bonjour à tous,
 
J'ai un virus qui se lance sur un de mes serveurs (Windows 2000 Server). McAfee le détecte mais ne peux pas le supprimer. Celui-ci m'empêche d'installer des logiciels en me plantant Windows Installer. Voici le message remonté par McAfee :
 
Chemin d'accès : C:\Winnt\System32\.exe
Détecté en tant que : W32/Sdbot.worm.gen.y
Etat : Echec du déplacement (echec du nettoyage, fichier non nettoyable)
 
Avez-vous une idée de comment je peux le supprimer car après passage d'antivirus en ligne (trend house), de spyware (avg, spybot), il parait très coriace car il revient.
 
Merci à tous

Hello
 
A tu essayé de supprimer toi a la main en mod sans echec ?

Effectivement cyclope, j'ai oublié de précisé que .exe n'existe pas sur c:\winnt\system32. J'ai également oublié de préciser que dans la colonne application de McAfee, il fait référence à SERVICES.EXE
 
Merci de ton aide

En fait j'ai l'impression qu'il se lance toutes les 30 minutes environ car après redemarrage du serveur je peux installer n'importe quel programme. Dès que McAfee me le détecte, c'est fini. Comment puis-je l'identifier  ?

euh juste comme ca, s'il s'appelle .exe, c'est pas un fichier caché? ils sont bien afficés les fichiers cachés?  

malheureusement tous les fichiers sont affichés et je n'ai pas de .exe
C'est quelquechose qui se lance, donc il doit avoir quelque part un service ou une tache planifiée mais impossible de voir où

Hello,
Télécharges SmitFraudFix (siri.urz.free.fr) et démarres en mode sans échecs, lance l'option fix et poste le rapport...
A+

merci med, je fais çà demain matin

OK, à demain...

Excuse moi med, mais je croyais que l'on était mercredi hier. Je fais çà demain matin sans faute. Et encore merci pour ton aide

Pas de fix spécifique chez Kaspersky.
Qqes infos : http://www.viruslist.com/fr/viruse [...] usid=85148
 
Sinon, un démarrage mode sans échec et un scan en ligne ?
Ou alors F-Prot à partir du DOS (gratuit).
 
Si le backdoor n'est pas lancé au démarrage, as-tu vérifie ta liste de démarrage HKLM & HKCU\Software\Microsoft\Windows\Current Version\Run

Trop fort Trevor.
Je te remercie beaucoup.
J'ai deux processus dans HKLM\Software\Microsoft\Windows\Current Version\Runqui se lancent qui ne sont pas très sympa à croire les sites que j'ai visité. Il s'agit de atchew.exe et pacoba.exe
Je remercie tous ceux qui ont participé à mon problème.
Merci

Comment je définis que mon problème est résolu ?

tu édites ton premier post et tu modifie le sujet.

Cool

Fausse joie !!!!!
Mon problème est de retour. Je ne sais plus quoi faire snif !!!!!

---Edit modo : les logs hijackthis, non merci... ---

LOG VIRUS SCAN
30/04/2007 09:20:08 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\7EW1BLA6\1[2].exe W32/Sdbot.worm.gen.ax
30/04/2007 09:20:10 Supprimé  AUTORITE NT\SYSTEM C:\U.exe W32/Sdbot.worm
30/04/2007 12:32:35 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 13:02:04 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 13:10:54 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
30/04/2007 14:15:23 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
30/04/2007 14:42:33 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
30/04/2007 17:37:23 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y
 
01/05/2007 08:44:02 Statistiques :
01/05/2007 08:44:02  Fichiers analysés : 64822
01/05/2007 08:44:02  Fichiers infectés : 6
01/05/2007 08:44:02  Fichiers nettoyés : 0
01/05/2007 08:44:02  Fichiers supprimés : 0
01/05/2007 08:44:02  Fichiers déplacés : 0
 
02/05/2007 11:33:51 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
02/05/2007 14:46:04 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.ax
02/05/2007 16:45:10 Échec du déplacement (échec du nettoyage, fichier non nettoyable)  AUTORITE NT\SYSTEM C:\WINNT\system32\.exe W32/Sdbot.worm.gen.y

Ben fais ce que j'avais dit

ca va trancher...    
 
essayes d'abord de mettre ton log sur http://hijackthis.de

Merci à tous les deux. Je regarde

SmitFraudFix v2.171
 
Rapport fait à  8:43:53,34, sam. 05/05/2007
Executé à partir de F:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
127.0.0.1       localhost
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin

SmitFraudFix v2.171
 
Rapport fait à  8:59:18,73, sam. 05/05/2007
Executé à partir de F:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dmadmin.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\explorer.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.SPC
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.SPC\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.SPC\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{169E0AFC-7E02-4ED2-BB04-0D2F98EF1A07}: NameServer=127.0.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{212C7069-B1DD-4253-A8C4-DD2718BA67EB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7BAF2F30-82FA-45E6-9E42-41524610C083}: NameServer=192.168.11.1,192.168.14.1
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 

Démarres en mode sans éches (F8 au démarrage) et utilise l'option fix.

Est ce que ca ne pourrais pas etre un virus qui remonte d'un poste client. J'ai mon logiciel de compta qui n'etait pas compatible avec l'antivirus qui etait sur mes machines. J'ai donc du le désinstaller sur quelques postes. Qu'en pensez-vous ?

tu as désinstallé le prog de compta ou l'av ?

l'av car le prog de compta c'est la principale appli métier

Et est-ce que tu as réinstallé un AV différent même gratuit ?

Oui. J'ai mis antivir sur les postes clients. Par contre, je crois que je vais mettre nod32 sur le serveur pour voir.
J'énumère les principaux problèmes que j'ai actuellement :
1) Je ne peux plus installer de logiciel sur mon serveur (pb Windows Installer).
2) Je ne peux pas lancer le service SQL Server (gros pb).
3) Mon serveur redémarre vers 18h15 assez fréquemment.
Merci

C'est vraiment insupportable quand on n'arrive pas à résoudre ce genre de pb surtout sur le serveur. Ca serait ma machine encore.

Pour le problème de boot régulier vérifie dans le BIOS.
 
Concernant le service SQL Server, quel message d'erreur t'affiche-t-il ? Il serait peut être intéressant de réinstaller SQL Server...
 
Concernant le service windows installer je ne sais pour l'instant pas trop quoi te répondre, par contre fais un scan complet du serveur avec le scanner en ligne de kaspersky : htpp://webscanner.kaspersky.fr/
 
Poste le rapport entier.
 
Télécharge aussi AVG Antispyware : http://www.ewido.net/, mets le à jour, scanne et supprime ce qui est trouvé.
 
Télécharges également Listor CL : http://med365.co.nr/, pour l'instant, contente toi de décompresser l'archive cab et le sfx.