Verrouillage intempestif comptes NT + fichier suspens "svchos.exe" loadé
2 réponses
istejoke
Bonjour,
Nous avons un souci depuis quelques jours sur l'active directory 2000.
Symptôme :
Les comptes NT se verrouillent aléatoirement en masse. Après recherche dans
les logs du serveur : une machine 2000 est en cause.
On présument un cheval de troie genre Gaobot.... On a trouvé sur son disque
un fichier "msgfix.exe"...Suppression...Mais cela recommence.
On a trouve un fichier suspect 4 fois sur le disque aujourd'hui =>
"svchos.exe" (il n'y a pas de faute...) sous c:\, system32 et sous 2
profils...
Est-ce que quelqu'un a une idée du virus ou trojan ou autre .... ?
Nous avons Norton Corporate Edition 7.5 et nous avons passé ad-aware 6.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Philippe Freddi
Bonjour,
essayez également la piste des audits, en plaçant un audit sur les contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine modifie l'AD.
GPO stratégie de groupe->configuration ordinateur->paramètres de sécurité->stratégies locales->stratégie d'audit puis auditez, tous les événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de sécurité.
Essayez également la piste des patchs de sécurité via windows update .
Bon courage
Philippe
Bonjour,
essayez également la piste des audits, en plaçant un audit sur les
contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine
modifie l'AD.
GPO
stratégie de groupe->configuration ordinateur->paramètres de
sécurité->stratégies locales->stratégie d'audit puis auditez, tous les
événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de
sécurité.
Essayez également la piste des patchs de sécurité via windows update .
essayez également la piste des audits, en plaçant un audit sur les contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine modifie l'AD.
GPO stratégie de groupe->configuration ordinateur->paramètres de sécurité->stratégies locales->stratégie d'audit puis auditez, tous les événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de sécurité.
Essayez également la piste des patchs de sécurité via windows update .
Bon courage
Philippe
Itsejoke
"Philippe Freddi" a écrit dans le message de news:
Bonjour,
essayez également la piste des audits, en plaçant un audit sur les contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine modifie l'AD.
GPO stratégie de groupe->configuration ordinateur->paramètres de sécurité->stratégies locales->stratégie d'audit puis auditez, tous les événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de sécurité.
Essayez également la piste des patchs de sécurité via windows update .
Bon courage
Philippe
Bonsoir Philippe et merci de votre réponse, Au niveau d'audit, je sais quelle machine qui pose problème.
Je vais essayer MBSA pour voir effectivement les trous de sécu.
Le poste est "a priori" à jour...
En tout cas, c'est une sacrée saloprie !
A+ RV
"Philippe Freddi" <philippe@pfreddi.ch> a écrit dans le message de
news:OH6PDR1lEHA.1672@TK2MSFTNGP14.phx.gbl...
Bonjour,
essayez également la piste des audits, en plaçant un audit sur les
contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine
modifie l'AD.
GPO
stratégie de groupe->configuration ordinateur->paramètres de
sécurité->stratégies locales->stratégie d'audit puis auditez, tous les
événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de
sécurité.
Essayez également la piste des patchs de sécurité via windows update .
Bon courage
Philippe
Bonsoir Philippe et merci de votre réponse,
Au niveau d'audit, je sais quelle machine qui pose problème.
Je vais essayer MBSA pour voir effectivement les trous de sécu.
"Philippe Freddi" a écrit dans le message de news:
Bonjour,
essayez également la piste des audits, en plaçant un audit sur les contrôleurs de domaines via gpo, pour voir quelle utilisateur et machine modifie l'AD.
GPO stratégie de groupe->configuration ordinateur->paramètres de sécurité->stratégies locales->stratégie d'audit puis auditez, tous les événements en relation avec les comptes utilisateurs.
Essayez MBSA qui pourrait vous aider à voir s'il y a des trous évidents de sécurité.
Essayez également la piste des patchs de sécurité via windows update .
Bon courage
Philippe
Bonsoir Philippe et merci de votre réponse, Au niveau d'audit, je sais quelle machine qui pose problème.
Je vais essayer MBSA pour voir effectivement les trous de sécu.
