Kaspersky 5 serveur: MAJ impossible. help!

Kaspersky 5 serveur: MAJ impossible. help! - Virus/Spywares - Windows & Software

Marsh Posté le 08-02-2010 à 09:46:42    

Salut à tous
J'éspère que je poste dans la bonne rubrique , ça concerne autant de la secu que du reseau
 
Il s'agit d'un reseau de 15 postes, avec un controleur de domaine sous W2000 server
 
 
J'ai un petit blem qui commence à m'inquieter
Je sais pas si les faits son lies mais ça couille sur mon reseau
 
Il y'a dix jours un pc (le seul sous avast et qui n'est pas inegré au domaine) a chopé un virus (detecté par avast dans system32/x)
dur à  virer , alors formatage
Les autres pc sont raccordés au domaine et sous karspersky
karspesky est installé sur le serveur et distribue les maj sur les clients
 
Le blem c'est que depuis 10 jours les maj ne se font plus sur le serveur , donc plus sur les clients
J'ai essayé de forcer la maj de karspersky sur le serveur : impossible , il me met
ça "Erreur de résolution de nom DNS."
 
et du coup , je constate un truc très étrange sur le serveur (et sur un autre pc du domaine)
Je n'arrive plus a aller sur les sites de microsoft et de karspersky: impossible d'afficher la page
ça ne me le fait que sur ces deux sites ...comme par hasard
 
Alors les amis: ça pue hein ?
Je precise que j'ai pas les connaissances d'un vrai admin reseau et que je me debrouille tant bien que mal
Merci pour votre aide


Message édité par ment@l le 08-02-2010 à 10:25:01
Reply

Marsh Posté le 08-02-2010 à 09:46:42   

Reply

Marsh Posté le 08-02-2010 à 22:29:55    

Salut,
 
On peut toujours tenter un diagnostic du serveur et par la suite du pc suspect que je te conseil d'isoler pour le moment du réseau.
 
Essayes ceci sur le serveur :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
A savoir que certaines infections donnent ce genre de symptômes.

Reply

Marsh Posté le 09-02-2010 à 09:11:14    

Salut l'ami
voici le lien après le scan du serveur
http://www.cijoint.fr/cjlink.php?f [...] ghQTv5.txt  
 
Fais ch** je pense avoir plisieurs postes d'infecté. J'éspère que le serveur est clean et que je pourrais netoyer ce reseau
en tout cas merci d'avance pour ton aide

Reply

Marsh Posté le 09-02-2010 à 20:03:23    

Salut,
 
Passe ce programme généraliste sur ton serveur :
 

  • Télécharge Malwarebytes
  • Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  • Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc-notes... Héberges ce rapport sur Ci-joint


  • Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


 
Je ne vois rien de suspect pour le moment, mais les rapports ne montrent pas forcément tout.  
 
Si tu peux me détailler l'ensemble des symptômes que tu rencontre sur ton réseau.

Reply

Marsh Posté le 11-02-2010 à 08:41:34    


 
Tout d'abord un grand merci pour ton aide malwarebleach
ça me rassure un peu pour le serveur
Je passerai un scan du logiciel
Pour ce qui est des symptomes, c'est surtout :
le serveur qui ne px plus mettre a jour les definitions de virus car:
le serveur et certains autres postes ne peuvent plus acceder a certains sites tels que ceux de microsoft, kaspersky, nod32...
En ce moment je passe du live cd antivirus ds tout les sens pour essayer de calmer le jeu
mais je reviendrais certainement soliciter ta science
encore merci

Reply

Marsh Posté le 11-02-2010 à 19:21:27    

Salut,
 
il conviendrait peut être de nettoyer tes fichiers hosts, je ne sais pas si tu les as édités pour voir ce qui s'y passe :
 
 

  • Télécharge RHosts (de S!Ri)
  • Double clique dessus pour l'exécuter
  • Clique sur "Restore original Hosts"  (il ne se passe rien de visible, c'est normal)
  • Pour finir, fais redémarrer l'ordinateur.

   
 
Pour vista et sept :
 
Utiliser le clique droit ==> exécuter en tant qu'administrateur sur l'icône du programme
 

  • Télécharge MyHosts.exe (de jeanmimigab) sur ton bureau.
  • Fais un double clic sur l'icône du programme pour le lancer.
  • Un rapport va s'ouvrir sur bloc-notes.
  • Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:\MyHosts.txt


 
Pour vérifier que ton réseau n'est pas victime de conficker rends toi à cette adresse pour faire le test d'image ==> http://consultaide.spam.com/rubriq [...] 55935.html
 
Il serait souhaitable de vacciner les supports amovibles sur une station blanche avant de les autoriser à être connectés sur les pcs de ton réseau, si tu veux des infos....
 
