A voir également:
- Processus caché?
- Copie caché - Guide
- Numéro caché - Guide
- Jeux google caché - Guide
- Message caché whatsapp - Guide
- C'est quoi le cache d'une application - Guide
6 réponses
Salut,
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tout d'abord je te remercie de ton aide.
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20150819_q126i13b10f6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20150819_e15p9z11r15m15
Additionnal.txt:
https://pjjoint.malekal.com/files.php?id=20150819_m13o14i8i9p13
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20150819_q126i13b10f6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20150819_e15p9z11r15m15
Additionnal.txt:
https://pjjoint.malekal.com/files.php?id=20150819_m13o14i8i9p13
Ok c'est un Windows Serveur. C'est une VM ?
Tous ces utilisateurs MillonXXX admin, c'est normal ?
Ce sont des utilisateurs du domain ?
Pourquoi il n'y a pas d'antivirus installé ?
C'est normal ?
Platform: Windows Server 2008 R2 Enterprise Service Pack 1 (X64) Langue: Français (France)
Service pack 1, pas à jour donc potentielle vulnérabilité à distance.
~~
ca, ça pue, mais le VBS a l'air d'avoir sauté :
Startup: C:\Users\millon5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk [2014-07-07]
ShortcutTarget: start.lnk -> C:\Users\Administrateur\26ayo6x8ww957\61538.vbs (Pas de fichier)
Faudrait vérifier.
C'est mal :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Touche Windows + R
tape rstrui.exe
c'est ok pour message d'erreur ?
~~
Le processus bizarre est tjrs là ?
Tu peux essayer PCHunter et vois ce que cela donne ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tous ces utilisateurs MillonXXX admin, c'est normal ?
Ce sont des utilisateurs du domain ?
Pourquoi il n'y a pas d'antivirus installé ?
C'est normal ?
Platform: Windows Server 2008 R2 Enterprise Service Pack 1 (X64) Langue: Français (France)
Service pack 1, pas à jour donc potentielle vulnérabilité à distance.
~~
ca, ça pue, mais le VBS a l'air d'avoir sauté :
Startup: C:\Users\millon5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk [2014-07-07]
ShortcutTarget: start.lnk -> C:\Users\Administrateur\26ayo6x8ww957\61538.vbs (Pas de fichier)
Faudrait vérifier.
C'est mal :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Touche Windows + R
tape rstrui.exe
c'est ok pour message d'erreur ?
~~
Le processus bizarre est tjrs là ?
Tu peux essayer PCHunter et vois ce que cela donne ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Oui c'est bien un Windows Serveur 2008 R2 tournant sur une machine Virtuel.
Pour les utilisateurs Milxxxx en admin, je supose que oui...
Et ceux sont bien utilisateurs du domaines.
Pour l'anti-virus, j'ai vu qu'il n'y en avait pas. On m'a refilé le serveur "en l'état". Comme j'allais faire plusieurs analyse, je comptais en installer un après pour éviter toutes interférences avec les différents outils. (Bêtise de ma part?)
Pour les mises à jours, Windows Update a l'air sur de lui quand il me dit qu'il n'y en a pas. Par quel autre moyen je peux vérifier?
Concernant le script VBS, le répertoire n'existe pas/plus.
j'ai supprimé le raccourcie à la main.
Pour la restauration système, rstrui.exe ne donne rien(il ne trouve pas et me demande de vérifier si le nom est correct)
Le processus bizarre est toujours là, il change de nom toutes les 2/3 secondes, mais je ne le vois pas avec PCHunter.
Pour les utilisateurs Milxxxx en admin, je supose que oui...
Et ceux sont bien utilisateurs du domaines.
Pour l'anti-virus, j'ai vu qu'il n'y en avait pas. On m'a refilé le serveur "en l'état". Comme j'allais faire plusieurs analyse, je comptais en installer un après pour éviter toutes interférences avec les différents outils. (Bêtise de ma part?)
Pour les mises à jours, Windows Update a l'air sur de lui quand il me dit qu'il n'y en a pas. Par quel autre moyen je peux vérifier?
Concernant le script VBS, le répertoire n'existe pas/plus.
j'ai supprimé le raccourcie à la main.
Pour la restauration système, rstrui.exe ne donne rien(il ne trouve pas et me demande de vérifier si le nom est correct)
Le processus bizarre est toujours là, il change de nom toutes les 2/3 secondes, mais je ne le vois pas avec PCHunter.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok, il a l'air dans un mauvais état si déjà il ne trouve pas rstui.exe
Tu vas galérer :'(
déjà pour voir :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Tu vas galérer :'(
déjà pour voir :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Le serveur s'est fait infecté par un Ransonware. J'avais un back-up valide.
J'ai tout migré sur un autre serveur.
Je te remercie énormément pour ton coup de main.
(pour info, je n'ai pas supprimé la VM, si jamais tu voulais finir la désinfection pour le "challenge" o/, tiens moi au courant. Sinon, je la delete)
Ciao et encore merci !
J'ai tout migré sur un autre serveur.
Je te remercie énormément pour ton coup de main.
(pour info, je n'ai pas supprimé la VM, si jamais tu voulais finir la désinfection pour le "challenge" o/, tiens moi au courant. Sinon, je la delete)
Ciao et encore merci !