W32.Downadup nous met au chomage technique! (besoin aide deploiement)

W32.Downadup nous met au chomage technique! (besoin aide deploiement) - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-11-2008 à 17:52:42    

Bonjour à tous,
 
Un tout nouveau virus a débarqué sur nos sites et affectent tous nos PC sous Windows. Même ceux qui sont en SP3 sous XP.
En effet si vous n'avez pas le dernier patch WindowsXP-KB958644-x86-FRA.exe, il scanne le réseau et vous empeche de retirer vos mails, lancer internet et même notre ERP (puisqu'elle marche en réseau).
Ce vers utilise svchost.exe ce qui le rend difficile à l'arreter. Il scanne le port tcp/445 (voir la commande netstat -an)
 
Nous avons enfin trouver une procedure mais c'est super long alors je cherche à acceler le mouvement par deploiement et scripts.
 
Il faut:
-Lancer process explorer.exe (un outil de sysinternal) et "killer" celui qui s'appelle svchost (y'en a plusieurs mais regarder dans les proprietes celui qui a en argument netsvcs).
-Mettre à jours les definitions virus de cette semaine.
-Mettre le patch WindowsXP-KB958644-x86-FRA.exe.
-Analyser c:\documents & settings et c:\windows\system32. (Normalement il trouve une dll et un fichier).
-Rebooter.
 
Le truc qui est chaint c'est que je ne sais pas comment deployer le WindowsXP-KB958644-x86-FRA.exe sans serveur de mise à jours (on la stocker sur les serveurs de fichiers et on installe manuellement).
 
Y'a t'il moyen a l'aide de la commande runas de lancer une installation silencieuse de ce patch et egallement de la mise à jours de norton (un exe qui contient les definitions). Les gens ne sont pas admin de leur poste.
Exemple de definition virus:
http://www.symantec.com/business/s [...] ?gid=savce
(on a norton corp 8)
 
D'avance merci.
 
A mon avis ca va etre la cata dans de nbrses boites car je doute fort que tous vos pc soit au derniers niveaux de patchs MS.
 
PS= J'espere que ce post servira a qqun.


Message édité par lecharcutierdelinux le 28-11-2008 à 21:37:24
Reply

Marsh Posté le 26-11-2008 à 17:52:42   

Reply

Marsh Posté le 27-11-2008 à 23:27:28    

Bonjour,
 
Content de voir qu'on est pas seuls dans la galère.
 
Depuis lundi on déprime dans ma boite.  :pt1cable:  
 
Déjà, l'antivirus NOD32 trouve pas encore notre virus même scanner la dll qui pose problème y voit rien, peut-être que c'est une variante.
Ca crée et recrée des services avec des nom aléatoires attaché à des dll aléatoire.
Ca fait bien bugger le réseau, les partages, mappings, imprimantes au fait ça mets le Service Serveur tout simplement à l'arrêt...
 
Puis j'ai vu la page sur le site Norton....  :cry:  
 
Content aussi d'apprendre qu'on vient de se choper une crasse qui vient à peine de sortir puisque la découverte de la faille Windows date d'octobre...  :fou:  
 
Bref la fin de semaine arrive et on tout au plus une solution à la pour virer la dll comme une brute et empecher qu'elle revienne avec le SP3 + patch mais bon passer sur plus de 300 PC...
 
C'est clair que s'il y a solution pour déployer par le réseau toute la manipulation, je suis à l'écoute.

Reply

Marsh Posté le 28-11-2008 à 10:00:44    

Bonjour à vous,
 
Pour installer cette MAJ sur tous vos postes, pourquoi ne pas simplement installer un serveur WSUS (même temporaire avec une licence serveur d'essai)? Cela permettrait d'éviter de passer sur chaque poste.
Autrement, voici deux liens qui expliquent la procédure d'instal silencieuse:
http://support.microsoft.com/defau [...] -US;262841
http://support.microsoft.com/defau [...] -us;824687
En résumé:
patchname.exe /quiet /passive /norestart
 
Sinon juste une chose qui m'échappe, mais qui malheureusement ne vous aidera pas trop : cette maj windows a été annoncée partout comme étant extrêmement critique, même Microsoft a dérogé à sa règle des uptades mensuelles rien que pour cette faille. Donc pourquoi ne pas l'avoir installée lors de sa sortie?
De plus, vous n'avez pas de serveur de mise à jour WSUS, cela signifie donc que soit vous êtes en update automatique, soit vous ne faites pas les updates? Si c'est le premier cas, la MAJ aurait du s'installer, et si c'est le second cas, est-ce bien raisonnable de ne pas faire les MAJ Windows en entreprise??
Je suis contient que cette remarque ne va pas régler votre problème dans l'immédiat, mais elle pourra surement vous éviter d'autres soucis à l'avenir.
Bon courage en tout cas.

