Votre question

Logs HJT sur un NT4 Server SP6

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Novembre 2007 16:01:34

Bonjour,

Nous avons depuis plusieurs jours (suite à une infection virale plus ou moins globale sur un réseau); des soucis avec un vieux serveur NT4 SP6 qui a l'air de refuser les connexions de type partage et autres au bout d'un moment.

Je viens vers vous pour soumettre la trace HiJack This qui a été faites sur ce serveur. Nous avons déjà effectué quelques nettoyages, mais rien n'y fait, même si bcp de symptomes ont disparus (process CMD.exe qui passait à 100% du cpu au bout d'une heure, connexions sur l'interface loopback qui augmentait avec le temps, etc...).

Dans la log il y a une avec VTTRAY.exe que nous avons isolé, mais nous n'avons pu faire autrement que de supprimer le fichier à la main, faute d'outils plus efficaces (fonctionnant sur NT4 Server).

Petite précision, Je n'ai pas d'accès direct sur la machine, donc je vous demanderai d'être patient sur mes réponses lors de vos propositions, le temps que je passe sur la machine pour tester.

Merci à vous :) 

--------------

Logfile of HijackThis v1.99.1
Scan saved at 18:52:02, on 13/11/07
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\msdtc.exe
C:\ARCSERVE\dbeng.exe
C:\WINNT\System32\ASDscSvc.exe
C:\ARCSERVE\RDS.EXE
C:\ARCSERVE\jobeng.exe
C:\ARCSERVE\msgeng.exe
C:\ARCSERVE\tapeeng.exe
C:\Program Files\pcANYWHERE\awhost32.exe
C:\Program Files\Quest Software\Big Brother BTF\BBNT\1.08d\bin\bbnt.exe
C:\ALERT\alert.exe
C:\WINNT\SYSTEM32\CPQRCMC.EXE
C:\TANGO\BIN\service.exe
C:\Tango\Bin\DexSrv.exe
d:\nav\defwatch.exe
c:\tango\dexsrv\standard\DexAWatchSvc.exe
C:\WINNT\System32\cba\pds.exe
C:\Program Files\Borland\IntrBase\bin\ibguard.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
d:\nav\rtvscan.exe
C:\WINNT\System32\nddeagnt.exe
c:\winnt\system32\pstores.exe
C:\WINNT\System32\LOCATOR.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\NTACMON.EXE
C:\WINNT\System32\loadwc.exe
C:\WINNT\SYSTEM32\DRIVERS\SYSDOWN.EXE
C:\Program Files\Borland\IntrBase\BIN\ibserver.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\System32\hpnra.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\MsgSys.EXE
D:\nav\vptray.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
G:\llis\Nettoyage spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.keolis.com:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NTACMON] NTACMON.EXE
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [InterBase Server] "C:\Program Files\Borland\IntrBase\BIN\ibserver.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\System32\hpnra.exe
O4 - HKLM\..\Run: [vptray] d:\nav\vptray.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O11 - Options group: [Accessibilité] Accessibilité
O13 - WWW. Prefix: http://
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.95.6 192.168.4.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.95.6 192.168.4.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.95.6 192.168.4.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: ARCserve Database Engine (ASDBEngine) - Unknown owner - C:\ARCSERVE\dbeng.exe
O23 - Service: Cheyenne Discovery Service (ASDiscoverySvc) - Unknown owner - C:\WINNT\System32\ASDscSvc.exe
O23 - Service: ARCserve Job Engine (ASJobEngine) - Unknown owner - C:\ARCSERVE\jobeng.exe
O23 - Service: ARCserve Message Engine (ASMsgEngine) - Unknown owner - C:\ARCSERVE\msgeng.exe
O23 - Service: ARCserve Tape Engine (ASTapeEngine) - Unknown owner - C:\ARCSERVE\tapeeng.exe
O23 - Service: pcANYWHERE Host Service (awhost32) - Symantec Corporation - C:\Program Files\pcANYWHERE\awhost32.exe
O23 - Service: Big Brother SNM Client 1.08d (BigBrotherClient) - Unknown owner - C:\Program Files\Quest Software\Big Brother BTF\BBNT\1.08d\bin\bbnt.exe
O23 - Service: Cheyenne Alert Notification Server - Cheyenne Division Of Computer Associates International, Inc. - C:\ALERT\alert.exe
O23 - Service: Compaq NIC Management Agents (CPQNicMgmt) - Compaq Computer Corp. - C:\WINNT\system32\cpqnimgt\CPQNIMGT.EXE
O23 - Service: Compaq Remote Monitor Service (CPQRCMC) - Compaq Computer Corporation - C:\WINNT\SYSTEM32\CPQRCMC.EXE
O23 - Service: Insight Web Agent (CpqWebMgmt) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CPQWMGMT.EXE
O23 - Service: Insight Host Agents (CqMgHost) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgHost\CqMgHost.exe
O23 - Service: Insight Server Agents (CqMgServ) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgServ\CqMgServ.EXE
O23 - Service: Insight Storage Agents (CqMgStor) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgStor\CqMgStor.EXE
O23 - Service: DataExchanger Server (DataExchanger) - Unknown owner - C:\TANGO\BIN\service (file missing)
O23 - Service: DefWatch - Symantec Corporation - d:\nav\defwatch.exe
O23 - Service: DexAWatch - Cross DataBase Technology - c:\tango\dexsrv\standard\DexAWatchSvc.exe
O23 - Service: Intel Alert Handler - Intel Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINNT\System32\cba\pds.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\IntrBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\IntrBase\bin\ibserver.exe
O23 - Service: Norton AntiVirus Server - Symantec Corporation - d:\nav\rtvscan.exe
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINNT\VTTray.exe (file missing)
O23 - Service: Compaq System Shutdown Service (SysDown) - Compaq Computer Corporation - C:\WINNT\SYSTEM32\DRIVERS\SYSDOWN.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)



Autres pages sur : logs hjt nt4 server sp6

a b 8 Sécurité
15 Novembre 2007 16:53:11

Bonjour,

C'est apparemment ok.
Je pense plus à un problème Hardware.
15 Novembre 2007 17:09:07

Merci pour la réponse rapide !

Y'aurait-il une possibilité que cela provienne d'un poste alentour qui serait infecté par un trojan et qui exploiterait une éventuelle faille de sécurité du serveur... Nous avons passé les mises à jour en bloc récemment mais bon, on ne sait jamais.
a b 8 Sécurité
15 Novembre 2007 17:11:31

Je ne pense pas.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS