[Résolu]Virus empechant accès disque inconnu par FSecure

Virus empechant accès disque inconnu par FSecure [Résolu] - Virus/Spywares - Windows & Software

Marsh Posté le 22-07-2009 à 17:02:14    

Bonjour à tous !
 
J'espère réellement que vous saurez m'aider car celà fais 2 jours que nous sommes face un un soucis assez ... Pénible ! (Rstons poli).
 
Le cadre :
Nous travaillons sur des Serveur windows server 2003 qui peuvent être virtuel ou non (les 2 sont touchés) mais tous les serveurs n'ont pas le problème.
Les antivirus F-Secure et Sophos ne trouvent rien.
 
Le problème :
Lorsque le server démarre ... tout va bien (c'est déjà celà) ... Puis, les accès disques deviennent très très lent (ils freeze même la machine avec le temps). Je constate également sur le Firewall des échappé sur le port 445 (SMB), ce qui fait que lorsque je souhaite atteindre une machine via un chemin réseau (\\serveur\partage) celà mouline ... Puis rien.
 
Sur le Firewall je vois des machines du LAN qui tente de communiquer vers l'extérieur (des machines que je ne connais pas, et ce n'est pas toujours la même).
 
Donc au bout d'un moment ... En gros ... Plus de lecture réseau via SMB, et même lorsque je suis devant la machine, je ne peux plus du tout consulter le disque dur.
 
Peut être une personne connait un virus avec ces symptomes ?


Message édité par ChaTTon2 le 24-07-2009 à 16:21:31

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 22-07-2009 à 17:02:14   

Reply

Marsh Posté le 23-07-2009 à 07:25:34    

J'avance un peu.
 
Je constate via l'outils TCPVIEW des connexions ISASS.EXE (Beaucoup de connexion) sur certains serveurs ... Et ce sur des ports aléatoire !!!!
 
J'ai beau chercher sur internet je trouve tout et n'importe quoi sur ce ISASS.EXE


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-07-2009 à 07:33:32    

jveux pas dire d'aneries mais si mes souvenirs sont bon isass c'est sasser....je crois à vérifier

Reply

Marsh Posté le 23-07-2009 à 08:12:33    

Pardon dans un premier temps mais le processus est Lsass :) C'est un processus Microsoft qui effectivement a été touché par saseer.
 
J'ai lancer un analyseur (symantec) mais il n'a rien trouvé :)
 
(Tu ne dis pas d'anneries, et même les anneries je les prends :p)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-07-2009 à 08:35:15    

Le virus est également inconnu par sophos.
 
Je met à jour windows en ce moment ... Wait and see


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-07-2009 à 09:44:48    

PFffffffffffffff Je commence à trouver sur pas mal de mes postes me disant avoir le virus :
trjan.win32.byzys.awaw (dénoncé par F-secure)
 
Et c'est le awa qui m'ennuie. Je ne trouve rien là dessus !


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 23-07-2009 à 11:52:09    

Bonjour,
 
 
Est-ce que tu peux lancer une analyse avec le logiciel de diagnostic suivant sur un des ordinateurs infectés :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit...) ! A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
Tutoriel illustré pour t'aider à utiliser RSIT : http://forum-aide-contre-virus.be/tutoriel_RSIT.html

Reply

Marsh Posté le 23-07-2009 à 12:26:31    

Salut Anthony. :)
 
Opération déjà exécutée sans succes, car au lancement du logiciel j'avais une erreur me disant que une varibale paramétrée à 1 était erronée. J'ai également tenté ADWARE, spybot, HiJackThis etc ... Rien d'alarmant dans les logs
 
Mais je pense que l'erreur est plus simple. J'ai pris mon poste il y a peu ... Et je viens de repérer que les poste clients, comme les serveurs sont loin ... Mais alors très loin d'être à jour. (Certains postes ont IE 6 ...)
 
Sur les serveurs il semblerait qu'une simple MAJ + Scan F-secure ou sophos fasse parfaitement l'affaire. Je surveil pour l'instant les serveurs que j'ai "traité", ils plantaient en 1 heures ... Là ca fais 3-4 heures qu'ils tournent parfaitement.
 
Si demain tout va bien je pourrais clore le sujet :)
 
(Et merci de t'être penché sur mon cas, beaucoup de tes posts dans cette section m'on aidé déjà avant de poster)
 
edit : pour les postes client, celà semble aussi suffir .. Mais comme ma prio est les serveurs, je ne me prononce pas sans avoir scanné un poste auparavant)


Message édité par ChaTTon2 le 23-07-2009 à 12:28:13

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 24-07-2009 à 16:20:06    

Le problème est corrigé comme ennoncé dans le poste juste au dessus :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 24-07-2009 à 22:04:09    

Tant mieux ;)
 
N'hésite pas à revenir si besoin.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed