Ver sous exchange 2003

al56 -  
aquilonix Messages postés 1 Date d'inscription   Statut Membre -
Bonjour,
j'ai un soucis avec mon serveur exchange 2003 (sous windows 2000 server) qui envoi énormément de mèl. Je pense que c'est un ver qui utilise le connecteur smtp, avez vous rencontré un problème similaire ?
j'ai passé plusieurs scan d'antivirus, de spyware... aucun ne trouve quelque chose...je désepère... on a fait des tests on est normalement pas en openrelay....
merci pour vos suggestions...
Configuration: Exchange 2003 sur serveur Windows 2000

9 réponses

  1. al56
     
    Merci pour ta réponse, voilà mo rapport :
    Logfile of HijackThis v1.99.1
    Scan saved at 10:24:33, on 11/01/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
    C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\system32\inetsrv\inetinfo.exe
    C:\WINNT\System32\llssrv.exe
    C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
    C:\WINNT\system32\ntfrs.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
    C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\system32\msdtc.exe
    C:\Program Files\Exchsrvr\bin\exmgmt.exe
    C:\Program Files\Exchsrvr\bin\mad.exe
    C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
    C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
    C:\Program Files\Exchsrvr\bin\store.exe
    C:\Program Files\Exchsrvr\bin\emsmta.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
    C:\WINNT\system32\svchost.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [PRONoMgrWired] c:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135783260000
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.local
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BC96B791-F67D-4688-8FAD-478057832265}: NameServer = 192.168.1.100,192.168.1.99
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D417A754-0F38-4A18-82DA-79A32E0605E1}: NameServer = 192.168.1.98,192.168.1.99
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.local
    O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
    O23 - Service: BitDefender for File Servers (BDFS) - Unknown owner - C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
    O23 - Service: BitDefender NPCore (BDNPCORE) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
    O23 - Service: BitDefender Registry v2 (BDREGISTRY) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
    O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
    O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
    O23 - Service: BitDefender Update Service (XLiveSvr) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
    0
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bjr
    installe ces logs
    fais les tous fonctionner
    et colle moi un rapport de "ewido"
    0
  3. al56
     
    Merci je fais cela.
    Oui j'utilise bitdfender
    @+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bsr
    ok
    j'attends les différ. rapports pour demain
    bon courage
    0
  6. al56
     
    bsr,
    comme convenu des logs....

    ewido :
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 18:56:16, 12/01/2006
    + Somme de contrôle: 72DBC69C

    + Résultats du scan:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
    C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
    C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder
    C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

    ::Fin du rapport

    du alexa et quelques cookiees comme avec adaware ou spybot...

    smitfraudfix :

    SmitFraudFix v2.14

    Rapport fait à 18:57:59,62 le jeu. 12/01/2006
    Executé à partir de D:\Bureautique\Informatique\utils\SmitfraudFix
    OS: Microsoft Windows 2000 [Version 5.00.2195]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur.SVR_DATA\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    pour le mode sans echec c'est difficile, c'est une machine de prod... dès que je peux j'essai...

    pour bit def, rien non plus....
    BitDefender Online Scanner - Rapport virus en temps réel
    Généré à: Thu, Jan 12, 2006 - 19:07:16

    Info d'analyse
    Fichiers scannés 422179
    Infectés Fichiers 0
    Virus Détectés
    Aucun virus trouvé.

    Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

    c'est le désepoire, je ne sais pas ou se cache ce ver mais il est bien caché !
    0
  7. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bjr
    j'ai trait' ce pb déjà
    je recherche dans mes notes
    là j'vais bouffer

    fixe les 016 tout le temps
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135783260000
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab

    fais option 2 en sans échec et colle rapport

    remets un hijack

    à plus tard
    0
  8. al56
     
    Salut à toi,
    alors voila un nouveau log hijack...
    Logfile of HijackThis v1.99.1
    Scan saved at 08:54:50, on 16/01/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\system32\inetsrv\inetinfo.exe
    C:\WINNT\System32\llssrv.exe
    C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
    C:\WINNT\system32\ntfrs.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\system32\msdtc.exe
    C:\Program Files\Exchsrvr\bin\exmgmt.exe
    C:\Program Files\Exchsrvr\bin\mad.exe
    C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
    C:\Program Files\Exchsrvr\bin\store.exe
    C:\Program Files\Exchsrvr\bin\emsmta.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\mdm.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
    C:\Program Files\Fichiers communs\Softwin\XLog\nplogger.exe
    C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
    C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
    C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
    C:\Program Files\Fichiers communs\Softwin\Statistics\BDstat.exe
    C:\Program Files\Softwin\BitDefender for MS Exchange 2003\xconnector.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [PRONoMgrWired] c:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.local
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BC96B791-F67D-4688-8FAD-478057832265}: NameServer = 192.168.1.100,192.168.1.99
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D417A754-0F38-4A18-82DA-79A32E0605E1}: NameServer = 192.168.1.98,192.168.1.99
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.local
    O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
    O23 - Service: BDConnector Service (bdconnector) - Unknown owner - C:\Program Files\Softwin\BitDefender for MS Exchange 2003\xconnector.exe
    O23 - Service: BitDefender for File Servers (BDFS) - Unknown owner - C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
    O23 - Service: BitDefender NPCore (BDNPCORE) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
    O23 - Service: BitDefender Registry v2 (BDREGISTRY) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
    O23 - Service: BitDefender Statistics (BDSTATSRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Statistics\BDstat.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
    O23 - Service: BitDefender NPLogger (NPLogger) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\XLog\nplogger.exe
    O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
    O23 - Service: BitDefender Update Service (XLiveSvr) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe

    j'ai fixé les 016.
    Toujours des noms de domaine dans ma file d'attente...je sais plus trop quoi faire, les scans en lignes ne trouve rien....
    0
  9. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bjr
    fixe cette ligne délétére

    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

    0
    1. aquilonix Messages postés 1 Date d'inscription   Statut Membre
       
      bonjour , jai le meme probleme sur exchange et je ne sais pas quoi faire merci de maider svp
      0