[Antivir] Automatiser la mise en quarantaine

[kopros]

Bonjour à tous

Voici la situation :
Je suis dans une entreprise qui accueille des gens sur des pc (plus d'une cinquantaine d'ordis). Ces pc ne font pas partie d'un domaine, mon chef ne veut pas utiliser d'active directory pour ce sous-réseau.

Sur chaque pc il y a Antivir, régulièrement mis à jour automatiquement. Le problème c'est qu'on s'est chopé un trojan. Rien de grave (je crois que c'est AdobeR) mais on veut s'en débarasser. Le trojan se balade sur les pc via les clés usb.

Les pc sont régulièrement nettoyés, Antivir détecte très bien le trojan et le supprime comme il faut. Le souci c'est que les utilisateurs travaillent avec des clés vérollées, et ils ont tendance à cliquer sur "ignorer" quand Antivir détecte le trojan.

Selon mon chef, impossible de responsabiliser les utilisateurs. Je suis donc obligé de mettre en place la mise en quarantaine/suppression automatique du trojan, sans passer par une boîte de dialogue.

Je n'ai pas trouvé comment faire avec Antivir. Est-ce possible ?
Existe-t-il une solution avec un autre antivirus gratuit ?

Merci d'avance pour vos réponses.

[SkyTech]

Salut,

Je suis donc obligé de mettre en place la mise en quarantaine/suppression automatique du trojan, sans passer par une boîte de dialogue.

A ma connaissance seul le scan à la demande permet cela.

Donc il reste comme possibilité :

- Désactiver l'Autorun,
- Désinfecter et vaccciner les clés USB,

Je te conseille de faire les 2, faudrait aussi que si les gens qui ont des PCs chez eux, le nettoie sinon c'est sûr on se mort la queue.

Sinon mes possibilités sont expliqués ici :

http://forum.malekal.com/explications-i ... t5544.html
http://forum.malekal.com/viewtopic.php?f=33&t=3350
http://forum.malekal.com/securite-maitr ... 16895.html
http://fspsa.free.fr/contamination-lect ... vibles.htm

[Malekal_morte]

Bonjour à tous

Voici la situation :
Je suis dans une entreprise qui accueille des gens sur des pc (plus d'une cinquantaine d'ordis). Ces pc ne font pas partie d'un domaine, mon chef ne veut pas utiliser d'active directory pour ce sous-réseau.

Sur chaque pc il y a Antivir, régulièrement mis à jour automatiquement. Le problème c'est qu'on s'est chopé un trojan. Rien de grave (je crois que c'est AdobeR) mais on veut s'en débarasser. Le trojan se balade sur les pc via les clés usb.

Yop,

J'espère que c'est la version payante car la version gratuite est interdite pour un usage non personnel.

Sinon je pense que la version pro (donc pour entreprise) incorpore un serveur d'antivirus qui permet de pré-configurer les clients antivirus (lancer un scan sur des postes, vérifier les maj, configurer comment doit se comporter l'antivirus lors d'une détection), donc dans ton cas ça peut aider...

[Malekal_morte]

Sinon dans les options, faudrait voir dans Guard si t'as pas une sous-section "Action on malware" et si tu peux pas régler à mettre en quarantaine... : https://www.malekal.com/tutorial_antivir.php

Si c'est le cas, t'es parti pour régler cela sur les 50 postes, un par un...

[kopros]

Déjà merci pour vos réponses.

Justement on est en train de voir si Antivir nous convient avant de passer à la version pro.

Pour passer par le serveur, on est obligé de le faire sur un 2003 (ou 2008) ou on peut utiliser la passerelle (qui fait aussi pare-feu/proxy) ?


Sinon, désinfecter les clés une par une me paraît pas très réalisable, trop de monde passe sur les pc, on peut pas être derrière chacun. Surtout que chez eux ça doit aussi être infecté...

EDIT : J'ai trouvé qu'on peut passer la mise en quarantaine automatique, mais juste pour les scans (c'est dans Scanner > Scan > Action for concerning files).
Quand je vais dans Guard > Scan > Action for concerning files, je ne peux que cocher/décocher 2 cases :
"Use event log"
"Acoustic alert"

Et y'a rien d'autre. Peut-être que c'est tout simplement pas possible avec la version free.

[SkyTech]

Re,

Sinon, désinfecter les clés une par une me paraît pas très réalisable, trop de monde passe sur les pc, on peut pas être derrière chacun. Surtout que chez eux ça doit aussi être infecté...

Tu peux toujours leurs signaler (et même donné le forum si besoin) après ils se débrouillent.

[Leo 2005]

Slut,
d'abord je rapelle que l'utilisation de la version gratuite est strictement interdite dans cette environnement. pour tester les version Antivir on peu commender ici une clès pour 30 jours:
http://www.avira.com/fr/products/test_licence.html

Sinon pour eviter que les virus (dans ce cas surement conficker ou DNSchanger) soient executer je te conseillera ça:
http://support.microsoft.com/?scid=kb%3 ... &x=17&y=10

si le virus est déjà sur les machines antivir ne peut rien faire. il n'élimine pas le virus juste en clicant sur efaccer.
il faudrat faire une recherche antirootkit et l'éfaccer ce qui est trouvé. aussi des scans par des system de secours comme Avira rescue CD peuvent aider à effacer tous les traces.

[angelique]

de memoire sur la V9 (CF Vid ), le guard se base sur eventvwr , donc si ignore une fois sur le meme directory , la detection ne se fait plus \o/ ... just pour info

l'action sur le guard depend de la 1ere action qui s'inscrit dans l'observateur d'évenement (executer:: eventvwr), si le user par exemple ignore e:\Ravmon.exe, le support E+autorun.inf pas detecté + Ravmon.exe sera ignoré \o/

j'ai testé , effacer le contenu de "application" de eventvwr remet le compteur à zero pour antivir V9 , il recouine ... donc choisir la bonne action