Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Résoudre les problèmes pour trouver les fichiers infectés possibles si un virus n’est pas détecté
Articles techniques ID:
KB53094
Date de la dernière modification : 2022-10-03 18:34:18 Etc/GMT
Environnement
Tous les produits antivirus pour postes de travail et serveurs Trellix pour Microsoft Windows
Synthèse
Cet article décrit les procédures et emplacements qui vous permettent de détecter des fichiers suspects lorsqu’un infection n’est pas détecté par vos produits antivirus.
Les symptômes possibles sont les suivants :
Comportements d’ordinateur suspects, tels que l’utilisation intensive du processeur sur les processus non reconnus
Augmentation considérable du trafic réseau ou utilisation de la bande passante
Nouveaux services ajoutés ou services existants supprimés
Impossible d’accéder aux ressources réseau telles que les lecteurs partagés
Les applications cessent de fonctionner ou des fichiers ne sont pas accessibles
Ajout de clés de Registre inattendues
Internet Explorer page d’accueil a été modifiée sans autorisation
IMPORTANT : En raison de la grande variété de logiciels malveillants et d’autres menaces, nous ne pouvons pas fournir la liste de tous les symptômes infection possibles. Si vous pensez que votre système est infecté et que les symptômes spécifiques ne sont pas répertoriés, prenez toutes les précautions disponibles. Assurez-vous que vos fichiers DAT sont à jour et exécutez une analyse à la demande ou une analyse de ligne de commande de votre système. Si le infection n’est pas détecté, suivez les procédures décrites dans cet article pour collecter des exemples de fichiers suspects et les soumettre à des laboratoires Trellix.
Cet article contient des références à certains outils tiers. Pour obtenir des instructions sur leur utilisation, nous vous recommandons d’utiliser les fichiers d’aide des produits tiers.
Contenu :
Cliquez pour développer la section que vous souhaitez afficher :
Veillez à utiliser les fichiers DAT et de moteur les plus récents.
Téléchargez le fichier DAT et le moteur actuels à partir du site Web des mises à jour de sécurité :
Procurez-vous les dernières mises à jour de sécurité :
Il se peut que vous deviez télécharger ces fichiers en cas d’échec de la mise à jour automatique ou d’utilisation d’un fichier extra .DAT sur un système infecté.
Cliquez sur l’onglet dat pour télécharger les fichiers DAT les plus récents. Le format de fichier désigne la version dat-####.zip des fichiers DAT, où #### est la version des fichiers DAT.
Cliquez sur l’onglet moteurs pour télécharger le moteur le plus récent.
Vérifiez la colonne version pour identifier la version du moteur actuellement lancée.
Assurez-vous d’utiliser la dernière mise à jour de produit ou Hotfix disponible
Déterminez quelle mise à jour ou Hotfix est installé. La méthode de détermination varie d’un produit à l’autres, mais les méthodes typiques sont les suivantes :
Cliquez avec le bouton droit de la barre d’informations sur l’icône du produit dans la zone notification, puis sélectionnez a proposde.
Ouvrez la console du produit et sélectionnez aide, a proposde.
Certains produits requièrent une commande de console pour déterminer si une mise à jour est installée. Reportez-vous à la documentation produit correspondante.
Téléchargez et installez la dernière mise à jour du produit. Une mise à jour de produit, une mise à jour de fichiers DAT et de moteur peut être requise pour supprimer un virus.
Notre logiciel produit, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site de téléchargement de produits.
Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Installation des mises à jour de sécurité Microsoft
Installez les dernières mises à jour de sécurité Microsoft pour empêcher les exploits des vulnérabilités de sécurité. Assurez-vous que les mises à jour et les correctifs les plus récents sont téléchargés et installés. Vous pouvez configurer Windows pour effectuer automatiquement ces actions.
Configuration des produits pour l’analyse
Vérifiez que vous avez configuré les analyseurs à l’accès et à la demande pour :
Rechercher des logiciels espions (spyware)
Rechercher les programmes potentiellement indésirables
Vérifiez que vous avez activé les options suivantes :
Analyse heuristique
Protection contre les attaques par débordement de mémoire tampon
Remarque : Certaines de ces options sont uniquement disponibles dans VirusScan Enterprise. Pour obtenir des informations et des instructions, consultez le Guide produit de votre produit.
Exécution d’une analyse à la demande avec tous les paramètres d’analyse activés
Effectuez une analyse à la demande complète de tous les fichiers dont l’action principale est définie sur nettoyer. Pour plus d’informations sur la configuration d’une analyse à la demande, reportez-vous au Guide produit de votre produit. Pour VirusScan Enterprise, cliquez sur Démarrer, Programmes, McAfee, Analyse à la demande, Démarrer.
Exécuter l’analyse .exe avec les derniers fichiers DAT bêta
Si l’analyse à la demande et les fichiers DAT standard ne détectent pas le infection, il se peut qu’ils soient détectés avec les signatures supplémentaires dans les fichiers DAT bêta.
