Infection Win server

kirgan · 30/04/2008, 17h33

Bonjour à tous,

je bosse dans une association qui a entre autre un serveur fonctionnant sous win 2003 server.

Vu nos moyens très limités, nous utilisons principalement de l'open source sur ce serveur:
- hmailserveur
- assp
- clamav

Suite à une mauvaise manipulation (je pense que qqn a branché une clé usb infectée directement sur le serveur), plusieurs spyware et trojan se retrouvent sur le serveur (un scan par Secuser de c:\windows donne 80 fichiers infectés).

Les "virus" sont de type
TSPY_AGENT.xxx
TSPY_ONLINEG.xxx
TROJ_FRETHOG.xxx

Donc principalement le genre de keyloggers que les joueurs de WoW détestent

Mon gros probème tient dans le titre de ma discussion : serveur. D'une part, vous imaginez bien que ce serveur ne me sert pas à faire des réussites :/ Il est entre autre serveur web et serveur mail. D'autre part, tous les outils "réputés" essayés jusqu'ici (avast, avg, etc.) ne tournent pas sur Server. A juste titre, il considère que c'est une utilisation commerciale. Même si pour nous, 45€ c'est considérable :/

Je suis preneur de toute idée, tant qu'elle reste légale et gratuite. De toute critique aussi.
Malheureusement, à moins que je ne vienne bosser demain, je n'aurai plus accès au serveur avant lundi

'fin bon en fonction de vos réponses, je peux venir faire un tour au boulot, si ca peut régler mon problème!

Civodul4 · 01/05/2008, 07h19

Je suppose que vous avez essayé ad-aware et spybot ?

Windows defender ?

cchatelain · 01/05/2008, 10h49

Pour l'AV, clam AV est très loin d'être au top sur un serveur windows. Je l'ai testé sur un win serveur 2003 et rien qu'en perfs il arrivait pas à tout scanner alors que j'avais une utilisation très modérée du serveur. Sur ce point là il serait bon d'investir un peu...

kirgan · 05/05/2008, 14h44

Bonjour et merci pour ces premières réponses.

De retour ce lundi au bureau, ma journée va en s'empirant...

J'avais effectivement utilisé spybot qui m'avait trouvé 16 infections, dont 9 cookies. Donc rien de comparable à ce que j'avais eu avec les scans en ligne.

J'ai donc téléchargé, installé, et lancé ad-aware, qui m'a lui trouvé 150 problèmes.
Il m'a gentillement proposé de régler les problèmes, ce que j'ai fait.

Et depuis, au redémarrage de mon serveur, il me disait

Citation:

Erreur de chargement de C:\WINDOWS\system32\HBKrnk.dll
Le module spécifié est introuvable.

Et apparemment MySQL est un peu dans les choux : hMailServer ne tourne plus (en fait, il tourne, mais les mailbox sont vides - par contre, dans la liste des "traitement à faire", je vois les mails envoyés ou recus, mais il ne le redirigent pas vers les clients), et il faut un bon 3 minutes après que le serveur soit lancé avant que les sites hébergés utilisant MySQL ne refonctionnent.

J'ai trouvé que au démarrage le pc essayait toujours de faire un RUNDLL sur le fichier HBKrnl.dll. J'ai désactivé cela dans l'autoexec (via spybot), histoire de voir ce que ca faisait.

Le message n'apparait en effet plus. Malheureusement, le reste des symptomes est toujours là. Je ne vous cache pas que les utilisateurs de mon domaine commencent à trouver la blague de mauvais goût (moi aussi, avec ce soleil).

Je me suis dit que c'était peut-être un résident de SpyBot ou Ad-Aware qui bloquait hMailServer. J'ai donc désinstallé ces 2 applications. Et le problème persiste...

Auriez-vous des idées qui sauveraient un pauvre sysadmin qui n'a pas demandé à l'être?

Pour info, j'ai trouvé ceci (je ne sais pas ce que ca vaut, je ne connais pas la source http://www.prevx.com/filenames/X7219...BKRNL.DLL.html)

Citation:

What we know about HBKRNL.DLL:
The filename HBKRNL.DLL was first seen on Apr 10 2008 in HONG KONG. It has also been seen in the following geographical regions of the Prevx community:

* CHINA on Apr 10 2008
* SPAIN on Apr 14 2008

The filename HBKRNL.DLL refers to many versions of a dynamic link library. They share a common file size of 20,480 bytes.
The filename is associated with the malware group Trojan.Vundo.Some files using the name HBKRNL.DLL are also associated with the malware groups:

* Rootkit.Gen
* TROJAN.ROOTKIT.L

These files have no vendor, product or version information specified in the file header.
HBKRNL.DLL has been seen to perform the following behavior(s):

* The Process is packed and/or encrypted using a software packing process
* Adds a Registry Key (RUN) to auto start Programs on system start up

HBKRNL.DLL has been the subject of the following behavior(s):

* Added as a Registry auto start to load Program on Boot up
* Created as a process on disk
* Registered as a Dynamic Link Library File

HBKRNL.DLL can also use the following file names:

* 91643063.DAT
* 2.TMP
* 33.TMP
* 15089098.SVD
* 25.TMP
* 35.TMP
* 01033586.SVD
* 38498875.SVD

Virus, Spyware & Malware Center

_solo · 09/05/2008, 11h20

sur un serveur il vaut mieux utiliser un outil comme Gmer pour la detection de trojan/rootkit suffit l'antivirus c'est juste pour etre activer quand tu surf et joue a WoW (sic!!!) .
Pourquoi : la majorite des scans par tous les machins commerciaux detecte un simple cookie comme virus ( arf!!! ) alors qu'un simple outils --> options internet --> supprimer les cookies suffit pour tous les virer ....
meme un simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<html><imput AAAAA>

est detecter comme virus ( a vrai dire il fait planter la plupart des browser).

il faut se demander si c'est outils sont reellement oobjectif en essayant plusieurs outils , sachant que de nos jours 80% des infections se fait avec le consentement des utilisateurs

.

30/04/2008, 17h33	#1
kirgan Membre régulier Inscription : avril 2006 Messages : 127 Détails du profil Informations forums : Inscription : avril 2006 Messages : 127 Points : 79 Points : 79	Infection Win Server Bonjour à tous, je bosse dans une association qui a entre autre un serveur fonctionnant sous win 2003 server. Vu nos moyens très limités, nous utilisons principalement de l'open source sur ce serveur: - hmailserveur - assp - clamav Suite à une mauvaise manipulation (je pense que qqn a branché une clé usb infectée directement sur le serveur), plusieurs spyware et trojan se retrouvent sur le serveur (un scan par Secuser de c:\windows donne 80 fichiers infectés). Les "virus" sont de type TSPY_AGENT.xxx TSPY_ONLINEG.xxx TROJ_FRETHOG.xxx Donc principalement le genre de keyloggers que les joueurs de WoW détestent Mon gros probème tient dans le titre de ma discussion : serveur. D'une part, vous imaginez bien que ce serveur ne me sert pas à faire des réussites :/ Il est entre autre serveur web et serveur mail. D'autre part, tous les outils "réputés" essayés jusqu'ici (avast, avg, etc.) ne tournent pas sur Server. A juste titre, il considère que c'est une utilisation commerciale. Même si pour nous, 45€ c'est considérable :/ Je suis preneur de toute idée, tant qu'elle reste légale et gratuite. De toute critique aussi. Malheureusement, à moins que je ne vienne bosser demain, je n'aurai plus accès au serveur avant lundi 'fin bon en fonction de vos réponses, je peux venir faire un tour au boulot, si ca peut régler mon problème! __________________ K. If you think things can't get worse it's probably only because you lack sufficient imagination. Pensez au tag si votre problème est réglé! Bas de la page > Résolu
	00

01/05/2008, 07h19	#2
Civodul4 Membre Expert Inscription : mai 2003 Messages : 2 133 Détails du profil Informations forums : Inscription : mai 2003 Messages : 2 133 Points : 2 239 Points : 2 239	Je suppose que vous avez essayé ad-aware et spybot ? Windows defender ? __________________ Merci de lire les règles du forum ainsi que le mode d'emploi du forum Merci de penser à : ! Il y a 10 types de personnes, ceux qui comprennent le binaire et les autres ...
	00

01/05/2008, 10h49	#3
cchatelain Expert Confirmé Sénior Cédric Chatelain Développeur informatique Inscription : janvier 2003 Messages : 4 088 Détails du profil Informations personnelles : Nom : Cédric Chatelain Âge : 39 Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Développeur informatique Secteur : Finance Informations forums : Inscription : janvier 2003 Messages : 4 088 Points : 5 884 Points : 5 884	Pour l'AV, clam AV est très loin d'être au top sur un serveur windows. Je l'ai testé sur un win serveur 2003 et rien qu'en perfs il arrivait pas à tout scanner alors que j'avais une utilisation très modérée du serveur. Sur ce point là il serait bon d'investir un peu... __________________ [Règle] Pas de questions techniques par mail ou par MP svp. Sinon je deviens tout rouge ça ne va pas du tout avec la couleur de mes yeux. Que faire quand firefox ne fonctionne plus ? Vous êtes débutant ? Bienvenue à vous. Mes meilleurs conseils sont ceux-ci : 1 : lisez bien ceci http://club.developpez.com/aidenouveaux/ 2 : lisez aussi ceci http://general.developpez.com/cours/
	00

09/05/2008, 11h20	#5
_solo Membre Expert Inscription : juin 2006 Messages : 889 Détails du profil Informations forums : Inscription : juin 2006 Messages : 889 Points : 1 084 Points : 1 084	sur un serveur il vaut mieux utiliser un outil comme Gmer pour la detection de trojan/rootkit suffit l'antivirus c'est juste pour etre activer quand tu surf et joue a WoW (sic!!!) . Pourquoi : la majorite des scans par tous les machins commerciaux detecte un simple cookie comme virus ( arf!!! ) alors qu'un simple outils --> options internet --> supprimer les cookies suffit pour tous les virer .... meme un simple Code : Sélectionner tout - Visualiser dans une fenêtre à part <html><imput AAAAA> est detecter comme virus ( a vrai dire il fait planter la plupart des browser). il faut se demander si c'est outils sont reellement oobjectif en essayant plusieurs outils , sachant que de nos jours 80% des infections se fait avec le consentement des utilisateurs . __________________ l'ignorance est une maladie qui se soigne free gary
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email