par TechniDens - mer. 9 janv. 2013 16:31
- mer. 9 janv. 2013 16:31
#1324
Bonjour,
Je suis RSI d'une PME avec 40 postes et 3 serveurs windows 2003 et 2008.
J'ai fait l'acquisition de licences F-Secure dernièrement et je suis en cours de déploiement. Pas de soucis pour l'ensemble du parc mais j'ai un serveur Windows 2003 SP2 sur lequel j'ai plusieurs "conficker" qui me bloque la protection. J'ai contacté mon prestataire qui m'a renvoyé sur commentcamarche.net et d'utiliser USB Fix.
Avant de lancer une recherche sur un serveur de prod, j'ai donc lancé une recherche sur la machine que j'utilise (voir ci-dessous le rapport d'analyse) pour tester son fonctionnement.
Dans les éléments infectieux, je vois sur 2 lignes une référence à "D:\", ces lignes correspondent à un CD Autoroute express.
Quelles sont les précautions à prendre avant de lancer l'outil sur le serveur et comment l'utiliser efficacement ?
Je suis RSI d'une PME avec 40 postes et 3 serveurs windows 2003 et 2008.
J'ai fait l'acquisition de licences F-Secure dernièrement et je suis en cours de déploiement. Pas de soucis pour l'ensemble du parc mais j'ai un serveur Windows 2003 SP2 sur lequel j'ai plusieurs "conficker" qui me bloque la protection. J'ai contacté mon prestataire qui m'a renvoyé sur commentcamarche.net et d'utiliser USB Fix.
Avant de lancer une recherche sur un serveur de prod, j'ai donc lancé une recherche sur la machine que j'utilise (voir ci-dessous le rapport d'analyse) pour tester son fonctionnement.
Dans les éléments infectieux, je vois sur 2 lignes une référence à "D:\", ces lignes correspondent à un CD Autoroute express.
Quelles sont les précautions à prendre avant de lancer l'outil sur le serveur et comment l'utiliser efficacement ?
- Code: Tout sélectionner
############################## | UsbFix V 7.102 | [Recherche]
Utilisateur: Denis T (Administrateur) # ATE-SI3
Mis à jour le 20/12/2012 par El Desaparecido
Lancé à 15:40:43 | 09/01/2013
Site Web: http://sosvirus.org" onclick="window.open(this.href);return false;
Contact: contact@eldesaparecido.com
PC: Hewlett-Packard (HP Z200 Workstation) (x64-based PC
CPU: Intel(R) Core(TM) i5 CPU 660 @ 3.33GHz (3466)
RAM -> [Total : 3959 | Free : 1195]
BIOS: Default System BIOS
BOOT: Normal boot
OS: Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421
SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: F-Secure PSB Workstation Security 9.30 [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]
C:\ -> Disque fixe # 296 Go (184 Go libre(s) - 62%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 51 Go (20 Go libre(s) - 39%) [SYSTEM WINDOWS] # NTFS
F:\ -> Disque fixe # 59 Go (44 Go libre(s) - 75%) [DATA1] # NTFS
G:\ -> CD-ROM
M:\ -> Disque fixe # 39 Go (22 Go libre(s) - 56%) [DATA2] # NTFS
N:\ -> Disque amovible # 4 Go (2 Go libre(s) - 54%) [NANO PRO] # FAT32
O:\ -> Disque fixe # 233 Go (203 Go libre(s) - 87%) [HP Pocket Media Drive] # NTFS
P:\ -> Disque amovible # 4 Go (407 Mo libre(s) - 11%) [KINGSTON] # FAT32
################## | Processus Actif |
C:\Windows\system32\csrss.exe (468)
C:\Windows\system32\wininit.exe (516)
C:\Windows\system32\csrss.exe (528)
C:\Windows\system32\winlogon.exe (580)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (640)
C:\Windows\system32\lsm.exe (648)
C:\Windows\system32\svchost.exe (744)
C:\Windows\system32\nvvsvc.exe (812)
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (836)
C:\Windows\system32\svchost.exe (884)
C:\Windows\System32\svchost.exe (944)
C:\Windows\System32\svchost.exe (340)
C:\Windows\system32\svchost.exe (364)
C:\Windows\system32\svchost.exe (1100)
C:\Windows\system32\svchost.exe (1212)
C:\Windows\system32\svchost.exe (1284)
C:\Windows\system32\taskeng.exe (1400)
C:\Windows\System32\spoolsv.exe (1424)
C:\Windows\system32\svchost.exe (1452)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1580)
C:\Program Files (x86)\APC\PowerChute Personal Edition\mainserv.exe (1600)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1648)
C:\Program Files\Bonjour\mDNSResponder.exe (1800)
C:\ProgramData\bProtector\bProtect.exe (1820)
C:\Program Files (x86)\Cobian Backup 11\cbVSCService11.exe (1852)
C:\ProgramData\bProtector\bProtect.exe (1880)
C:\Program Files (x86)\Cobian Backup 11\cbService.exe (1576)
C:\Program Files (x86)\F-Secure\Anti-Virus\fsgk32st.exe (1380)
C:\Windows\system32\svchost.exe (2008)
C:\Program Files (x86)\F-Secure\Common\FSMA32.EXE (2020)
C:\Program Files (x86)\F-Secure\Anti-Virus\FSGK32.EXE (1984)
C:\Program Files (x86)\F-Secure\Common\FSHDLL32.EXE (2080)
C:\Program Files (x86)\F-Secure\Common\FSHDLL64.EXE (2232)
C:\Program Files (x86)\GE Nav\Server\GE.Security.GENav.Business.Services.DiagnosticPolling.exe (2376)
C:\Program Files (x86)\GE Nav\Client\GE.Security.GENav.Business.Services.LocalScheduling.exe (2696)
C:\Program Files (x86)\GE Nav\Server\GE.Security.GENav.Business.Services.NotificationProcessor.exe (2732)
C:\ProgramData\IBUpdaterService\ibsvc.exe (2808)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (2852)
C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (2880)
C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (3032)
C:\Program Files (x86)\NETASQ\NETASQ Updater\autoupdate.exe (3060)
C:\Program Files\Common Files\Nitro PDF\Reader\2.0\NitroPDFReaderDriverService2x64.exe (2444)
C:\Program Files (x86)\VisioWave\Mills UDel Ntp\ntpd.exe (2552)
C:\Program Files (x86)\PDF Architect\HelperService.exe (108)
C:\Program Files (x86)\PDF Architect\ConversionService.exe (2412)
C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe (2668)
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (2292)
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe (3128)
C:\Program Files (x86)\APC\PowerChute Personal Edition\dataserv.exe (3188)
C:\Program Files (x86)\OCS Inventory Agent\OcsService.exe (3232)
C:\Windows\system32\wbem\wmiprvse.exe (4056)
C:\Program Files (x86)\F-Secure\FWES\Program\fsdfwd.exe (2296)
C:\Program Files (x86)\F-Secure\ORSP Client\fsorsp.exe (824)
C:\Program Files (x86)\F-Secure\Anti-Virus\fssm32.exe (3924)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (3632)
C:\Windows\system32\svchost.exe (4300)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (4328)
C:\Windows\System32\WUDFHost.exe (4436)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (4588)
C:\Windows\system32\nvvsvc.exe (4604)
C:\Program Files (x86)\F-Secure\Anti-Virus\fsav32.exe (4728)
C:\Windows\System32\svchost.exe (4972)
C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe (1768)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (5036)
C:\Windows\system32\SearchIndexer.exe (4380)
C:\Windows\system32\SearchProtocolHost.exe (4208)
C:\Windows\system32\taskhost.exe (1060)
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe (3332)
C:\Windows\system32\Dwm.exe (3252)
C:\Windows\Explorer.EXE (2900)
C:\Program Files (x86)\TeamViewer\Version8\tv_w32.exe (4584)
C:\Program Files (x86)\TeamViewer\Version8\tv_x64.exe (4480)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (3244)
C:\Windows\Speech\Common\sapisvr.exe (5328)
C:\Program Files (x86)\W3i\InstallIQUpdater\InstallIQUpdater.exe (5352)
C:\Users\Denis T\AppData\Local\Akamai\netsession_win.exe (5368)
C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe (5420)
C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe (5712)
C:\Program Files\Windows Sidebar\sidebar.exe (5752)
C:\Users\Denis T\AppData\Local\Akamai\netsession_win.exe (5812)
C:\Program Files (x86)\Garmin\Lifetime Updater\GarminLifetime.exe (5904)
C:\Program Files (x86)\F-Secure\Common\FSM32.EXE (5956)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (6044)
C:\Program Files (x86)\Cobian Backup 11\cbInterface.exe (6076)
C:\Program Files (x86)\OCS Inventory Agent\OcsSystray.exe (5296)
C:\Program Files (x86)\BHODemon 2\BHODemon.exe (5136)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (2404)
C:\Users\Denis T\AppData\Roaming\Dropbox\bin\Dropbox.exe (5440)
C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (5596)
C:\Program Files\iPod\bin\iPodService.exe (1168)
C:\Program Files (x86)\APC\PowerChute Personal Edition\apcsystray.exe (5244)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (5452)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (6272)
C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe (6988)
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclUSBSrv64.exe (7088)
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe (7116)
C:\Windows\SysWOW64\DllHost.exe (6452)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe (380)
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (8044)
C:\Windows\system32\svchost.exe (3756)
C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE (7304)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (4348)
C:\Windows\SysWOW64\ServiceOMC.exe (6824)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (6192)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (776)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (5628)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (6640)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (7268)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (4960)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (3468)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (2012)
C:\Windows\system32\mmc.exe (6976)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (4184)
C:\UsbFix\Go.exe (1228)
C:\Windows\system32\wbem\wmiprvse.exe (984)
C:\Users\Denis T\AppData\Local\Google\Chrome\Application\chrome.exe (3492)
C:\Windows\system32\SearchFilterHost.exe (2684)
C:\Windows\System32\svchost.exe (5216)
################## | à‰léments infectieux |
Présent! C:\Users\DENIST~1\AppData\Local\Temp\fscE068.tmp.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\nitro_pdf_reader_x64.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\preconfig.exe
Présent! C:\Users\DENIST~1\AppData\Local\Temp\xmlUpdater.exe
Présent! D:\AutoEUR6.exe
Présent! P:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent! D:\Autorun.inf
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|svchost.exe
Présent! HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|svchost.exe
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{6a10ec4c-24b5-11e1-b6c2-806e6f6e6963}
Shell\AutoRun\Command = D:\AutoEUR6.exe
Shell\dinstall\Command = D:\DeuSetup.exe
Shell\dreadme\Command = write InfoDate.wri
Shell\finstall\Command = D:\FraSetup.exe
Shell\freadme\Command = write Lisezmoi.wri
Shell\zinstall\Command = D:\EngSetup.exe
Shell\zreadme\Command = write ReadMe.wri
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