Reply

Marsh Posté le 28-11-2008 à 10:02:55    

Bonjour,
Le patch peut être déployé dans un script de demarrage avec les options /quiet et /norestart (pour eviter de redemarrer le pc à ala fin de la mise à jour)
WindowsXP-KB958644-x86-FRA /quiet /norestart
à condition d'avoir XP SP2 au minimun d'installé !
 
Bon courage

Reply

Marsh Posté le 28-11-2008 à 21:36:15    

Content de voir que moi aussi je ne suis pas le seul.
C'est clair que si on avait un serveur WSUS ça aurait été mieux mais bon c'est trop tard...
 
Concernant le script d'ouverture de session, je suppose qu'il faut etre admin pour l'installer? Un utilisateur non-admin qui demarre ne pourra pas l'installer?
 


Message édité par lecharcutierdelinux le 28-11-2008 à 21:37:38
Reply

Marsh Posté le 29-11-2008 à 06:15:57    

Une question : Vous n'avez pas de pare feu sur les PC en interne ? Un pare feu qui contrôlerait le checksum de chaque application sortante ?
 
Si j'ai bien compris, un poste a été contaminé en interne par mail (par exemple) et il se répand sur le réseau, c'est ça ? Il remplace le fichier svchost ?


---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 30-11-2008 à 14:24:02    

Non pas de pare-feu interne car ça bloque l'administration à distance.

Reply

Marsh Posté le 30-11-2008 à 20:19:07    

Un parefeu en interne est loin d'etre indispensable, meme si les fournisseurs sécu tendent à y pousser.
De plus, dans le cas de ce virus (ou plutot ver, mais bon, c'est pas l'objet), un FW est inutile, puisque le ver exploite une faille de sécu dans le service server (le fameux porocess svhost.exe) qui aurait été ouvert dans le FW.
"un parefeu qui controlerait le checksum de chaque applic sortante"
gni ??


Message édité par trictrac le 30-11-2008 à 20:19:24
Reply

Marsh Posté le 30-11-2008 à 20:23:28    

les pare feu perso, génèrent un MD5/SHA1 de l'exe qui ouvre le port. Si celui-ci change, plus de connexion.
Ca permet d'éviter qu'un virus/autre remplace une appli autorisée et se voit alors un accès au net.
 
Mais bon, c'est un peu chiant, pour chaque mise à jour et ça protège pas toutes les DLL sous-jacente :o

Reply

Marsh Posté le 30-11-2008 à 20:23:28   

Reply

Marsh Posté le 30-11-2008 à 22:22:51    

Pour pouvoir partager des dossiers, des imprimantes, être dans un domaine, ... le firewall doit pouvoir laisser passer en entrée/sortie le protocole RPC sur les ports 445 et 139.  
Même avec un simple firewall installé, sur un réseau local de confiance, un système d'exploitation windows non à jour est vulnérable à ce type d'attaque.
 
Néanmoins, comme le dit Je@nb un bon firewall reste quand même utile pour les autres types d'attaques sur un réseau local de confiance par prévention.
(évite les PC avec des IP non autorisés, analyse le protocole s'il est conforme, attaque DDos, verif. cheksum, empreintes logiciels, ...) juste le minimum ...
 
Certains anti-virus à jour peuvent le "freiner" même si le système d'exploitation ne l'était pas après plusieurs jours.
 
On ne se demande pas "Quand" mais plutôt "Comment" vais-je réparer en un minimum de temps à toutes éventualités.
Peut-être faut-il revoir un minimum sa politique de sécurité ?
 
IDS, filtrages, anti-virus, serveur WSUS, ... pour un minimum de prévention ...
Oui, pas facile à entendre ...


Message édité par mmc le 30-11-2008 à 22:54:15
Reply

Marsh Posté le 01-12-2008 à 05:20:13    

Il n'y a pas de sécurité efficace à 100% dans le cadre de l'utilisation de micro ordinateurs sur un réseau d'Ent°.
 
Après il faut voir si l'admin est bon (si il existe déjà :lol:), et quel niveau de risque il est prêt à courir, quels moyens on lui donne, tant matériels que politique. Mais je rejoins globalement Je@nb et mmc.
 
Perso, sur les réseaux que j'ai installé, c'était un nt serveur tse, avec des postes terminaux graphiques simples.
 
Après, il y a des cas où ce n'est pas possible, on a besoin de micros, alors il faut sécuriser à fond. Pas de netbios qui circule sur les réseaux pour commencer, un simple partage de 445, adresse ip en dur associée par leur MACs, des restrictions drastiques de communication (en gros, tout ce qui n'est pas explicitement autorisé est strictement interdit), un masque réduit au stricte nécessaire, des droits très limités sur chaque poste, pas d'installation d'applications tierces, un contrôle régulier des postes et de leurs historiques, et programmes, etc.
 
Enfin bon, j'ai toujours été paranoïaque en sécurité réseau, et pour moi, un pc même en interne doit absolument avoir un FW ! Enfin je pense que la sécurité d'un réseau d'une entreprise est un job à part entière.  
 
Ne pas en être conscient c'est forcément se diriger à plus ou moins long terme à un crash qui pourrait être fatal à la société :)
 
C'est pareil en ce qui concerne la politique de sauvegarde des données.
 
Je veux pas critiquer, hein, je ne connais pas les besoins et les nécessités des ENT° concernées et ça fait un bout de temps que j'ai quitté le domaine de la sécurité des réseaux informatiques, mais, comme dirait ma petite dernière : "feusé gaffe !!!"
 
C'est un très gros boulot si ça doit être fait de manière correcte, et beaucoup d'ENT° ne se rendent pas compte à quel point elles sont dépendantes de leur outil informatique. Le prix à payer pour une bonne sécurisation est élevé, mais c'est un investissement. Il faut gérer cela, pas juste penser que ça n'arrive qu'aux autres, et je le redis, l'informatique dans une société, c'est un travail à part entière. Mais il faut y penser avant ;)
 
cordialement.


---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 01-12-2008 à 10:46:42    

Sur le principe, je suis plus que d'accord.
La gestion de la sécurité informatique est primordiale dans une société. Tu parles de politique de backup, et la je t'appuies 3x.
Et effectivement, "la sécurité n'est pas un objectif, c'est un processus" ...
Par contre, sur les moyens, je ne peux pas être d'accord avec toi.
Oui, dans une PME de 10 PC c'est gérable. Mais dans un vrai réseau, tu ne pourras jamais te permettre ce genre de choses (IP et MAC statiques .. bonjours la flexibilité). Ca me fait penser aux pseudo paranos qui sécurisent le WIFI avec filtrage MAC et tout, parce que ca a l'air super dur, alors que c'est pipo.
Pas de netbios, c'est normal.
tout en TSE ?? bonjour le serveur derrière. FW sur les workstation c'est pas indispensable, et je le redis, inutile dans ce cas précis.
Le problème ici est que quelqu'un a pu connecter son PC perso au réseau, et que ce PC avait le ver. C'est donc plus au niveau du controle d'accès qu'il faut agir....
Mais bon, le débat sur la sécu des réseaux est eternel.
quelle que soit la solution, le plus important est d'avoir conscience de la nécessité de la sécu.
Maintenant, grace à ce problème, il va pouvoir chiffrer la perte, et aller voir son DSI pour pouvoir se voir allouer un petit budget sécu, pour mettre en place a ssez rapidement un serveur WSUS, et restrucuturer 2 - 3 petites choses...

Reply

Marsh Posté le 01-12-2008 à 12:30:25    

Néanmoins, ce patch est disponible depuis plus d'un mois. Et ce n'est pas une attaque 0 days. Sur ce coup là, seul l'admin ne peut que se mordre les doigts.

