Bonjour à tous,

Je passe aujourd'hui sur ce forum dans l'espoir de trouver un utilisateur windows ayant rencontré ce virus ou un ressemblant.

Impossible d'identifier sa signature, donc pas moyen de le retrouver dans les annuaires ou même de trouver des solutions.

Comment fonctionne le virus?

Il créé un compte sur l'Active Directory (dans mon cas, il l'a appelé "bact"). Ce compte génère de façon permanente des fichier .lnk portant des noms du style: "kate" ; "katrina" , "Kate beckinsake nude photo" ; "Photoalbum" ; "groom" ; "beautiful"...

Même après suppression du compte dans l'Active Directory, les fichiers sont toujours générés avec le SID de ce compte.

Ces fichiers .lnk ont des droits supérieurs à ceux de 80% des profils présents dans l'Active Directory. Donc, au chargement du profil des utilisateurs, il est impossible de charger le dossier du compte, puisque le compte n'a pas les droits pour ouvrir les .lnk (fichiers bloquants).

La solution à laquelle je pense est un batch:
1 - Recherche des fichiers portant les noms cités au dessus.
2 - Enregistrement de la liste des fichiers dans un .txt.
3 - Modification des droits du fichiers puis suppression (si on ne modifie pas les droits du fichier, il est impossible de le supprimer) par rapport à ce .txt.

A partir d'ici je bloque puisque je ne sais pas vraiment comment rédiger mon batch.

Si quelqu'un sait comment le redigé ou a déjà rencontré un batch ressemblant, je suis preneur !

C'est un sujet urgent impliquant un grand nombre d'utilisateur.

Merci d'avance pour votre aide !

Éviter de poster sur plusieurs forums.
Au risque d'endommager votre système, à suivre différents procédés de désinfection.


Si vous avez utiliser un/des scanner.
► Poster leurs rapports.


Produisez un diagnostique du PC.
Y a aucune info. personnelle dans ces rapports.
Que l'ensemble des installations logiciels et infection(lorsqu'il y en a).
Ainsi que quelques info. sur des fonctions sensibles, de la config-regsitre de Windows.

Téléchargez sur votre bureau ZHPDiag sur le bureau.

Avec XP :
• Lancer ZHPDiag..exe par un double-clique

Avec Vista /Win7 :
• Lancer ZHPDiag..exe par un clic-droit -> Exécuter en tant qu'Adm..

...............Un rapport va s'ouvrir..

Au lieu de poster ce rapport "très volumineux" direct sur le forum.

• Aller sur le site CJoint,
• Appuyez sur [Parcourir] et chercher le rapport sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
.. Une adresse http//......(bleu, mauve) sera créé.
► Postez cette adresse http//.......

Bonjour Elkis et bienvenue,

As-tu tenté un scan antivirus en ligne ?

Voici un assez performant ---> http://quickscan.bitdefender.com/fr/

Pour un résultat optimal d'un scan antivirus je conseils vivement de faire l'analyse en mode sans échec avec, dans le cas d'une désinfection en ligne, prise en charge réseau.

Tant mieux si vos recherches vous ont permis de régler votre problème !
......Pourvu qu'il y est pas autre chose avec ça ?!

cosmido ne te serais-tu pas trompé de sujet et/ou forum concernant ta réponse ?

Si vous avez remarqué le ↑ début du 1ier message ↑.

Éviter de poster sur plusieurs forums.
Au risque d'endommager votre système, à suivre différents procédés de désinfection.

L'auteur ayant posté son cas "simultanément" sur d'autre forum ?
Cette réponse, était un suivit de la progression de la situation.

Ok je comprend mieux, je ne trouvai plus de rapport envers le début du sujet

C'est du directe.

Bonjour à tous,

Tout d'abord, excusez-moi pour le temps de réponse. Nous avons eut tout un tas d'autres choses à régler entre temps.

Concernant le malware, nous avons travaillé longuement et durement afin d'analyser son comportement et la façon la plus adéquate de l'éradiquer.

Pour les informations à savoir:
- Sa signature chez Sophos est CPLink
- Il s'attrape via les clés USB, les partages réseau, les réseaux, internet et ses site web... En gros un peu partout.
- Son comportement: comme dit dans mon premier post, il créé un compte dans l'AD par lequel il génère des milliers de fichiers raccourcis .lnk
- Ces raccourcis .lnk son en accès uniquement (donc pas de suppression, de modification et de déplacement possible). Ils ne bloquent donc pas un petit réseau familial, mais dans le cadre d'un établissement comprenant divers type de profils (dans l'AD toujours), ils bloquent cette fois-ci tous les comptes présents sur les serveurs (et non sur la machine en local).

Jusque présent, ni Windows ni les logiciels antivirus n'ont de correctif ou d'antivirus mais seulement des "rustines" qui ne sont utiles que si vous avez entendu parlé du malware et que vous êtes prévoyant. Ces rustines ne font qu'empêcher le malware de s'infiltrer. Elles ne corrigent ni ne suppriment tous les fichiers .lnk.

Suite à de récentes lectures (datant de la fin de semaine dernière), il s'avère que MicroSoft serait sur la création du correctif, mais je n'ai pas plus d'information.

Nous concernant : après avoir supprimer le compte créé dans l'AD, nous avons mis en place des petits batch possédant un dictionnaire des 52 noms de fichiers générés par le malware (nous les avons récupérés en faisant des recherches par date à partir de la première infection connue). Les batchs fonctionnent à la perfection et la suppression s'est effectuée avec succès.

Depuis la suppression du compte dans l'AD, nous n'avons aucun autre fichier qui a été généré. (EDIT: des fichiers ont continués à se créer après la suppression, certainement que le malware avait déjà prévu la création de ces nouveaux fichiers ; mais j'affirme tout de même qu'il fini par s'arrêter =).

Il nous a bien fallu une grosse semaine pour nous en débarrasser. Alors pour ceux qui seraient dans cette même galère, je leur souhaite bon courage

Merci à tous et bonne continuation !

EDIT: il ne faut pas que penser par des logiciels analyseurs. Ils sont certes utiles, mais quelques fois impossible à utiliser dans le cadre d'une politique d'établissement assez restrictive. Si nous avions eut la possibilité de nous en servir, je ne serais certainement pas passer par les forums :)