Quel pc contamine mon serveur ?

Le
Turboclick
Bonjour,

reguliermeent, Symantec antivirus corporate detecte et supprime un
fichier executable sur le lecteur partagé de mon serveur de fichier.

Je me dis qu'un des pc du reseau doit être infecté et doit copier cet
executable sur le serveur mais le probleme est que je ne sais pas
quelle méthode adopter pour l'éradiquer.

Quelqu'un aurait-il une solution pour arriver à savoir quel est ce pc
svp ? J'en ai une trentaine et je ne sais pas trop comment faire dans
la mesure ou l'antivirus client des machines qui est également Norton
antivirus ne voit rien.

Merci infiniment pour votre aide.

Click
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ascadix
Le #24525971
Turboclick avait énoncé :
Bonjour,

reguliermeent, Symantec antivirus corporate detecte et supprime un
fichier executable sur le lecteur partagé de mon serveur de fichier.

Je me dis qu'un des pc du reseau doit être infecté et doit copier cet
executable sur le serveur mais le probleme est que je ne sais pas
quelle méthode adopter pour l'éradiquer.

Quelqu'un aurait-il une solution pour arriver à savoir quel est ce pc
svp ? J'en ai une trentaine et je ne sais pas trop comment faire dans
la mesure ou l'antivirus client des machines qui est également Norton
antivirus ne voit rien.

Merci infiniment pour votre aide.

Click



Met un antivirus.

Blague à part ... c'est pas une blague, utiliser Norton, c'est comme
mettre une capote en dentelle avant de tirer un coup !

Bon, dans certaine version du machin, tu peux compléter le rapport en
lui demandant d'identifier la machine source qui dépose une saloperie
sur un partage.

N'oublie pas non plus sur le serveur de désactiver l'option "faire
confiance aux autres machines ...protégées... par NAS/SAC/SEP


Tu peut aussi récupére rle ficheir douteux dans la quarantaine et/ou
configurer le NAVet pour qu'il ne supprime pas, et aller voir le
"propriétaire", comme ça t'aura p'tet le login de l'utilisateur du PC
vérolé.


Il n'en reste pas moins que tu devrais sérieusement envisager de mettre
un antivirus sur tes serveurs et PC, un truc sérieux.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Turboclick
Le #24535431
Salut,

Merci beaucoup de ton aide.

Je te prend au mot.

Que me conseillerais-tu comme antivirus ?

en te remerciant par avance,

Cordialement,


On Thu, 31 May 2012 20:50:00 +0200, Ascadix wrote:

Turboclick avait énoncé :
Bonjour,

reguliermeent, Symantec antivirus corporate detecte et supprime un
fichier executable sur le lecteur partagé de mon serveur de fichier.

Je me dis qu'un des pc du reseau doit être infecté et doit copier cet
executable sur le serveur mais le probleme est que je ne sais pas
quelle méthode adopter pour l'éradiquer.

Quelqu'un aurait-il une solution pour arriver à savoir quel est ce pc
svp ? J'en ai une trentaine et je ne sais pas trop comment faire dans
la mesure ou l'antivirus client des machines qui est également Norton
antivirus ne voit rien.

Merci infiniment pour votre aide.

Click



Met un antivirus.

Blague à part ... c'est pas une blague, utiliser Norton, c'est comme
mettre une capote en dentelle avant de tirer un coup !

Bon, dans certaine version du machin, tu peux compléter le rapport en
lui demandant d'identifier la machine source qui dépose une saloperie
sur un partage.

N'oublie pas non plus sur le serveur de désactiver l'option "faire
confiance aux autres machines ...protégées... par NAS/SAC/SEP


Tu peut aussi récupére rle ficheir douteux dans la quarantaine et/ou
configurer le NAVet pour qu'il ne supprime pas, et aller voir le
"propriétaire", comme ça t'aura p'tet le login de l'utilisateur du PC
vérolé.


Il n'en reste pas moins que tu devrais sérieusement envisager de mettre
un antivirus sur tes serveurs et PC, un truc sérieux.
Pascal
Le #24535471
Bonjour,

reguliermeent, Symantec antivirus corporate detecte et supprime un
fichier executable sur le lecteur partagé de mon serveur de fichier.

Je me dis qu'un des pc du reseau doit être infecté et doit copier cet
executable sur le serveur mais le probleme est que je ne sais pas
quelle méthode adopter pour l'éradiquer.

Quelqu'un aurait-il une solution pour arriver à savoir quel est ce pc
svp ? J'en ai une trentaine et je ne sais pas trop comment faire dans
la mesure ou l'antivirus client des machines qui est également Norton
antivirus ne voit rien.

Merci infiniment pour votre aide.

Click


est t'il possible que ce soit un autorun.inf logé dans un partage ou bien à la
racine d'un des disques d'un pc de ton local qui copie à chaque fois ce virus ?
HD
Le #24535621
Quelqu'un aurait-il une solution pour arriver à savoir quel est ce pc
svp ? J'en ai une trentaine et je ne sais pas trop comment faire dans
la mesure ou l'antivirus client des machines qui est également Norton
antivirus ne voit rien.




Mets un autorun.inf sur un partage réseau. Fais le tour de tes PC et tente
sur chacun d'eux de copier ce fichier à la racine du C:, celui qui sera
infecté t'indiquera qu'il a déjà un autorun.inf à sa racine... ce que l'on
ne doit jamais trouvé à la racine d'un disque dur système.

Bien sûr, ceci fonctionne dans le cas où le virus utilise un fichier
autorun.inf pour se lancer (genre de virus qui se propage principalement par
les clés usb). Si c'est le cas, il y'a la possibilité de "vacciner" tous les
postes avec "panda usb vaccine"... ce n'est pas un antivirus mais il permet
de mettre en place une sécurité... de plus il est gratuit.

Bon, dans certaine version du machin, tu peux compléter le rapport en lui
demandant d'identifier la machine source qui dépose une saloperie sur un
partage.


Sur beaucoup de système il y'a la possibilité effectivement d'avoir des logs
sur des répertoires définis.

N'oublie pas non plus sur le serveur de désactiver l'option "faire
confiance aux autres machines ...protégées... par NAS/SAC/SEP


Et éventuellement d'empêcher l'écriture sur la racine du partage... en ne
laissant que l'écriture sur les sous-dossiers.

@+
HD
HD
Le #24535611
Mets un autorun.inf sur un partage réseau. Fais le tour de tes PC et tente
sur chacun d'eux de copier ce fichier à la racine du C:, celui qui sera
infecté t'indiquera qu'il a déjà un autorun.inf à sa racine... ce que l'on
ne doit jamais trouvé à la racine d'un disque dur système.


Si je fais passer par une copie de fichiers c'est surtout que si le virus a
planqué l'autorun.inf à la racine du C: et qu'il l'a mis en attribut
système, il y'a des risques pour qu'il ai bouzillé également la possibilité
d'afficher les fichiers cachés et/ou systèmes. D'ailleurs, un PC qui
n'affiche pas les fichiers cachés ou systèmes lorsque l'on a pourtant coché
qu'il fallait les affichés doit être considéré comme étant probablement
infecté par un virus. C'est l'un des symptômes possible d'une infection.

@+
HD
Ascadix
Le #24535821
Dans son message précédent, Turboclick a écrit :
Salut,

Merci beaucoup de ton aide.

Je te prend au mot.

Que me conseillerais-tu comme antivirus ?

en te remerciant par avance,

Cordialement,





L'antivirus parfait n'existe pas, à toi de te faire un "cahier des
charges" et voir ce que proposent les différents éditeurs ..puis
choisir.


Perso, je pense qu'un bon AV doit avoir les caractéristiques suivantes:

- Trés bonne détection
- Bonne capacité de nettoyage (pas rester planter en cas de pb, car il
y aura toujours des trucs qui arriveront à passer à travers à un
moment)
- Bonne administrabilité, ça doit être simple et fiable à gérer sur un
parc, pas comme le NAV ou t'as toujours 10-15 % de machine à la
ramasse, sans motifs/explication et pire sans alerte nette.
- Impact performance réduit et gérable ( faut pouvoir choisir finement
entre perf et protection. )
- Impact stabilité null, ça ne doit jamais planter.



Avec ça, fait des essais, trouve des infos ...



Perso, ça fait 10-15 ans que je reviens toujours vers TrendMicro, ils
ne sont pas trés connus du grand public, mais coté pro, t'as toute une
gamme de produits extrémement performants.

Bon, en contrepartie, ils sont plutot cher ..mais bon, même pour les
comptables, quand tu t'es fait pourir ton SI par une vérolle, tu
regarde un peu plus intelligement le coup d'apprés le rapport entre le
coup des licences et le coup d'un arret de production de l'usine..

T'as de quoi protéger Windwos / Novell / Linux, les passerelles
mails/web, les serveur applicatif, fichiers, etc ... à peu prés tous
les points de ton SI.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Publicité
Poster une réponse
Anonyme