Reply

Marsh Posté le 01-12-2008 à 15:59:12    

trictrac a écrit :

Sur le principe, je suis plus que d'accord.
La gestion de la sécurité informatique est primordiale dans une société. Tu parles de politique de backup, et la je t'appuies 3x.
Et effectivement, "la sécurité n'est pas un objectif, c'est un processus" ...
Par contre, sur les moyens, je ne peux pas être d'accord avec toi.
Oui, dans une PME de 10 PC c'est gérable. Mais dans un vrai réseau, tu ne pourras jamais te permettre ce genre de choses (IP et MAC statiques .. bonjours la flexibilité). Ca me fait penser aux pseudo paranos qui sécurisent le WIFI avec filtrage MAC et tout, parce que ca a l'air super dur, alors que c'est pipo.
Pas de netbios, c'est normal.
tout en TSE ?? bonjour le serveur derrière. FW sur les workstation c'est pas indispensable, et je le redis, inutile dans ce cas précis.
Le problème ici est que quelqu'un a pu connecter son PC perso au réseau, et que ce PC avait le ver. C'est donc plus au niveau du controle d'accès qu'il faut agir....
Mais bon, le débat sur la sécu des réseaux est eternel.
quelle que soit la solution, le plus important est d'avoir conscience de la nécessité de la sécu.
Maintenant, grace à ce problème, il va pouvoir chiffrer la perte, et aller voir son DSI pour pouvoir se voir allouer un petit budget sécu, pour mettre en place a ssez rapidement un serveur WSUS, et restrucuturer 2 - 3 petites choses...


 
 
Oh que oui, il y a mille est une façon d'envisager la sécurité :) Je suis tout à fait d'accord avec ce ue tu viens de dire :)
 
Normalement sur mes réseaux, il n'y a pas d'IP libre, le masque doit être étudié pour ne pas offrir plus d'ip que ce dont on a besoin. et chaque accès sur le lan par une ip/mac inconnue doit déclencher une alerte de sécu. C'est un très gros travail, mais une bonne installation, bien étudiée en fonction de l'Ent° est finalement assez facilement modifiable. On ne change pas un PC toutes les semaines, et en général, il y en a déjà un de près dans les locaux à remplacer celui qui tombe en panne (logicielle ou matérielle la panne). Enfin bon, c'est pour cela que je dis que c'est un métier où on bosse la majorité du temps en dehors des heures d'ouverture de la société ; J'ai bien des anecdotes là dessus :lol:
 
Et qui plus est, chaque ENT° a des besoins et des nécessités particuliers. Ce n'étaient que mes solutions à moi, et je me doute bien que d'autres choix étaient possibles. Il est vrai que les utilisateurs n'étaient pas forcément heureux que je réduise les possibilités d'avoir des jeux ou les possibilités de surf :lol: etc. Mais un contrôle a distance des postes et des logiciels installés est redoutable -> avertissement puis sanction ; les mails filtrés des pièces jointes, avertissement de ne pas utiliser le matériel de la société à des fins personnelles, etc. C'est tout un travail en amont aussi ; il faut éduquer les gens et leur expliquer pourquoi on fait ceci ou cela, qu'ils risquent un chômage technique par leur mauvaise utilisation de leur outils et éventuellement des poursuites leur expliquer ce que c'est la sécurité informatique, leur expliquer leur outil, le pc, c'est souvent négligé dans une société, on pense que les gens savent se servir d'un PC, comme si c'était un simple stylo, personne ne vous briefe sur un stylo quand vous arrivez dans une Ent°, c'est relativement normal, mais un PC, même si c'est devenu un objet d'utilisation courante, ça n'en reste pas moins un outil extrêmement complexe et très sensible qui rend la société vulnérable.
 
Tout en TSE, y'avait pas qu'un serveur derrière :) Et je n'ai jamais géré plus d'une cinquantaine de postes, j'ai toujours refusé les grands comptes :D Je préfère le contact avec le dirigeant plutôt qu'avec des intermédiaires. Mais ça c'est pour la petite histoire, ça n'a pas grand chose à voir avec le sujet ;)
 
Cordialement


---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 01-12-2008 à 17:26:08    

mmc a écrit :

Citation :

Enfin quelqu'un qui éduque les utilisateurs sur la sécu un minimum.
Sur le coup, c'est moins de travail pour l'admin et moins pénalisant pour la boite.
C'est sûr que ça fait moins plaisir aux utilisateurs ...  