Automatiquement (à l’aide du fichier exécutable du fichier SuperDAT le plus récent) :
Démarrez avvwin_xdatbeta.exe sur l’ordinateur infecté. L’exécutable met à jour tous les produits qui utilisent des fichiers DAT.
Une fois la mise à jour terminée, exécutez une analyse à la demande sur tous les lecteurs ou bases de données en fonction du produit.
Manuellement (à l’aide du dernier fichier DAT) :
Pour mettre à jour manuellement les fichiers DAT de votre produit, reportez-vous à l’article correspondant pour obtenir des instructions.
Si l’analyse à la demande ne parvient toujours pas à détecter de menaces, procédez comme suit :
Recherchez Windows fichiers de configuration pour les éventuelles entrées suspectes.
Dans le groupe programmes de démarrage, recherchez les éléments ou les applications que vous ne reconnaissez pas.
Recherchez les entrées suspectes dans les emplacements de Registre partagés.
Utilisez l'Explorateur Windows pour rechercher des fichiers malveillants dans les emplacements communs des répertoires.
Vérifiez le planificateur de Windows pour les entrées que vous ne reconnaissez pas.
Utilisez d’autres outils Trellix et tiers pour découvrir des activités malveillantes.
Localiser des fichiers suspects
Il est très probable que les dossiers de démarrage et les emplacements de Registre contiennent des entrées suspectes. Examinez les emplacements suivants.
ATTENTION : Cet article contient des informations sur l’ouverture ou la modification du Registre.
Les informations suivantes sont destinées aux administrateurs système. Les modifications apportées au Registre sont irréversibles et peuvent causer des défaillances du système si elles ne sont pas effectuées correctement.
N'exécutez pas de fichier .REG si vous n'êtes pas certain qu'il s'agit d'un fichier d'importation de Registre authentique.
Fichiers de configuration système :
Win.ini
Ce fichier a été utilisé par des versions antérieures de Windows et utilisé lors du démarrage du système. Avec Windows 7 et les versions ultérieures, les informations stockées dans ce fichier sont désormais placées dans le registre.
System.ini
Ce fichier est un fichier d’initialisation Windows utilisé principalement avec des versions antérieures de Windows. Toutefois, ce fichier INI est toujours utilisé pour la rétrocompatibilité dans les versions ultérieures de Windows.
Autoexec.bat
Ce fichier est utilisé lors du démarrage du système et il a été conservé sur les versions ultérieures de Windows pour la compatibilité avec les versions antérieures. Il est stocké à la racine du lecteur système. Ce fichier de commandes exécute des commandes au démarrage.
Config.sys Ce fichier est un fichier texte ASCII Windows hérité qui contenait des directives de configuration accessibles à l’aide msconfig de.
Pour afficher la configuration msconfig des systèmes, procédez comme suit :
Appuyez sur Windows + R, saisissez msconfig , puis appuyez sur entrée.
Examinez la Éléments de démarrage onglet.
Examinez la win.iniet system.inientrées.
Groupe de démarrage
Lorsque vous consultez des dossiers, définissez la vue sur Détailset utilisez le Date de création colonne pour organiser les fichiers :
\documents and settings\all users\Start Menu\Programs\Startup
Utilisez IceSword rootkit détecteur pour analyser le registre.
Cliquez sur Démarrer, McAfee, analyse à la demande, Démarrer l’exécution d’une analyse à la demande.
Si l’analyse à la demande ne détecte pas de menace, utilisez le service gratuit FPortet Visuelle servicespour surveiller l’activité. REMARQUE : Les utilitaires tiers suivants peuvent également être utiles pour la journalisation de l’activité des fichiers malveillants :
Explorateur de processus
TCPView
ProcMon
Autoruns
RootkitRevealer
Collectez des échantillons suspects. Collecter dans un seul emplacement tous les fichiers ou méthodes répertoriés ci-dessus vous indiquent qu’un fichier est suspect. Assurez-vous que tous les fichiers d’exemple sont inclus dans un seul fichier protégé par .zip mot de passe. Définissez le mot de passe sur infecté. Envoyez des échantillons à Trellix Labs. Téléchargez l’échantillon via le portail ServicePortal ou Platinum. Pour obtenir des instructions, voir l’article kb68030-Submit Samples to Trellix Labs pour détecter l’échec de la détection de logiciels malveillants. Collectez et soumettez les résultats de l’outil Minimum Escalation Requirements (MER) pour vos produits : exécutez l’outil MER pour vos produits. Pour plus d’informations sur la liste d’outils MER pour les produits de sécurité, reportez-vous à la section l’article kb59385-How to use mer Tools avec les produits pris en charge. Fournissez le fichier de résultats .tgz lorsque vous contactez support technique.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.