Si tes scan avec malwarebytes sont positifs, n'hésites pas à revenir sur ce thread, j'aurais les notifications de réponse sur ma boite mail.
 
Bon courage.

Reply

Marsh Posté le 12-02-2010 à 14:07:40    

Encore merci
Non seulement c'est un sacré coup de main mais en plus c'est très interessant, tout ça
Juste une question de newb de la secu : une station blanche, c'est une machine certifiée non infectée et non raccordée au reseau ?

Reply

Marsh Posté le 12-02-2010 à 14:24:02    

Ai ai...
J'ai utilisé l'outil pour les fichiers host
mais après redemarrage c'est pareil
beaucoup de sites innaccessibles, dont celui de consultaide :(
impossible de mettre a jour malwerbytes (code erreur 732) je vais essayer de le passer quand meme

Reply

Marsh Posté le 12-02-2010 à 14:32:03    

voila le contenu de mon fichier host, me semble normal
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x
 
127.0.0.1       localhost

Reply

Marsh Posté le 12-02-2010 à 16:49:12    

Salut,
 
Ton fichier hosts et propre.
 
Que donne le test d'image, une infection comme conficker bloque les mises à jour des programmes de sécurité et de microsoft, et aussi le téléchargement des images HTML par les navigateurs.
 
As tu passé malwarebytes et si oui qu'est ce que ça donne ?
 
Peux tu faire ce scan stp =
 
    Sous VISTA
 
    ==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
 
    * Va dans démarrer puis panneau de configuration
    * Double Clique sur l'icône "Comptes d'utilisateurs"
    * Clique ensuite sur désactiver et valide.
 
    ---------------------------------------------------------------------------------
 
 
    Option 1 - Recherche :
 

  • Télécharge Smitfraudfix et enregistre le sur le bureau
  • Ensuite double clique sur smitfraudfix puis exécuter
  • Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.


    (attention : N'utilises pas l'option 2 si je ne te l'ai pas demandé !!)
 
   

  • envoies le lien du rapport dans la réponse.

   
    Voici un tutoriel sonore et animé : http://pagesperso-orange.fr/rginfo [...] audfix.htm
 
 
 
    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
    cet utilitaire pourrait arrêter des logiciels de sécurité.)

 
et celui ci :
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    • Héberge le rapport et poste le lien correspondant dans ta prochaine réponse.

Reply

Marsh Posté le 12-02-2010 à 16:49:12   

Reply

Marsh Posté le 12-02-2010 à 17:39:08    

Pas pu tester l'image , il me bloque le site
Pour ce qui est du serveur il est sous W2000 server
Après le scan de malwarbytes, seul un vieux trojan à été chopé dans un vieux dossier de sauvegarde d'un ancien pc, l'ai supprimé.Mais je pense pas que ce soit ça.
Après ce week end , je tente tes autres soluces
encore merci malwarebleach et passe un bon week end

Reply

Marsh Posté le 04-03-2010 à 14:08:51    

De retour pour mon problème de  virus , je pensais l'avoir reglé, mais....
C'est probablement conflicker
J'ai trouvé un utilitaire de trendmicro dcleaner, qui l'a detecté et netoyé. J'ai aussi passé le fix de microsoft pour toutes les machines a risque
je l'ai passé dcleaner sur le serveur et miracle : j'arrive a acceder aux site de karspersky et microsoft, l'antivirus se met a jour : youpi!
Mais de retour des vacances....les clients ne se mettent pas a jour, je verifie le serveur ...c'est reparti. Pas de maj du serveur, pas d'accés au sites de MS ou karsperky
Marre de chez marre...

Reply

Marsh Posté le 04-03-2010 à 15:38:04    

Bonjour,
 
 
Juste un mot pour préciser plusieurs choses (je pense que malwarebleach va revenir). Si c'est bien Conficker, il faut désinfecter proprement et complètement, sinon tu ne t'en sortiras jamais...
 
Conficker peut se diffuser par réseau (il faut isoler les ordinateurs infectés), par disque amovible (ils doivent tous être désinfectés et vaccinés) et par une faille de Windows qui date de 2008 (si le patch correspondant n'a pas été installé, il faut le faire en priorité).
 
Voir cette page : http://www.commentcamarche.net/faq [...] nadup-kido
 
 
Une fois ces préliminaires effectués :
- S'il n'y a pas trop d'ordinateurs infectés, on peut désinfecter tous les ordinateurs manuellement avec un script Combofix. Pour ça, il faut que tu postes un rapport ici.
- S'il y en a beaucoup, il vaut mieux utiliser un outil qui le fera automatiquement (mais tous ne sont pas aussi efficaces...). Si tu choisis cette voie là, je te conseille d'essayer cet outil.