 
Bah tu sais, je suis un vieux de la vieille :) Je ne suis pas soumis aux exigences et contraintes que rencontrent les nouveaux, je choisis, j'ai toujours choisis, enfin je choisissais, je ne travaille plus dans ce domaine :) C'est plus facile pour moi :jap: Mais j'ai toujours réfléchis à long terme, et ça va faire près de 30 ans que je fais de l'informatique :) Et l'éducation, dans tous les domaines, me paraît préférable à toute autre alternative, même si c'est un investissement, c'est un investissement très couteux, mais d'une incroyable rentabilité.
 
Après, il y a ceux qui "voient" et les autres... C'est bien dommage pour ceux qui ont de bonnes intentions mis qui se mettent des œillères sur certains points en serrant les fesses en disant : "Ça va passer, ça va passer,..." Voire pire, qui disent ça n'a aucune importance, vous racontez des conneries !
 
Bref j'étais parti pour raconter une histoire comme j'ai la faiblesse de m'y laisser aller trop souvent, mais juste pour dire que ce n'est pas facile forcément de justifier la sécurisation d'un réseau en tant que professionnel car les responsables de la société n'ont souvent aucune idée du danger de la permissivité du réseau de leur Ent° et à quel point ils en sont tributaires ! Ils n'ont aucune conscience du fait que leur boite peut fermer et mettre au chômage tous leurs employés et sous-traitants à cause d'un problème informatique, et j'en ai déjà rencontré le cas.
 
C'est bien sûr un cas extrême, mais ça arrive, après il faut former ceux qui décident et leur mettre toutes les cartes en main pour qu'ils prennent leur décision en connaissance de cause. Il y a une sacré différence entre un admin informatique avec tout pouvoir avec un budget bien étudié et un employé dont c'est une "tâche en plus". Après bien sûr chaque société a des besoins particuliers des contraintes spécifiques, hein, ce n'est pas une vérité figée et absolue. Mais l'informatique d'une ENT° dans son intégralité doit faire l'objet d'un poste dans le budget, hors de question d'acheter des PC comme on achète une photocopieuse. Mais c'est parfois tellement difficile à faire comprendre :)


Message édité par Tous le 01-12-2008 à 17:27:39

---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 08-12-2008 à 11:24:20    

Pour déployer rapidement, pourquoi ne pas utiliser psexec de Sysinternal
 
http://technet.microsoft.com/en-us [...] 97553.aspx
 
çà marche bien. il faut que le virus n'a pas viré certains services qui te permette l'admin à distance: genre IPC$, registre à distance....


Message édité par syj le 08-12-2008 à 11:24:49
Reply

Marsh Posté le 08-12-2008 à 18:40:58    

trictrac a écrit :

FW sur les workstation c'est pas indispensable, et je le redis, inutile dans ce cas précis.


 
Ca peut quand même aider si, dans ma boite actuelle par exemple l'acces au service server (et RPC & co) des stations n'est autorisé que depuis la plage d'IP utilisée par le service info (c'est possible juste avec le firewall de windows + administration centralisée par GPO) : un PC vérolé d'un utilisateur pourra difficilement aller infecter les autres postes utilisateurs par le LAN. Apres les serveurs de fichiers windows ont evidemment intérêt a être patchés eux :o

Reply

Marsh Posté le 08-12-2008 à 19:51:51    

El Pollo Diablo a écrit :

 

Ca peut quand même aider si, dans ma boite actuelle par exemple l'acces au service server (et RPC & co) des stations n'est autorisé que depuis la plage d'IP utilisée par le service info (c'est possible juste avec le firewall de windows + administration centralisée par GPO) : un PC vérolé d'un utilisateur pourra difficilement aller infecter les autres postes utilisateurs par le LAN. Apres les serveurs de fichiers windows ont evidemment intérêt a être patchés eux :o


Point de vue intéressant ...
J'en prends note, vu que les PC infos sont dans un vlan a part, ca peut etre dans le domaine du posible ...
A garder sous le coude comme idée.


Message édité par trictrac le 08-12-2008 à 19:52:06
Reply

Marsh Posté le 15-01-2009 à 17:55:49    

Vous etes dans qu'elle boite sans indiscrétion la mienne aussi est touché je suis resté toute la journée dans un labo ...  
Nous aparament on a une variante pas de fix encore ...  
Si vous avez une précédure par hasard vous pouvez me MP pour demain sa serait super je vais retournée sur place faire des tests ..


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 15-01-2009 à 18:29:08    

Pour infos, chez nous, le virus ce propage par Clé USB port 445 bloqué...  
 
Il crée un autorun.inf a la racine de la clé
un dossier "recycler" avec un sous dossier S-S-23234-12342....... et dedans un fichier .vmx.
Modifie une clé de la BDR
Crée un service...(me rappel plus de son nom)


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 16-01-2009 à 01:12:57    

Quand je dis que c'est la faute des admins et de leurs responsables, c'est pas pour rien !
 
Il ne devrait pas y avoir de possibilité d'introduire des fichiers dans le systèmes qui n'aient été contrôlés par les responsables...


---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 16-01-2009 à 08:47:29    

On a Un norton sur le site, il n'est pas patché pour qu'il scan les entrées usb
 
car nous avons des périphérique du type : douchette (scan code barre)  
 
Donc les clés .....  
 
Aprés les admins je sais pas s'il y sont pour quelques chose, je n'ai pas vue beaucoup de site différents dans  ma vie mais celui la comporte 6000 postes informatiques et donc c'est pas simple non plus :)  
 


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 16-01-2009 à 12:24:16    

C'est quand même curieux puisque normalement, un bon anti-virus, scan toutes les lectures / écritures, non ?
 
6000 postes, c'est vrai que c'est quelque chose de très gros par rapport à ce que j'ai eu a géré (jamais plus de 400 postes si je me souviens bien) Mais y'a pas un service informatique qui intercepte les PC à la livraison pour les "brider" ?
 
Enfin, je me doute que ça doit être galère, mais c'est encore le même principe, si l'Ent° ne mets pas les moyens pour gérer le parc informatique elle se retrouve fatalement en face de problèmes qui auraient dû êtres résolus à la source, qui n'auraient jamais dû arriver jusqu'à l'utilisateur final.
 
Ce sont des politiques de gestion où on privilégie le : "ça n'arrive qu'aux autres" et on gère comme on peut quand ça débarque. Ça semble moins onéreux au départ, mais en cas de clash, les retombées sont énormes !


---------------
Les Cartes Son Haute Fidélité pour mélomanes, musiciens, audiophiles, la MAO, le cinéma,...
Reply

Marsh Posté le 20-01-2009 à 14:34:31    

Pour insoler un domaine Microsoft il y a aussi la possibilité de chiffrer le traffic, ça permet de se prémunir de toute attaque d'un PC extérieur branché sur le LAN.
(mais pas d'un PC du LAN infecté)

Reply

Marsh Posté le 10-02-2009 à 15:35:31    

bon bah je viens de l'avoir cte merde.....
j'men fous mais jvoudrais juste voir à quel niveau le parc est infecté...
comment je vois ça ?
des idées ?
 
J'ai lu qu'il faut désactiver la gestion "autorun". Ya les méthodes pour faire ça pas de souci par contre y a  
cette variable "HonorAutorunSetting"  
http://support.microsoft.com/kb/953252
 
Mais je comprends pas à quoi elle sert cette Maj XP et cette variable "nouvelle" dans le registre...
 
Z'avez des explications parce que le truc de Microsoft, je comprends rien :(
 
Merci


Message édité par akizan le 10-02-2009 à 16:22:58
Reply

Marsh Posté le 10-03-2009 à 13:10:09    

Salut, relance de la discution :  
 
Tu peux par GPO interdire le lancement des autorun.inf lorsque ta clé est reconnu par l'os mais lorsqu'un utilisateur quel qu'il soit lance sa clé en double cliquant... et bien l'autorun ce lance ...  
 
a mon avis le patch désactive ce processus.
 
Avez vous des moyens a cette heure qui permette de contenir le Ver car l'éradication n'est toujours pas d'actualiter
 
avez vous regarder les : "at" (taches planifiées)
LE par feu est configuré comment ?  
Est ce qu'il passe les Vlan ?  
 
Merci


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 10-03-2009 à 20:50:03    

up


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 12-03-2009 à 18:46:39    

personne ?


---------------
Feed-Back @ir91  
Reply

Marsh Posté le 13-03-2009 à 11:42:49    

Vraiment rien ?

Reply

Marsh Posté le 13-03-2009 à 11:57:29    

alors ?


---------------
Feed-Back @ir91  
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed