Page accueil fleche Assistance fleche Les FAQ

La FAQ des antivirus

La Foire aux Questions des antivirus traitera des problèmes liés à des virus et aux solutions antivirus.

Elle s’enrichira avec vos questions ;)

Que faire pour se débarrasser du ver Conficker ?
  • Ver

Il faut savoir dans un premier temps que la MEILLEURE SOLUTION pour se débarrasser de ce ver c’est de REINSTALLER TOTALEMENT LE POSTE.

 

Description du malware :


Le ver W32/Conficker ainsi que ces variantes les plus récentes (Conficker.B, alias Downadup.B) utilisent plusieurs moyens de propagation :

il exploite la vulnérabilité corrigée dans Windows Server Service (MS08-067) en devinant les mots de passe réseau et en infectant les clés USB.

 

Une fois infectée le ver va modifier la configuration de la machine pour se propager. Il va s’exécuter dans le processus de démarrage, modifier les droits d’accès aux fichiers et clés de registre du ver de sorte que l’utilisateur ne puisse ni les supprimer, ni les changer. Ainsi qu’empêcher toutes mises a jour des PC infectés.


Pour se propager ce ver utilise essentiellement les partages réseau, de très nombreux sites web ainsi que les réseaux de type peer-to-peer.

 

Le site de référence au sujet du ver Conficker :
http://www.confickerworkinggroup.org/wiki/

 

Afin de faciliter la détection des postes infectés, deux liens permettent de tester directement les postes en ligne.

Il suffit de cliquer sur ces liens a partir de n’importe quel poste pour vérifier si le poste est infectés ou non. (Ces liens peuvent être diffuse a l’ensemble des utilisateurs)

 

Conficker Eye Chart :
- http://www.confickerworkinggroup.org/in … chart.html

Conficker Online Infection Indicator :
- http://iv.cs.uni-bonn.de/fileadmin/user … fdetector/

 

*********************
Pour éviter la contamination :


- Assurez-vous que les derniers correctifs de Microsoft ont été appliqués notamment le correctif MS08-067** : http://technet.microsoft.com/fr-fr/secu … n/ms08-067
- Assurez-vous que l’antivirus soit bien à jour : logiciel + base virale
- Désactivez les modes AUTORUN et AUTOPLAY pour les clés USB


Sinon pour essayer de nettoyer voici quelques liens :
- une liste d’outil est présente sur le site de Symantec
http://www.symantec.com/security_respon … ltools.jsp

 

Pour Conficker on téléchargera le fichier concernant le ver W32.Downadup Removal Tool : http://www.symantec.com/security_respon … 16-0247-99

 

d’autres liens :
- http://www.microsoft.com/security/malwa … fault.mspx
- http://blogs.technet.com/mmpc/archive/2 … nload.aspx

 

Ce qu’il faut savoir :

 

La DSI reçoit régulièrement des alertes de sécurité et agit immédiatement afin que les virus ne se propagent pas. Notamment en bloquant les accès ver Internet pour les machines incriminées. Le DRT ainsi que l’établissement sont prévenus par mail :
- quel virus est présent
- sur quelles stations

 

Une fois les postes nettoyés et la demande de déblocage faite, il est important d’expliquer ce qui a été fait et pourquoi les stations ont été infectées, problèmes de mises à jour etc...

Retour au début de la FAQ

Comment désinstaller Norton Antivirus totalement ?
  • Norton

Pour désinstaller cet antivirus, il y a 3 étapes à réaliser :

  1. Désinstaller le programme Symantec Antivirus dans le panneau de configuration - Ajout-Suppression de programmes
  2. Désinstaller le programe LiveUpdate dans le panneau de configuration - Ajout-Suppression de programmes
  3. Télécharger et exécuter le programme Norton Removal Tool afin de bien supprimer les résidus d’installation

     

    Le mieux est quand même de refaire un poste propre sans installer l’antivirus, puis de pousser l’installation via WPKG.

     

NB : si vous ne faites pas l’étape 3, alors l’installation de Trend par WPKG aboutira sur une erreur microsoft 1602 : ERROR_INSTALL_USEREXIT : Annulation de l’installation par l’utilisateur.

Retour au début de la FAQ

Où trouver l’installation du client Symantec Antivirus ?
  • Norton

Ceci est valable uniquement pour les établissements ayant un serveur Symantec Antivirus.

 

Sur ce serveur il existe un partage sur lequel on peut trouver l’installation du serveur antivirus, les fichiers de définitions virale mais aussi le setup d’installation pour les clients.

