Flux rss
Ils ont besoin de votre aide
Collection CommentCaMarche.net
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Hacktool incurable !

Jeetiz, le mardi 26 février 2008 à 10:08:05
Salutatous,

J'ai été récemment victime d'un hacktool visiblement sur un serveur web professionel.
Il s'agit d'un Windows 2000 Server SP4, mais je n'ai pas installé toutes les mises à jour de sécurité car c'est un serveur web en prod accessible directement depuis l'extérieur (en DMZ).

Mais là, j'ai reçu un mail d'Oléane m'informant qu'ils couperaient la ligne si je ne stop pas les tentatives de spam (attaque depuis mon adresse IP publique dans les logs)..

L'antivirus Symantec (définition: 24/02/2008 rev.3) ne me detecte rien du tout...

Pourtant avec un TCPview, j'aperçois une cinquantaine de requêtes à la seconde sur des ports standards (IMAP, SMTP, SSH, ...) vers des adresses IP publiques... (voir screen => http://img213.imageshack.us/img213/6883/tcpdl9.jpg)

Je suis donc passer par un scan online de PandaActiveScan qui m'a detecter un problème sur le fichier "svchxp.kk3" (dans c:/WINNT/...), je ne sais pas si le problème vient de se fichier..

Et analyser ce même fichier par virustotal, site qui analyse un fichier particulier sur 32 antivirus, parmi les 32, 8 m'ont detecter 'quelque chose' sans savoir vraiment quoi, mais il s'agirait d'un hacktool-scanline ou qql chose du genre...

Voir le résultat => Link: http://download.yousendit.com/631532981B4BB008
Répondre à Jeetiz  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Jeetiz, le mardi 26 février 2008 à 10:09:45
edit:
Le lien pour l'image ne fonctionnait pas:
http://img213.imageshack.us/img213/6883/tcpdl9.jpg
   
Répondre à Jeetiz

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 Jeetiz, le mardi 26 février 2008 à 16:20:34
Voici les logs HJT (hostname = sama02):
J'ai notamment des doutes sur:

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O16 - DPF: {576756A1-D97C-45D0-A945-0324019A131E} (BOSIActiveFormX Control) - http://sama02:81/infotrackit/downloads/BOSIActiveXGrid.cab

O23 - Service: Pegasus WMI Mapper (WMI Mapper) - Unknown owner - C:\Program Files\The Open Group\WMI Mapper\bin\WMIServer.exe



Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
D:\ORACLE\9IAS\Apache\Apache\Apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
D:\ORACLE\9IAS\Apache\Apache\Apache.exe
C:\hp\hpsmh\bin\smhstart.exe
D:\ORACLE\9IAS\Apache\jdk\bin\java.exe
D:\ORACLE\9IAS\Apache\jdk\bin\java.exe
C:\WINNT\TIREMOTE\wuser32.exe
C:\WINNT\TIREMOTE\TIRemoteService.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\The Open Group\WMI Mapper\bin\WMIServer.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\CPQNiMgt\cpqnimgt.exe
C:\WINNT\system32\CpqRcmc.exe
C:\WINNT\system32\CPQMgmt\CqMgServ\cqmgserv.exe
C:\WINNT\system32\CPQMgmt\CqMgStor\cqmgstor.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\msdtc.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINNT\system32\sysdown.exe
C:\WINNT\system32\CPQMgmt\CqMgHost\cqmghost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\WINNT\system32\cpqteam.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Symantec AntiVirus\VPC32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur.FPT\Bureau\stng380.exe
C:\Documents and Settings\Administrateur.FPT\Bureau\tcpview\Tcpview.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.FPT\LOCALS~1\Temp\1\Rar$EX00.391\HijackThis.exe
C:\DOCUME~1\ADMINI~1.FPT\LOCALS~1\Temp\1\Rar$EX00.297\HijackThis.exe
C:\DOCUME~1\ADMINI~1.FPT\LOCALS~1\Temp\1\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = SPROX01.FPT:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Program Files\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/...
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {576756A1-D97C-45D0-A945-0324019A131E} (BOSIActiveFormX Control) - http://sama02:81/infotrackit/downloads/BOSIActiveXGrid.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6AF2E1A7-A16E-4503-A440-07CA49122CCE} (BOSIRichEditActiveX Control) - http://sama02:81/infotrackit/downloads/BOSIActiveXMemoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fpt
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB2006AC-272B-4B80-B44E-71604C8FB5B6}: Domain = fpt
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB2006AC-272B-4B80-B44E-71604C8FB5B6}: NameServer = 192.168.1.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fpt
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fpt
O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\hpadu\Bin\hpapp.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: HP Insight NIC Agent (CpqNicMgmt) - Hewlett-Packard Company - C:\WINNT\system32\CPQNiMgt\cpqnimgt.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINNT\system32\CpqRcmc.exe
O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINNT\system32\CPQMgmt\CqMgHost\cqmghost.exe
O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINNT\system32\CPQMgmt\CqMgServ\cqmgserv.exe
O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINNT\system32\CPQMgmt\CqMgStor\cqmgstor.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ExecView Communication Module (ECM) (ECM Service) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\NT\ECM\ECM.exe
O23 - Service: Oracle Web Integration Server - Unknown owner - D:\ORACLE\9IAS/panama/webintegration/server/bin/serverSvc.exe
O23 - Service: OracleORACLE9IASAgent - Oracle Corporation - D:\ORACLE\9IAS\bin\dbsnmp.exe
O23 - Service: OracleORACLE9IASClientCache - Unknown owner - D:\ORACLE\9IAS\BIN\ONRSD.EXE
O23 - Service: OracleORACLE9IASDataGatherer - Oracle Corporation - D:\ORACLE\9IAS\bin\vppdc.exe
O23 - Service: OracleORACLE9IASHTTPServer - Unknown owner - D:\ORACLE\9IAS\Apache\Apache\Apache.exe
O23 - Service: OracleORACLE9IASPagingServer - Unknown owner - D:\ORACLE\9IAS/bin/pagntsrv.exe
O23 - Service: OracleORACLE9IASTNSListener - Unknown owner - D:\ORACLE\9IAS\BIN\TNSLSNR.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHP) - Hewlett-Packard Company - C:\hp\hpsmh/bin/smhstart.exe
O23 - Service: Track-It! Remote Control (TIRmtCtl) - Intuit Track-It! - C:\WINNT\TIREMOTE\wuser32.exe
O23 - Service: Track-It! Workstation Manager (TIRmtSvc) - Numara Software, Inc. - C:\WINNT\TIREMOTE\TIRemoteService.exe
O23 - Service: Pegasus WMI Mapper (WMI Mapper) - Unknown owner - C:\Program Files\The Open Group\WMI Mapper\bin\WMIServer.exe
End of file - 10432 bytes
   
Répondre à Jeetiz
Posez votre question Répondre

Résultats pour Hacktool incurable !

[VIRUS] Infecté par Hacktool.rootkit (Résolu) Bonjour à tous, je suis infecté par le virus Hacktool.Rootkit qui me copie le fichier C:\windows\system32\rofl.sys détecté par Norton mais sans succès de suppression : résultat PC tout lent. Plusieurs postes traitent le sujet mais impossible de savoir... www.commentcamarche.net/forum/affich-2065736-virus-infecte-par-hacktool-rootkit
Virus hacktool.rootkit invirable ! (Résolu) Bonjour à tous ! Voilà, depuis 3 jours j'ai choppé le virus hacktool.rootkit détecté avec norton mais avec impossibilité de le supprimer ou de le mettre en quarantaine ! Aprés plusieurs recherches sur google et essayé différentes manipulations je... www.commentcamarche.net/forum/affich-2204341-virus-hacktool-rootkit-invirable
Hacktool.WPE besoin Aide avec Hijackthis log (Résolu) Bonjour J'ai le problème suivant: Norton Antivirus a détecté un Hacktool.WPE sur mon pc. Aussi, lorsque je reboot, j'ai une application qui se multiplie sans arrêt. Vous trouverez ci-bas mon Hijack this log file. Je souhaite éliminer cette... www.commentcamarche.net/forum/affich-3128807-hacktool-wpe-besoin-aide-avec-hijackthis-log

Résultats pour Hacktool incurable !

Suppimer le Hacktool.rootkit (Résolu)Bonjour, Suite à un scan Norton a détecté un virus : le Hacktool.Rootkit. le nom du fichier est SVKP.sys. Pouvez-vous me dire comment le supprimer? Merci beaucoup, Azeaze www.commentcamarche.net/forum/affich-1867285-suppimer-le-hacktool-rootkit
[virus] Infecté par win32.hacktool.toolevid (Résolu)Bonjour je suis nouveau membre sur le forum. Ad-Aware m'a détecté "win32.hacktool.toolevid". Je vous transmets le rapport Hijackthis afin que vous puissiez m'aider à l'éradiquer. Merci par avance. Logfile of HijackThis v1.99.1 Scan... www.commentcamarche.net/forum/affich-3072622-virus-infecte-par-win32-hacktool-toolevid
XP D VIRUS hacktool.rootkit [WINDOWS/syst32] (Résolu)bonjour à tous ! novice à besoin de votre aide SVP atteint par virus hacktool.rootkit environs 6 fichiers : détails : sytem32\ntoskrnl.exe : kernel 5 service en cours d'execution 1 oddyssee 1 stephane www.commentcamarche.net/forum/affich-2998513-xp-d-virus-hacktool-rootkit-windows-syst32
Réponses suivantes