Votre question

SUPPRESSION FICHIERS DS REPERTOIRE SYSTEME32

Tags :
  • Serveur
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Février 2006 07:38:17

- Description du réseau :

Serveur HP ML230.
Réseau sous OS Windows serveur 2003.
Système de 3 disques en Raid 5.
Un antivirus Symantec Norton Antivirus.
Sauvegarde journalière sur disque dur amovible par le logiciel Live state de symantec.
32 postes.

- Historique :


Découverte du problème d’abord par l’impossibilité d’accéder à certains outils d’administration de Windows puis par l’impossibilité de ré-ouvrir la session.
En le redémarrant le serveur Windows ne se lance pas, fichier Hal.dll manquant.
C’est à ce moment que nous avons découvert que ce « virus » supprimait des fichiers du répertoire système 32.
Nous avons remise en place le système par une réparation de Windows en bootant sur le cd et ce deux fois. Ce qui permettait de restaurer les fichiers manquants.
La 3ème fois, impossibilité de restaurer (trop de fichiers endommagés).
Réinstallation complète de Windows obligatoire.
Tout au long de ces diverses restaurations, des analyses par l’antivirus et des anti-spyware ont été faites, mais en vain.
Dans l’impossibilité de trouver quoique ce soit, nous isolons le serveur. Nous formatons la partition C (system) et réinstallons windows.
Avant de ré adjoindre les postes nous les analysons 1 par 1 avec un virus de symantec (version Bêta).
Nous trouvons 2 postes critiques contenant des virus de type « Trojan ». La décision est prise pour l’un des deux de le formater. Nous étions dans l’impossibilité de stopper un virus qui à chaque clic droit de souris déclenche l’installation d’un logiciel symantec.

Le lendemain de la réinstallation du serveur le fichier Hal.dll est déjà manquant dans le fichier systeme32 ... et les autres suivent ... Le «virus » est réapparu.
-
-
À suivre …

Autres pages sur : suppression fichiers repertoire systeme32

22 Février 2006 09:19:05

Salut,

Poste un log HijackThis.

Télécharge le, puis met le dans un dossier dédié.
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan

www.infos-du-net.com/telecharger/HijackThis.html
23 Février 2006 16:46:24

Merci !!!!!

J'ajoute qu'apparement les 1ère suppressions comenceraient la nuit, suivant la restauration. Toutes les personnes intervenant sur notre parc info restent sans mot et surtout sans solution !!! Une nouvelle hypothèse et lancé "c peut être un problème matériel" ... en fin c à y perdre la tête ...

Merci ... à bientôt !!!

Logfile of HijackThis v1.99.1
Scan saved at 13:34:55, on 23/02/2006
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe


C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\CBA\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec\LiveState Recovery\Standard Server 3.0\Agent\VProSvc.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Fichiers communs\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\LiveState Recovery\Standard Server 3.0\Agent\VProTray.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
\Srv-teco\BE-CWSE\BE-CWSE1\PROBLEME INFO - CLO\ANTIDOT\HijackThis - 2006.02.23\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [LiveState Recovery 3.0] "C:\Program Files\Symantec\LiveState Recovery\Standard Server 3.0\Agent\VProTray.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teco.local
O17 - HKLM\Software\..\Telephony: DomainName = teco.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{002A2EED-AA93-4132-BEBD-7FE7165A012B}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = teco.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{002A2EED-AA93-4132-BEBD-7FE7165A012B}: NameServer = 127.0.0.1
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: Service de repérage Symantec System Center (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec LiveState Recovery - Symantec Corporation - C:\Program Files\Symantec\LiveState Recovery\Standard Server 3.0\Agent\VProSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS