Sujet Précédent Sujet Suivant

Serveur qui s'eteint tous les soirs ?!

Fermé
mrmomo - 4 avril 2012 à 21:56
 mrmomo - 5 avril 2012 à 17:18
Bonjour,


J'ai une machine virtuel qui fait office de serveur (2003 server), et tous les matin je dois la rallumer

dans les log de vmware server, j'ai pas grand chose mis à part que tous les 00:05 (dans c'est eaux là), la vm se met en power off :/

Bon après investigation, voila ce que j'ai dans le journaux des events :

dans les events j'ai ça de suspect

Type de l'événement : Informations
Source de l'événement : USER32
Catégorie de l'événement : Aucun
ID de l'événement : 1074
Date : 04/04/2012
Heure : 00:00:00
Utilisateur : xxx\administrateur
Ordinateur : coco
Description :
Le processus winlogon.exe a lancé le se mettre hors tension. de l'ordinateur coco pour l'utilisateur xxx\Administrateur pour la raison suivante : Aucun titre à cette raison n'a pu être trouvé
. Code : 0x840000ff
. Type d'extinction : se mettre hors tension.
. Commentaire : .
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: ff 00 00 84 ÿ.."


j'arrive pas à trouver ce qui déclenche cela

de + NOD32 ne me trouve rien
et malware's byte non plus

voici un rapport hijack si ça interesse


_____________________________________________
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:32:04, on 04/04/2012
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\tcpsvcs.exe
D:\MS-Exchange\bin\exmgmt.exe
D:\MS-Exchange\bin\mad.exe
C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
D:\MS-Exchange\bin\store.exe
D:\MS-Exchange\bin\emsmta.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\TeamViewer\Version7\TeamViewer.exe
C:\WINDOWS\Explorer.EXE
c:\progra~1\bginfo\bginfo.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\bginfo\bginfo.exe
c:\progra~1\bginfo\bginfo.exe
C:\Program Files\TeamViewer\Version7\tv_w32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [BgInfo] c:\progra~1\bginfo\bginfo c:\progra~1\bginfo\bgivisa.bgi /timer:0 /all
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC44} (Encrypt Class) - https://192.168.1.204/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBEDCC} (Console d'administration de Security Server) - https://192.168.1.204/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cdg.local
O17 - HKLM\Software\..\Telephony: DomainName = cdg.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE3AAFF5-F749-4ECF-9E07-17D57725568C}: Domain = cdg.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE3AAFF5-F749-4ECF-9E07-17D57725568C}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cdg.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = cdg.local
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Serveur DNS (DNS) - Unknown owner - C:\WINDOWS\System32\dns.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Centre de distribution de clés Kerberos (kdc) - Unknown owner - C:\WINDOWS\System32\lsass.exe
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Microsoft Exchange - Service Événement (MSExchangeES) - Unknown owner - D:\MS-Exchange\bin\events.exe
O23 - Service: Gestion de Microsoft Exchange (MSExchangeMGMT) - Unknown owner - D:\MS-Exchange\bin\exmgmt.exe
O23 - Service: Microsoft Exchange - Surveillance du système (MSExchangeSA) - Unknown owner - D:\MS-Exchange\bin\mad.exe
O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Service de réplication de fichiers (NtFrs) - Unknown owner - C:\WINDOWS\system32\ntfrs.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Services IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Fournisseur d'un jeu de stratégie résultant (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe
O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: Service de disque virtuel (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe
O23 - Service: Service VMware Tools (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: Service d'aide du disque physique VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmacthlp.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

10 réponses

Réponse 1 / 10
mrmomo
Modifié par mrmomo le 4/04/2012 à 22:00
c'est frustrant ces logs car le scan de log de hijackthis me trouve cette ligne suspect

O23 - Service: Fournisseur d'un jeu de stratégie résultant (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe

(bon apparement c'est du trojan d'aprés systemlookup.com)


par contre le site hjt.iamnotageek.com m'indique que c'est ctfmon qui est infecté o_O
or ctfmon c'est un process légitime de windows d'après ce que je sais
et là le site officiel de hijack me dit rien
par contre si je colle la ligne dans systemlookup là il cri au trojan ...

bref j'ai pas trop envi de faire des bêtises avec la base des registres du coup merci de votre aide ^^
0
Réponse 2 / 10
MArio
4 avril 2012 à 22:00
J'ai pas compris tu veux que l'ont aide pour quoi faire ?
0
Templier Nocturne Messages postés 7734 Date d'inscription jeudi 22 janvier 2009 Statut Membre Dernière intervention 21 mai 2016 1 103
4 avril 2012 à 22:01
ben qu'on l'aide à trouver l'origine du problème...
0
Réponse 3 / 10
mrmomo
4 avril 2012 à 22:05
c'est un serveur de messagerie exchange qui est sur cette machine virtuel.

du coup si je rallume pas la VM, pas d'outlook <cheese/>

donc si vous pourriez m'aider à comprendre le souci

Merci d'avance
0
Réponse 4 / 10
MArio
4 avril 2012 à 22:09
Bah j'ai pas tellement compris ton problème je suis long a la détente -_-,
Mais bon :
Windows + r ::> msconfig ::> Démarrage ::> Et tu coches ton server :).
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
mrmomo
4 avril 2012 à 22:10
ekrn c'est un process NOd32
0
Réponse 6 / 10
hoststart Messages postés 75 Date d'inscription jeudi 22 mars 2012 Statut Membre Dernière intervention 10 avril 2012 2
4 avril 2012 à 22:15
Bon salut Tu as Supprimer tous les éléments détectés avec MalwareBytes ?
0
Réponse 7 / 10
mrmomo
4 avril 2012 à 22:36
MB m'a rien detecté ...

Windows + r ::> msconfig ::> Démarrage ::> Et tu coches ton server :).
o_O ?
0
Réponse 8 / 10
mrmomo
5 avril 2012 à 11:16
petit up pour les pro du log hijack

merci
0
Réponse 9 / 10
mrmomo
5 avril 2012 à 17:18
help !
0
Réponse 10 / 10
MArio
4 avril 2012 à 22:05
Tu connais : C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe ?
-2

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
chaima csc
chaima -
chaima -

1 réponse
Mon pc s'allume et s'éteint en boucle
Jack -
Daniel -

16 réponses
Pas d'internet - Impossible d'atteindre le serveur DHCP
Meelia -
Meelia -

5 réponses
écran qui s'éteint mais pas le PC
tib -
Morgan -

177 réponses