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (3128)
C:\Program Files (x86)\APC\PowerChute Personal Edition\dataserv.exe (3188)
C:\Program Files (x86)\OCS Inventory Agent\OcsService.exe (3232)
C:\Windows\system32\wbem\wmiprvse.exe (4056)
C:\Program Files (x86)\F-Secure\FWES\Program\fsdfwd.exe (2296)
C:\Program Files (x86)\F-Secure\ORSP Client\fsorsp.exe (824)
C:\Program Files (x86)\F-Secure\Anti-Virus\fssm32.exe (3924)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (3632)
C:\Windows\system32\svchost.exe (4300)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (4328)
C:\Windows\System32\WUDFHost.exe (4436)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (4588)
C:\Windows\system32\nvvsvc.exe (4604)
C:\Program Files (x86)\F-Secure\Anti-Virus\fsav32.exe (4728)
C:\Windows\System32\svchost.exe (4972)
C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe (1768)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (5036)
C:\Windows\system32\SearchIndexer.exe (4380)
C:\Windows\system32\SearchProtocolHost.exe (4208)
C:\Windows\system32\taskhost.exe (1060)
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe (3332)
C:\Windows\system32\Dwm.exe (3252)
C:\Windows\Explorer.EXE (2900)
C:\Program Files (x86)\TeamViewer\Version8\tv_w32.exe (4584)
C:\Program Files (x86)\TeamViewer\Version8\tv_x64.exe (4480)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (3244)
C:\Windows\Speech\Common\sapisvr.exe (5328)
C:\Program Files (x86)\W3i\InstallIQUpdater\InstallIQUpdater.exe (5352)
C:\Users\Denis T\AppData\Local\Akamai\netsession_win.exe (5368)
C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe (5420)
C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe (5712)
C:\Program Files\Windows Sidebar\sidebar.exe (5752)
C:\Users\Denis T\AppData\Local\Akamai\netsession_win.exe (5812)
C:\Program Files (x86)\Garmin\Lifetime Updater\GarminLifetime.exe (5904)
C:\Program Files (x86)\F-Secure\Common\FSM32.EXE (5956)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (6044)
C:\Program Files (x86)\Cobian Backup 11\cbInterface.exe (6076)
C:\Program Files (x86)\OCS Inventory Agent\OcsSystray.exe (5296)
C:\Program Files (x86)\BHODemon 2\BHODemon.exe (5136)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (2404)
C:\Users\Denis T\AppData\Roaming\Dropbox\bin\Dropbox.exe (5440)
C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (5596)
C:\Program Files\iPod\bin\iPodService.exe (1168)
C:\Program Files (x86)\APC\PowerChute Personal Edition\apcsystray.exe (5244)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (5452)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (6272)
C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe (6988)
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclUSBSrv64.exe (7088)
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe (7116)
C:\Windows\SysWOW64\DllHost.exe (6452)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe (380)
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (8044)
C:\Windows\system32\svchost.exe (3756)
C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE (7304)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (4348)
C:\Windows\SysWOW64\ServiceOMC.exe (6824)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (6192)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (776)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (5628)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (6640)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (7268)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (4960)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (3468)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (2012)
C:\Windows\system32\mmc.exe (6976)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (4184)
C:\UsbFix\Go.exe (1228)
C:\Windows\system32\wbem\wmiprvse.exe (984)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (3492)
C:\Windows\system32\SearchFilterHost.exe (2684)
C:\Windows\System32\svchost.exe (5216)

################## | à‰léments infectieux |

Présent! C:\Users\DENIST~1\AppData\Local\Temp\fscE068.tmp.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\nitro_pdf_reader_x64.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\preconfig.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\xmlUpdater.exe
Présent! D:\AutoEUR6.exe
Présent! P:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent! D:\Autorun.inf

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|svchost.exe
Présent! HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|svchost.exe

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{6a10ec4c-24b5-11e1-b6c2-806e6f6e6963}
Shell\AutoRun\Command = D:\AutoEUR6.exe
Shell\dinstall\Command = D:\DeuSetup.exe
Shell\dreadme\Command = write InfoDate.wri
Shell\finstall\Command = D:\FraSetup.exe
Shell\freadme\Command = write Lisezmoi.wri
Shell\zinstall\Command = D:\EngSetup.exe
Shell\zreadme\Command = write ReadMe.wri



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

[Valuu]

Hello !

• Double cliquez sur UsbFix.exe.
• Cliquez sur recherche.

