Sujet Précédent Sujet Suivant

Relais spam sur serveur

Fermé
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 - 31 mai 2010 à 09:50
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 - 31 mai 2010 à 16:30
Bonjour,

comme l'indique le titre, l'un de mes serveurs sert ( malgré moi ) de relais pour spammer à tout va.
Une capture de trame sur le smtp me montre que ce serveur est bel et bien atteint.
Conséquence, orange m'a blacklisté, normal.
Les antivirus\antispam\antimalwares installés sont ( je ne fais pas de pub) : nod 32 ( version entreprise avec license), malwarebytes et pour les captures de trames wireshark.
Le firewall est celui de windows 2003 server r2 sp2 à jour.
malwarebytes a trouvé un rootkit et un malware.
Cependant j'aimerais bloquer le trafic sortant sur le smtp ( port 25), ce port est déjà analysé via nod mais je voudrais vraiment le bloquer afin de sortir du "blacklistage" d'orange.
Je suis à l'écoute de vos suggestions, merci.



18 réponses

Réponse 1 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
31 mai 2010 à 09:52
Salut,

malwarebytes a trouvé un rootkit et un malware.

Poste le rapport :)

Cependant j'aimerais bloquer le trafic sortant sur le smtp ( port 25), ce port est déjà analysé via nod mais je voudrais vraiment le bloquer afin de sortir du "blacklistage" d'orange.
Je suis à l'écoute de vos suggestions, merci.

Le mieux c'est de le bloquer sur la passerelle/routeur à partir d'une règle sur l'IP de ton serveur, c'est plus fiable que de tenter de bloquer les connexions SMTP sortantes depuis la machine elle même (serveur).
3
Réponse 2 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
31 mai 2010 à 10:19
Me demande comment vous pouvez infecter un serveur vu qu'on est pas censé surfer avec....
A moins que ce soit par clef USB.

Bon ça va faire rebooter le serveur... donc si y a des utilisateurs derrière faut les prévenir.



* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
lixcanzy
Files to delete:
C:\WINDOWS\system32\drivers\lixcanzy.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


Relance Combofix et poste le rapport ici.


puis :


- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
1
Réponse 3 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 09:59
voici le rapprt et je vais regarder sur le pseudo routeur qui est en fait une live box , oui c'est une pme.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4157

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

31/05/2010 09:33:46
mbam-log-2010-05-31 (09-33-46).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 300517
Temps écoulé: 31 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lixcanzy.sys (Rootkit.Agent) -> Delete on reboot.
C:\Documents and Settings\opetse2\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 4 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 10:40
c'est aussi la question que je me pose : ce serveur est vraiment un serveur et non pas un poste client "modifié", le seul hic : l'appli qu'il fait tourner est mise à jour par son concepteur qui lui accède au serveur à distance.
bref je vais faire ce que tu me demandes.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
31 mai 2010 à 10:41
A mon avis, il est allé sur un site avec un exploit..... :)

Ce serait interressant, si tu as le temps de regarder les derniers sites visités et me les donner :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 10:45
par contre je suis sous 2003 et avenger ne tourne pas sous cet os.
0
Réponse 6 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 10:49
je retrouve bien ce fichier ( lixcanzy.sys) mais est ce un fichier infecté ou bien est le rootkit, en d'autre terme faut il le désinfecter pour le conserver ou bien puis je le supprimer ?
0
Réponse 7 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 10:52
et le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:37:52, on 31/05/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Documents and Settings\admjschmuck\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Wireshark\wireshark.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
\Serveurseqmar\c$\Genneker\Exe\Genneker.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
\Serveurseqmar\c$\Genneker\Exe\Genneker.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://127.0.0.1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQTEAM] C:\Program Files\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1197619181-2180345989-1946936063-1116\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'opetse4')
O4 - HKUS\S-1-5-21-1197619181-2180345989-1946936063-1139\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'gbeauvais')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1116 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\opetse4\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'opetse4')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1116 Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'opetse4')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1116 User Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\opetse4\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'opetse4')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1116 User Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'opetse4')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1139 Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'gbeauvais')
O4 - S-1-5-21-1197619181-2180345989-1946936063-1139 User Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'gbeauvais')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\admjschmuck\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sequoiamarseille.com
O17 - HKLM\Software\..\Telephony: DomainName = sequoiamarseille.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sequoiamarseille.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = sequoiamarseille.com
O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\hpadu\bin\hpapp.dll
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Program Files\HP\Cissesrv\cissesrv.exe
O23 - Service: HP Insight NIC Agents (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
0
Réponse 8 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
31 mai 2010 à 10:54
Tu peux rebooter le serveur en console de récupération ou pas ?
Tu sais faire ça ?
0
Réponse 9 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 10:57
le souci c'est qu'il est en production.
Et surtout je l'administre à distance ( je suis dans le 91 et il est à marseille). Je n'ai donc pas la possibilité de l'avoir physiquement à côtés de moi.
0
Réponse 10 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 31/05/2010 à 11:10
ha p'tain OK :\

parce que bon on peux tenter Combofix mais je pense que ça va m*rder... et si en plus le serveur reboot, ça va pas être simple à gérer à distance.

