tdl

Bonjour, J'ai un léger problème avec un serveur. Les 2 CPUs sont à 100% (leur moyenne est habituellement en dessous des 30%) d'utilisation, et j'ai les process suivants qui apparaissent plusieurs fois et semblent se recréer mutuellement : cmd.exe, perl.exe, cscript.exe. J'ai temporairement renommé perl.exe (qui prennaient plus de 35k chacun), et les 2 autres process s'affolent, mais au moins mon cpu se stabilise. Bref, cela ressemble fort à un virus / trojan... Voici le log Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:16:23, on 09/02/2008 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\dns.exe C:\Program Files\hMailServer\Bin\hMailServer.exe C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\Program Files\ftpserver3pro\Service\ftpservice.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ClamWin\bin\ClamTray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Program Files\ClamWin\bin\ClamWin.exe c:\windows\system32\inetsrv\w3wp.exe c:\windows\system32\inetsrv\w3wp.exe c:\windows\system32\inetsrv\w3wp.exe c:\windows\system32\inetsrv\w3wp.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\ClamWin\bin\clamscan.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Perl\bin\perl.exe c:\windows\system32\cscript.exe c:\windows\system32\cscript.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe c:\windows\system32\cscript.exe c:\windows\system32\cscript.exe c:\windows\system32\cscript.exe c:\windows\system32\cscript.exe c:\windows\system32\cscript.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe c:\windows\system32\cscript.exe C:\Perl\bin\perl.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe c:\windows\system32\cscript.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe C:\Documents and Settings\tdelplace\Bureau\HijackThis.exe c:\windows\system32\cscript.exe C:\WINDOWS\system32\cmd.exe C:\Perl\bin\perl.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [shutdownEventCheck] %systemroot%\system32\dumprep 0 -s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O15 - ESC Trusted Zone: http://view.atdmt.com O15 - ESC Trusted Zone: http://www.cerberusftp.com O15 - ESC Trusted Zone: http://www.google.be O15 - ESC Trusted Zone: http://runonce.msn.com O15 - ESC Trusted Zone: http://www.sofotex.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1149881257574 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161891125608 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12910894-A8F1-4516-804F-0B00ED0B37E0}: NameServer = 10.48.100.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8B158A2-8D4E-4E73-99FA-1B3733DA6BDD}: NameServer = 213.186.33.99 O23 - Service: hMailServer - hMailServer - C:\Program Files\hMailServer\Bin\hMailServer.exe O23 - Service: MySQL51 - Unknown owner - C:\Program.exe (file missing) O23 - Service: Quick 'n Easy FTP Service - Pablo Software Solutions - C:\Program Files\ftpserver3pro\Service\ftpservice.exe -- End of file - 5720 bytes