 

Pour y accéder, depuis un poste client Scribe :
- ouvrir le poste de travail - outils - connecter un lecteur réseau
- choisir la lettre de lecteur - cliquer sur parcourir - réseau microsoft windows - développer le domaine scribe
- développer le poste qui a pour nom SRV-SYMANTEC et choisir le répertoire VPHOME

 

Penser à décocher la case se connecter à l’ouverture de session. Ensuite on retrouvera sur le poste de travail un lecteur supplémentaire, dans lequel on trouvera le répertoire CLT-INST - WIN32. A cet endroit il se trouve le fichier setup.exe qui permet d’installer le client Symantec pour vos clients.

 

L’admin Scribe pourra accéder à ce répertoire de manière simplifiée et, à chaque connexion, en faisant :
- créer dans \srv-scribe\netlogon\scripts\users, un fichier admin.txt dans lequel vous copierez ceci :
lecteur,Z :,\SRV-SYMANTEC\VPHOME

Ce script de login aura pour effet de créer un lecteur Z : qui pointera sur le répertoire VPHOME à chaque connexion du ou des membres du groupe DomainAdmins.

 

Deuxième méthode :

 

Se connecter en admin sur les postes sur lesquels vous voulez installer le client antivirus

  1. Se connecter sur la console de supervision (Symantec System Center ) et déverouiller le domaine.( Le raccourcis d’accès à la console se trouve dans le répertoire u :\admin pour les collèges de l’ain.)
  2. Dans le menu outil sélectionner installer à distance de clients
  3. Dans la colonne de droite Serveur Symantec Antivirus cliquer sur le serveur antivirus ( SRV_ANTIVIRUS )
  4. Dans la colonne de gauche cliquer sur Réseau microsoft windows \ sur le domaine \ enfin sur le ou les postes sur lesquels vous allez installer le client symantec
  5. Enfin cliquer sur Ajouter puis sur Terminé

Retour au début de la FAQ

Comment désinstaller le client Trend sans mot de passe ?
  • Trend

 Explication :

La désinstallation du client TREND sur les stations nécessitent un mot de passe. Mais l’on peut faire sans.

 Solution :

  1. Se connecter sur le poste avec un compte administrateur
  2. Cliquer sur Démarrer, Exécuter et saisir « regedit »
  3. Sur un poste Windows 32 bits (XP ou 7), parcourir l’arborescence pour atteindre HKEY_LOCAL_MACHINE - SOFTWARE - TrendMicro - PC-cillinNTCorp - CurrentVersion - Misc
  4. Sur un poste Windows 7 64 bits, parcourir l’arborescence pour atteindre HKEY_LOCAL_MACHINE - SOFTWARE - Wow6432Node -TrendMicro - PC-cillinNTCorp - CurrentVersion - Misc
  5. Sélectionner la clé « Allow Uninstall »
  6. Double-clic pour remplacer la valeur 0 par 1
  7. Cliquer sur OK et fermer la base de registre
  8. Aller dans le Panneau de configuration, Ajout/Suppression de programmes et Désinstaller TrendMircro Officescan Client

Retour au début de la FAQ

Comment installer le client Trend en mode autonome ?
  • Trend

 Explication :

Pour pouvoir utiliser en toute sécurité un ordinateur portable sur le réseau de l’établissement, il est nécessaire de disposer d’un antivirus à jour. Par défaut, le client Trend OfficeScan ne peut pas faire la mise à jour tout seul, contrairement aux pc du réseau qui eux, reçoivent la mise à jour du serveur OfficeScan.

 Solution :

Pour que le client puisse être autonome et faire la mise à jour, il faut exécuter les tâches suivantes :

  1. Allez dans le répertoire « C :\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\ClientPackager » (tout dépend de votre répertoire d’installation bien entendu)
  2. Trouvez l’exécutable « SUCTool.exe »
  3. Copiez ce programme dans le répertoire d’installation du client Officescan de vos postes nomades
  4. Exécutez ce programme ; une fenêtre apparaît alors et vous pouvez activer la mise à jour programmée comme vous le voulez. Dans l’idéal, laissez la mise à jour toutes les heures.
  5. Il ne reste alors plus qu’à cliquer sur le bouton « Appliquer ».

 

En cliquant droit sur l’icône du client OfficeScan en bas à droite de l’écran, vous pouvez choisir d’activer la mise à jour programmée.

 

Au préalable, il faudra bien entendu autoriser le client à utiliser le mode « itinérance » (qui doit aussi être activé de la même façon que la mise à jour programmée ).

 

Pour cela, il faut regrouper tous les postes clients nomades dans un nouveau domaine qui leur sera dédié (histoire d’éviter que tout le monde puisse activer le mode itinérance) et accorder les privilèges d’utilisation du mode itinérance.

Retour au début de la FAQ