On peux essayer ça mais à mon avis, vas falloir se déplacer.
Grosso modo là y a des chance que tu puisses pas toucher le fichier en ayant l'infection active (donc Windows démarré), en allant sur la console de récupération ou un CD Live, tu peux supprimer le fichier et hop c'est fini.

On peux essayer ça...


Télécharge catchme : http://www2.gmer.net/catchme.exe

Une fenêtre va s'ouvrir, vas dans l'onglet Script.
Copie/colle ceci :

files to kill:
C:\WINDOWS\system32\drivers\lixcanzy.sys
Clic sur Run.

Copie/colle le rapport qui est sur le bureau.

Ready To Fall \o/
0
Réponse 11 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 11:10
hmm not good :-(

Processing "Files to kill:"

file zipped: C:\WINDOWS\system32\drivers\lixcanzy.sys -> catchme.zip -> lixcanzy.sys ( 845824 bytes )
kill file error: C:\WINDOWS\system32\drivers\lixcanzy.sys, Un périphérique attaché au système ne fonctionne pas correctement.
0
Réponse 12 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 11:12
et si, par le biais de nod ou d'un autre soft je "bloque" ce fichier ? comme une quarantaine.
0
Réponse 13 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
31 mai 2010 à 11:16
ouaip.

Je pense que Combofix va pas réussir à le virer et surtout j'ai pas trop envie de tenter vu que tu n'es pas physiquement devant...

Tu peux tjrs tenter un unlocker dessus mais je sais pas trop ce que ça va donner et surtout ça risque de rendre le système instable (BSOD).

Le plus sûr au niveau du résultat c'est console de récupération ou CD Live mais là faut être devant.
0
Réponse 14 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 11:27
j'ai tenté en direct mais rien évidemment : "impossible de lire à partir du fichier ou de la disquette source"
et aucun info sur ce fichier sur le net .. dommage.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 31/05/2010 à 11:29
Le nom du fichier est aléatoire, donc tu risques pas de trouver d'infos à partir du nom du fichier.
Vu que ton serveur spam, y a des chances que ce soit un Rustock :)

J'ai pas trop envie de tenter des choses étant donné que tu es en prise en main à distance.
0
Réponse 15 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 11:34
c'est donc une impasse, sauf bloquer le port 25
0
Réponse 16 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 12:33
j'ai arrêté le services smtp du serveur : euh ça continue à spammer; là je n' ai plus de solution.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 31/05/2010 à 12:36
Le client SMTP est embarqué dans le rootkit.

Fais une règle sur la livebox pour sortir que vers les serveurs SMTP d'orange ou une règle pour bloquer la machine serveur en sortir SMTP.

T'as que ça à faire.
0
Réponse 17 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 31/05/2010 à 15:07
Je pense que t'es obligé d'intervenir dessus (console ou CD Live) et je ne préfére rien faire par sécurité.

Je pense que tu seras d'accord avec moi, il vaut mieux que le serveur fonctionne en continuant de spammer (OK t'es blacklisté mais je doute que vous faissiez de l'hébergement ou que ce soit trop génant), qu'on fasse un truc et que le serveur plante ou je ne sais quoi et que vous soyiez obligé d'y aller en urgence et pendant ce temps là les utilisateurs peuvent plus rien faire.

Ready To Fall \o/
0
Réponse 18 / 18
blablablu Messages postés 286 Date d'inscription lundi 22 février 2010 Statut Membre Dernière intervention 7 mars 2012 9
31 mai 2010 à 16:30
tu as raison, je vais "dealer" avec orange déjà pour savoir si ce que j'ai fait a eu de l'effet ou pas selon eux , ensuite... on verra.
En tout cas je te tiens au courant et merci pour ton aide. ( j'ai vu ton site au fait).
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
Pas d'internet - Impossible d'atteindre le serveur DHCP
Meelia -
Meelia -

5 réponses
Point relais cdiscount
darkcoco1 -
ddf -

2 réponses
chaima csc
chaima -
chaima -

1 réponse
Comment reconnaitre si un SMS m'indiquant un message vocal est une arnaque ?
kikidefer -
brucine -

9 réponses