Sujet Précédent Sujet Suivant

Ver sous exchange 2003

Fermé
al56 - 9 janv. 2006 à 14:10
aquilonix Messages postés 1 Date d'inscription vendredi 8 septembre 2006 Statut Membre Dernière intervention 8 septembre 2006 - 8 sept. 2006 à 22:27
Bonjour,
j'ai un soucis avec mon serveur exchange 2003 (sous windows 2000 server) qui envoi énormément de mèl. Je pense que c'est un ver qui utilise le connecteur smtp, avez vous rencontré un problème similaire ?
j'ai passé plusieurs scan d'antivirus, de spyware... aucun ne trouve quelque chose...je désepère... on a fait des tests on est normalement pas en openrelay....
merci pour vos suggestions...
A voir également:

9 réponses

Réponse 1 / 9
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
9 janv. 2006 à 14:16
bjr
envoie tes entrailles
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
explication
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
Réponse 2 / 9
al56
11 janv. 2006 à 10:39
Merci pour ta réponse, voilà mo rapport :
Logfile of HijackThis v1.99.1
Scan saved at 10:24:33, on 11/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\system32\msdtc.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINNT\system32\svchost.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135783260000
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC96B791-F67D-4688-8FAD-478057832265}: NameServer = 192.168.1.100,192.168.1.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{D417A754-0F38-4A18-82DA-79A32E0605E1}: NameServer = 192.168.1.98,192.168.1.99
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.local
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
O23 - Service: BitDefender for File Servers (BDFS) - Unknown owner - C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
O23 - Service: BitDefender NPCore (BDNPCORE) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
O23 - Service: BitDefender Registry v2 (BDREGISTRY) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
O23 - Service: BitDefender Update Service (XLiveSvr) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
0
Réponse 3 / 9
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
11 janv. 2006 à 15:20
bjr
installe ces logs
fais les tous fonctionner
et colle moi un rapport de "ewido"
0
Réponse 4 / 9
al56
11 janv. 2006 à 21:12
Merci je fais cela.
Oui j'utilise bitdfender
@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
12 janv. 2006 à 03:23
bsr
ok
j'attends les différ. rapports pour demain
bon courage
0
Réponse 6 / 9
al56
12 janv. 2006 à 19:18
bsr,
comme convenu des logs....

ewido :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 18:56:16, 12/01/2006
+ Somme de contrôle: 72DBC69C

+ Résultats du scan:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.SVR_DATA\Cookies\administrateur@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder


::Fin du rapport

du alexa et quelques cookiees comme avec adaware ou spybot...

smitfraudfix :

SmitFraudFix v2.14

Rapport fait à 18:57:59,62 le jeu. 12/01/2006
Executé à partir de D:\Bureautique\Informatique\utils\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur.SVR_DATA\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

pour le mode sans echec c'est difficile, c'est une machine de prod... dès que je peux j'essai...

pour bit def, rien non plus....
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Thu, Jan 12, 2006 - 19:07:16

Info d'analyse
Fichiers scannés 422179
Infectés Fichiers 0
Virus Détectés
Aucun virus trouvé.

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.


c'est le désepoire, je ne sais pas ou se cache ce ver mais il est bien caché !
0
Réponse 7 / 9
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
12 janv. 2006 à 20:41
bjr
j'ai trait' ce pb déjà
je recherche dans mes notes
là j'vais bouffer

fixe les 016 tout le temps
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135783260000
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab


fais option 2 en sans échec et colle rapport

remets un hijack


à plus tard
0
Réponse 8 / 9
al56
16 janv. 2006 à 12:27
Salut à toi,
alors voila un nouveau log hijack...
Logfile of HijackThis v1.99.1
Scan saved at 08:54:50, on 16/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\system32\msdtc.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mdm.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
C:\Program Files\Fichiers communs\Softwin\XLog\nplogger.exe
C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe
C:\Program Files\Fichiers communs\Softwin\Statistics\BDstat.exe
C:\Program Files\Softwin\BitDefender for MS Exchange 2003\xconnector.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC96B791-F67D-4688-8FAD-478057832265}: NameServer = 192.168.1.100,192.168.1.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{D417A754-0F38-4A18-82DA-79A32E0605E1}: NameServer = 192.168.1.98,192.168.1.99
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.local
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
O23 - Service: BDConnector Service (bdconnector) - Unknown owner - C:\Program Files\Softwin\BitDefender for MS Exchange 2003\xconnector.exe
O23 - Service: BitDefender for File Servers (BDFS) - Unknown owner - C:\Program Files\Softwin\BitDefender for File Servers\bdfs.exe
O23 - Service: BitDefender NPCore (BDNPCORE) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\npcoresrv.exe
O23 - Service: BitDefender Registry v2 (BDREGISTRY) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\bdregsvr2.exe
O23 - Service: BitDefender Statistics (BDSTATSRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Statistics\BDstat.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: BitDefender NPLogger (NPLogger) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\XLog\nplogger.exe
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
O23 - Service: BitDefender Update Service (XLiveSvr) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\Live\xlivesvr.exe

j'ai fixé les 016.
Toujours des noms de domaine dans ma file d'attente...je sais plus trop quoi faire, les scans en lignes ne trouve rien....
0
Réponse 9 / 9
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
16 janv. 2006 à 13:38
bjr
fixe cette ligne délétére

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

0
aquilonix Messages postés 1 Date d'inscription vendredi 8 septembre 2006 Statut Membre Dernière intervention 8 septembre 2006
8 sept. 2006 à 22:27
bonjour , jai le meme probleme sur exchange et je ne sais pas quoi faire merci de maider svp
0

Discussions similaires

Departure from outward office of exchange, ça veut dire quoi ?
Winry547 -
elodieri91 -

4 réponses
télécharger et installer WORD 2003 GRATUIT sur mon PC
TOGONME -
Utilisateur anonyme -

1 réponse
Problème de configuration exchange sur Iphone
Fred16 -
Lily -

22 réponses
retrouver un mot de passe exchange ?
philippe40 -
dsy73 -

1 réponse
Installation OFFICE 2003 sur WINDOWS 10
YMERLEMAH -
canto44 -

6 réponses