Probléme sur serveur
Hpn
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Mon serveur délire complètement j'ai essayé pas mal d'antivirus et autres mais je n'ai jamais rien trouvé. Et certains antivirus ne peuvent pas s'installer (alors que je suis en mode administrateur) il me dit que l'administrateur ne veux pas que ça s'installe. Tout allé bien jusqu'au moment ou j'ai du rentrer dans la page de config de ma livebox, j'ai donc du installer java, et j'ai été obligé d'accepter des controle activex les problémes ont commencés le lendemain.
je vous met le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:57, on 01/10/2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
F:\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onecare.live.com/site/fr-be/scanner/install.htm?scanner=default&goback=http%3A%2F%2Fonecare.live.com%2Fsite%2Ffr-be%2Fcenter%2Fwhatsnew.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto
O4 - HKLM\..\RunOnce: [ccube_Install_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe" /null
O4 - HKLM\..\RunOnce: [TSC] "C:\WINDOWS\temp\tismsi\tsc.exe" /HD
O4 - HKLM\..\RunOnce: [ccube_Cleanup] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe" /cleanup
O4 - HKLM\..\RunOnce: [ccube_Uninstall_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe" /null
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\S-1-5-21-2696812367-4140311691-3025313880-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://view.atdmt.com
O15 - ESC Trusted Zone: https://www.eset.com/
O15 - ESC Trusted Zone: https://www.google.fr/?gws_rd=ssl
O15 - ESC Trusted Zone: http://mozilla.ftp.iij.ad.jp
O15 - ESC Trusted Zone: http://js.shared.live.com
O15 - ESC Trusted Zone: https://www.bing.com/search?q=onecare%20live&form=MSDTR1&toHttps=1&redig=1C92C1A5A5B14363B76B4872209A5D58
O15 - ESC Trusted Zone: http://shared.live.com
O15 - ESC Trusted Zone: http://ftp.df.lth.se
O15 - ESC Trusted Zone: http://www.mozilla-europe.org
O15 - ESC Trusted Zone: http://jp-nii02.mozilla.org
O15 - ESC Trusted Zone: http://rad.msn.com
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://sunsite.rediris.es
O15 - ESC Trusted Zone: http://kyoto-mz-dl.sinet.ad.jp
O15 - ESC Trusted Zone: http://laotzu.acc.umu.se
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://serveur/tsweb/msrdp.cab
--
End of file - 5110 bytes
Merci d'avance. je suis allé sur le site http://www.hijackthis.de/fr pour mon rapport et m'a donné ces éléments la dans la short analyse.
[?] - O4 - HKLM\..\RunOnce: [ccube_Install_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe" /null
[?] - O4 - HKLM\..\RunOnce: [TSC] "C:\WINDOWS\temp\tismsi\tsc.exe" /HD
[?] - O4 - HKLM\..\RunOnce: [ccube_Cleanup] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe" /cleanup
[?] - O4 - HKLM\..\RunOnce: [ccube_Uninstall_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe" /null
Mon serveur délire complètement j'ai essayé pas mal d'antivirus et autres mais je n'ai jamais rien trouvé. Et certains antivirus ne peuvent pas s'installer (alors que je suis en mode administrateur) il me dit que l'administrateur ne veux pas que ça s'installe. Tout allé bien jusqu'au moment ou j'ai du rentrer dans la page de config de ma livebox, j'ai donc du installer java, et j'ai été obligé d'accepter des controle activex les problémes ont commencés le lendemain.
je vous met le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:57, on 01/10/2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
F:\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onecare.live.com/site/fr-be/scanner/install.htm?scanner=default&goback=http%3A%2F%2Fonecare.live.com%2Fsite%2Ffr-be%2Fcenter%2Fwhatsnew.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto
O4 - HKLM\..\RunOnce: [ccube_Install_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe" /null
O4 - HKLM\..\RunOnce: [TSC] "C:\WINDOWS\temp\tismsi\tsc.exe" /HD
O4 - HKLM\..\RunOnce: [ccube_Cleanup] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe" /cleanup
O4 - HKLM\..\RunOnce: [ccube_Uninstall_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe" /null
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\S-1-5-21-2696812367-4140311691-3025313880-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://view.atdmt.com
O15 - ESC Trusted Zone: https://www.eset.com/
O15 - ESC Trusted Zone: https://www.google.fr/?gws_rd=ssl
O15 - ESC Trusted Zone: http://mozilla.ftp.iij.ad.jp
O15 - ESC Trusted Zone: http://js.shared.live.com
O15 - ESC Trusted Zone: https://www.bing.com/search?q=onecare%20live&form=MSDTR1&toHttps=1&redig=1C92C1A5A5B14363B76B4872209A5D58
O15 - ESC Trusted Zone: http://shared.live.com
O15 - ESC Trusted Zone: http://ftp.df.lth.se
O15 - ESC Trusted Zone: http://www.mozilla-europe.org
O15 - ESC Trusted Zone: http://jp-nii02.mozilla.org
O15 - ESC Trusted Zone: http://rad.msn.com
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://sunsite.rediris.es
O15 - ESC Trusted Zone: http://kyoto-mz-dl.sinet.ad.jp
O15 - ESC Trusted Zone: http://laotzu.acc.umu.se
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://serveur/tsweb/msrdp.cab
--
End of file - 5110 bytes
Merci d'avance. je suis allé sur le site http://www.hijackthis.de/fr pour mon rapport et m'a donné ces éléments la dans la short analyse.
[?] - O4 - HKLM\..\RunOnce: [ccube_Install_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe" /null
[?] - O4 - HKLM\..\RunOnce: [TSC] "C:\WINDOWS\temp\tismsi\tsc.exe" /HD
[?] - O4 - HKLM\..\RunOnce: [ccube_Cleanup] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe" /cleanup
[?] - O4 - HKLM\..\RunOnce: [ccube_Uninstall_Lock] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe" /null
Configuration: Windowsserveur 2003 Firefox 3.0.3
6 réponses
-
Merci à toi jlpjlp
Pour l'antivirus j'en avait un (end point) mais il a viré et impossible de le relancer... comme explique ci-dessus.
voila le 1er rapport :
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe moved successfully.
C:\WINDOWS\temp\tismsi\tsc.exe moved successfully.
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe moved successfully.
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10012008_144300
la je suis en train de scanner avec malware. je post le scan dés que c'est finit. et encore merci à toi ! -
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1225
Windows 5.2.3790 Service Pack 2
01/10/2008 15:25:47
mbam-log-2008-10-01 (15-25-47).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 124332
Temps écoulé: 19 minute(s), 33 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Panda est en cours il a déjà trouvé des choses -
;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-10-02 08:36:04
PROTECTIONS: 0
MALWARE: 7
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@apmebf[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[2].txt
00207862 Cookie/did-it TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@did-it[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent Location ?@s5k
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description ?@s5k
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Voila le scan panda -
slt
le rapport hijakchits est incomplet .... aucune protection???
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_001.exe
C:\WINDOWS\temp\tismsi\tsc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cacu_001.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cazz_002.exe
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_______________________
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
________________________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
ok rien que des cookies
encore des osuics???
si oui:
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