• Laissez travailler l'outil.
• à€ la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à  la racine du disque système ( C:\UsbFix.txt ).
• Tutoriel en images

As-tu accès à  ces sites :
http://www.avast.com/fre/download-avast-home.html
http://www.avira.com/fr/pages/index.php
http://www.microsoft.com/
http://www.symantec.com/index.jsp
http://www.kaspersky.com/fr/

?

[TechniDens]

Bonjour Valuu,
Après passage de recherche USBFix, voici ci-dessous le résultat.
Quant à  l'accès aux divers sites de protection virale, impossible. Même SOSVirus est injoignable...
A plus tard
Merci

Code: Tout sélectionner

############################## | UsbFix V 7.102 | [Recherche]

Utilisateur: Administrateur (Administrateur) # SERVEURNT
Mis à  jour le 20/12/2012 par El Desaparecido
Lancé à  09:03:11 | 10/01/2013

Site Web: http://sosvirus.org" onclick="window.open(this.href);return false;
Contact: contact@eldesaparecido.com

PC: HP (ProLiant ML350 G4) (X86-based PC
CPU: Intel(R) Xeon(TM) CPU 3.00GHz (3000)
CPU: Intel(R) Xeon(TM) CPU 3.00GHz (3000)
RAM -> [Total : 3071 | Free : 2094]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft(R) Windows(R) Server 2003, Standard Edition (5.2.3790 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 6.0.3790.3959

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [(!) Disabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 16 Go (3 Go libre(s) - 16%) [SYSTEM] # NTFS
D:\ -> Disque fixe # 120 Go (8 Go libre(s) - 6%) [DATA] # NTFS
E:\ -> CD-ROM

################## | Processus Actif |

C:\windows\system32\winlogon.exe (360)
C:\WINDOWS\system32\services.exe (408)
C:\WINDOWS\system32\lsass.exe (420)
C:\WINDOWS\system32\svchost.exe (596)
C:\WINDOWS\System32\svchost.exe (836)
C:\WINDOWS\system32\spoolsv.exe (1172)
C:\Program Files\Aquitaine Informatique BTP\Communs\AiLicSrv.exe (1292)
C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE (1312)
C:\Program Files\Apache Group\Apache2\bin\Apache.exe (1332)
C:\Program Files\CA\BrightStor ARCserve Backup\DBENG.exe (1372)
C:\Program Files\CA\SharedComponents\BrightStor\CADS\casdscsvc.exe (1392)
C:\Program Files\CA\BrightStor ARCserve Backup\jobeng.exe (1412)
C:\Program Files\Apache Group\Apache2\bin\Apache.exe (1432)
C:\Program Files\CA\BrightStor ARCserve Backup\msgeng.exe (1500)
C:\Program Files\CA\BrightStor ARCserve Backup\caserved.exe (1516)
C:\Program Files\CA\BrightStor ARCserve Backup\casmrtbk.exe (1528)
C:\Program Files\CA\BrightStor ARCserve Backup\RDS.EXE (1552)
C:\Program Files\CA\BrightStor ARCserve Backup\tapeeng.exe (1580)
C:\Program Files\CA\BrightStor ARCserve Backup\cadiscovd.exe (2712)
C:\Program Files\CA\BrightStor ARCserve Backup\Catirpc.exe (2736)
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (2748)
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe (2768)
C:\WINDOWS\system32\Dfssvc.exe (2796)
C:\Program Files\CA\BrightStor ARCserve Backup\caloggerd.exe (2816)
C:\WINDOWS\System32\dns.exe (2876)
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe (2936)
C:\Program Files\F-Secure\Web User Interface\bin\FSWEBUID.EXE (2952)
C:\Program Files\F-Secure\Common\FSMA32.EXE (3068)
C:\Program Files\CA\iGateway\igateway.exe (3096)
C:\WINDOWS\System32\ismserv.exe (3116)
C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe (3128)
C:\Program Files\F-Secure\Common\FSHDLL32.EXE (3164)
C:\Program Files\CA\BrightStor ARCserve Backup\Mediasvr.exe (3236)
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (3336)
C:\Documents and Settings\Administrateur\WINDOWS\system32\Multiz.exe (3364)
C:\WINDOWS\System32\svchost.exe (3388)
C:\WINDOWS\system32\ntfrs.exe (3404)
C:\WINDOWS\System32\svchost.exe (3484)
C:\Program Files\POET61\bin\ptserv32.exe (3496)
C:\WINDOWS\system32\Poetserv.exe (3520)
C:\WINDOWS\system32\RMLM10.exe (3548)
C:\WINDOWS\System32\snmp.exe (3616)
C:\hp\hpsmh\bin\smhstart.exe (3628)
C:\WINDOWS\system32\lserver.exe (3708)
C:\hp\hpsmh\bin\hpsmhd.exe (3724)
C:\Program Files\RealVNC\VNC4\WinVNC4.exe (3756)
C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe (3796)
C:\WINDOWS\system32\CpqRcmc.exe (3836)
C:\WINDOWS\system32\CPQMgmt\CqMgServ\cqmgserv.exe (3864)
C:\WINDOWS\system32\CPQMgmt\CqMgStor\cqmgstor.exe (3900)
C:\WINDOWS\system32\tcpsvcs.exe (3948)
C:\Program Files\Fichiers communs\OCR\Version15\Re-Rite6.exe (4020)
C:\WINDOWS\system32\sysdown.exe (164)
C:\WINDOWS\system32\CPQMgmt\CqMgHost\cqmghost.exe (212)
C:\Program Files\CA\BrightStor ARCserve Backup\caauthd.exe (1168)
C:\hp\hpsmh\bin\hpsmhd.exe (1272)
C:\Program Files\CA\BrightStor ARCserve Backup\LQServer.exe (4464)
C:\WINDOWS\System32\svchost.exe (5688)
C:\Program Files\CA\BrightStor ARCserve Backup\asalert.exe (5764)
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe (5804)
C:\Program Files\CA\BrightStor ARCserve Backup\LDBServer.exe (5816)
C:\WINDOWS\System32\svchost.exe (3028)
C:\WINDOWS\Explorer.EXE (7544)
C:\WINDOWS\system32\cpqteam.exe (7632)
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe (7648)
C:\Program Files\F-Secure\Common\FSM32.EXE (7684)
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (7496)
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe (7820)
C:\WINDOWS\system32\Re-Rite6Tray.exe (7832)
C:\Program Files\F-Secure\FSGUI\POSTINSTALL.EXE (5944)
C:\Program Files\CA\BrightStor ARCserve Backup\BrightStorMgr.exe (7012)
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE (6720)
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE (6960)
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe (256)
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe (6556)
C:\Program Files\Mozilla Firefox\firefox.exe (3472)
C:\UsbFix\Go.exe (6328)

################## | à‰léments infectieux |

Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\preconfig.exe

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

[Valuu]

Yop

Okay, donc de bonnes chances pour Conficker :s
ça va pas être simple à  gérer... Il faut désinfecter chaque poste séparément, et pour pas qu'ils soient réinfectés au fur et à  mesure, il faut les déconnecter du réseau...

Est-ce que ça va être possible ?

[TechniDens]

Bonjour Valuu,
Je me doutais bien de la nécessité d'isolement du réseau pour traiter l'infection. Malgré des machines de prod, nécessité fait loi.
Reste la mise en oeuvre de cette opération. Avez vous d'autres créneaux horaires en journée pour ce traitement ?
Ou un process détaillé ?
Bonne journée et à  bientôt.
TechniDens

[Valuu]

Hello

Malheureusement je n'ai pas vraiment d'autres créneaux... Quand tu bosses, moi aussi

On va tenter de faire au plus rapide...

Préliminaire numéro 1 : Si tu as besoin de transféré des fichiers d'une machine encore infectée à  une autre, utlises une des clés USB présentes lors du scan USBFix
Il faut à  tout prix que l'infection ne se propage plus une fois qu'on a commencé.

Préliminaire numéro 2 : Que je comprenne bien, tu n'as finalement que 3 machines avec le soucis ? Les 3 serveurs ? Donc il faudra que tu en retires une du réseau, qu'on la désinfecte, puis une deuxième : tu pourras les remettre ensemble sur le réseau, en isolant la 3ème qu'on désinfectera en dernier.
Il ne faut pas qu'elles se croisent.

Préliminaire numéro 3 : As-tu accès à  Windows Update ? As-tu le droit de mettre les machines à  jour (je connais pas trop les réglementations info en entreprise) ?
Si tu peux, essaie de mettre à  jour les machines. Si tu n'as pas accès télécharge ce patch.

Si tout va bien, on commence la désinfection dès lundi

Bon week end

[dr.pc1]

Bonjour,

Ce sujet est fermé pour cause d'absence de réponse de l'auteur du sujet, pour une demande de ré-activation du sujet, veuillez envoyer un message privé à  l'un des modérateurs ou à  moi même, merci de votre compréhension.