Reply

Marsh Posté le 04-03-2010 à 17:10:07    


Merci l'ami
 
J'ai reussi a nettoyer quelques becanes. Mais pour le serveur , c'est une autre affaire car apparement, ce qui craint , c'est que MS n'a pas prevu de correctif pour W2K server.Tous les OS MS...sauf lui. Donc je sais pas comment le protéger ce fichu serveur.  :cry:

Reply

Marsh Posté le 04-03-2010 à 18:57:37    

Ca parait bizarre : les mises à jour de sécurité de Win2000 doivent être dispo jusqu'en Juillet 2010. Il devrait donc y en avoir une.

Reply

Marsh Posté le 04-03-2010 à 21:17:58    

http://www.microsoft.com/technet/s [...] 8-067.mspx
 
Je suis aussi surpris.Y' en a une pour w2k, mais pas w2k server.  Ou je lis mal. :(


Message édité par ment@l le 04-03-2010 à 21:19:08
Reply

Marsh Posté le 05-03-2010 à 10:11:45    

Oui, Windows 2000...et non pas Windows 2000 Pro. Ca concerne donc toutes les éditions de Win2000.

Reply

Marsh Posté le 05-03-2010 à 11:07:42    

Ah bon !
donc je peux prendre celui pour Microsoft Windows 2000 Service Pack 4 ?
cool , je tente de suite
j'ai aussi detecté deux infection sur des clients que j'ai deconnecté du reseau
merci , je vais essayer de passer la maj sur le serveur

Reply

Marsh Posté le 05-03-2010 à 11:25:35    

Assure-toi aussi d'être beaucoup plus strict avec tes users, parce que ramener du warez sur clés usb ou voir des sites de c*l sur internet, c'est pas ce qui se fait de mieux en matière de sécurité dans un réseau d'entreprise :/
 
Tu as songé à migrer le domaine vers du 2k3/2k8 prochainement ? :whistle:

Message cité 1 fois
Message édité par Profil supprimé le 05-03-2010 à 12:35:32
Reply

Marsh Posté le 05-03-2010 à 12:08:36    

+1 Prévoit une évolution rapidement : les mises à jour de sécurité s'arrêtent en Juillet, et là tu risques de commencer à avoir de sérieux problèmes si de nouvelles saloperies visent cet OS.

Reply

Marsh Posté le 05-03-2010 à 14:57:01    


 
Ce genre de trucs arrivent systematiquement par du warez ou du porn ?
 
En tout cas ça va mieux  
j'ai trouvé quelques vieilles machines en W2k qui etaient egalement infectées
j'ai mis le patch sur le serveur
 
Pour la migration...sur un autre reseau j'ai acheté un serveur sous W2008 server. Si je m'en sort bien, je pen serai à une migration de l'autre
 
En tout cas les amis, bon c'est pas encore tout a fait fini mais je le sens bien et je vous suis sacrément redevable. Un immense merci pour votre aide et votre accompagnement

Reply

Marsh Posté le 05-03-2010 à 17:14:21    

ment@l a écrit :


 
Ce genre de trucs arrivent systematiquement par du warez ou du porn ?
 


 
Ca, il n'y a que toi qui peut le savoir en plus de tes users :D
 
Tes users appartiennent bien au groupe local utilisateurs et non au groupe local administrateurs de leur machine ?

Message cité 1 fois
Message édité par Profil supprimé le 05-03-2010 à 17:14:47
Reply

Marsh Posté le 05-03-2010 à 18:04:10    

ment@l a écrit :

Ce genre de trucs arrivent systematiquement par du warez ou du porn ?


Conficker n'a aucun rapport avec ça, les moyens de propagation sont cités plus haut : une faille de Windows particulière et les disques amovibles non-vaccinés. Cette infection peut aussi se diffuser à l'intérieur d'un réseau ouvert.
Par contre c'est vrai qu'il y a plein d'infections qui viennent des cracks, des sites pornos etc...
 
 
 :hello:

Reply

Marsh Posté le 05-03-2010 à 19:00:30    


Niveau internet j'utilise open dns pour le filtrage. Je trouve que c'est pratique et plutot efficace. Par contre les users utilisent pas mal leur clefs usb.  
 
Pour les groupes, la plupart sont en utilisateurs, mais sur ts les postes administratifs (secret, compta , etc) je suis tenu d'utiliser un soft qui m'impose que l'utilisateur soit admin de sa machine. Mais bon...ces postes j'ai confiance, c'est plutot des gens serieux  ;)  
 
Enfin, je suis tt de meme content, il reste une machine ou deux que j'ai isolé et que je verrai lundi , mais je crois ...j'espère...je sent...que cette saloperie de ver m'a lâché les fesses  
 
Bon week end , les amis, et encore merci

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed