infection par W32.fakerecy

[Roncevaux]

Bonjour,

 

J'ai appris par mes ex-collègues (j'étais Prof dans un Collège) et ma remplaçante pour la gestion du parc info, que notre serveur Windows2003 "protégé" (!) par Norton, régulièrement mis à jour, était infecté par le virus w32.fakerecy...

Pour les instants quelques postes en win200 pro sont aussi touchés, mais apparemment ni les XP, ni les W98...

Le message reçu par les stations w2000 est à qq ch près :

nom_du_serveur alerte 192.168.3.2 qu'il y a une menace découverte :

w32.fakerecy in ctfmon.exe...

Ce ver s'attrape comment ?

 

Perso, je n'ai jamais été confronté à un virus sur un serveur...

Alors, pour ma "petite camarade" qui se fait bien du souci, je fais appel à vos lumières : comment traite-t-on un tel problème sur un serveur.

Je sais que, durant le traitement, il faudra supprimer physiquement l'accès au serveur, nettoyer aussi les postes clients et rétablir l'accès réseau après, mais c'est bien tout.

Il faut savoir que le Norton est fourni de manière académique : accord de partenariat et que probablement, il ne sera pas possible de le supprimer définitivement.

 

Merci d'avance de tout conseil que vous pourriez prodiguer...

 

Cordialement,

 

A vous lire

Modifié le 17 octobre 2007 par Roncevaux

[Roncevaux]

Bonjour à tous,

 

Depuis mon premier post, à cette heure hélas sans réponse, j'ai essayé de me renseigner à droite à gauche :

- Cftmon.exe serait un processus lié à MicroSoft Office... Est-ce à dire que le ver w32.fakerecy est arrivé via un fichier Word infecté ?

- Le ver se propage via les disques amovibles et mappés, donc pas par PJ dans un mél ? Serait-ce un collègue qui l'aurait introduit via sa clé USB et un document word modifié sur place? Il y a encore quelques Word (légaux) qui traînent sur quelques anciennes machines (les neuves sont systématiquement livrées avec OOo).

- La méthode d'éradication préconisée par Symantec passe, sans surprise, par le "mode sans échec" : dans le cas d'un serveur, cela pose-t-il un problème ? y a-t-il des précautions particulières à observer ?

 

Quelqu'un a-t-il une idée ?

 

Je ne peux que redire que tout conseil, de préférence avisé , sera le bievenu...

 

Merci d'avance.

[Nicolas Coolman]

Bonjour roncevaux,

 

En attendant qu'un helper de l'équipe sécurité te prenne en charge,

 

Télécharge HijackThis

• Crée un nouveau dossier à la racine de ton disque dur :
  C:\HijackThis
  
• Double-clique sur poste de travail, double-clique sur l'icone de C.
  
• Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"
  
• Nomme le "HijackThis".
  
• Décompresse le programme précédemment téléchargé dans ce nouveau dossier HijackThis.
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
  
• Renomme le fichier HijackThis.exe en scanner.exe
  
• Exécute HijackThis et clique sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\HijackThis (penses à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de tes rapports ex : HijackThis 1, HijackThis 2...)
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  
• Ouvre le rapport HijackThis précédemment sauvegardé et copie/colle-le dans ta prochaine réponse
  

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  

[Roncevaux]

Bonjour coolman,

 

 

Sympa à toi de répondre...

 

Je veux juste re-préciser :

- Mes machines perso ne sont pas infectées : j'agis en quelque sorte comme intermédiaire pour une collègue et copine qui a pris ma suite,

- J'étais, en effet, jusqu'en juin, prof et responsable informatique d'un Collège. Ce sont le serveur de mon ex-Collège et certaines machines qui le sont. Si j'ai déjà été confronté à des pbs viraux, jamais par contre sur un serveur (Win 2003). D'où mes interrogations...

- Ledit serveur est équipé avec Norton qui était censé (!) garantir notre sécurité... Nous n'avons pas eu le choix : c'est un cahier des charges académique.

 

Donc, pour ce que tu demandes, qu'apparemment serveur ou pas, Norton ou pas, la procédure que tu décris est, je pense, applicable

Cela précisé, je transmets ta réponse à ma collègue, qui je l'espère, relèvera ses méls avant lundi...

Ceci pour dire qu'au cas où, ne vous inquiétez pas, rien ne serait fait d'ici là. Maintenant, j'ignore ce qu'elle a fait depuis mercredi matin, à part isoler le serveur du réseau, prévenir les collègues, et installer antivir sur tous les postes "non pourvus" de Norton.

 

Merci encore pour ma petite camarade et mes ex-collègues,

 

@+

 

PS : HijackThis 1.99 ou le suivant (j'ai les deux)... ?

Modifié le 19 octobre 2007 par Roncevaux