Processus caché?
Fermé
Kastho
Messages postés
16
Date d'inscription
dimanche 26 octobre 2014
Statut
Membre
Dernière intervention
25 août 2015
-
Modifié par Kastho le 19/08/2015 à 15:06
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 août 2015 à 13:37
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 août 2015 à 13:37
A voir également:
- Processus caché?
- Appel caché - Guide
- Copie caché - Guide
- Clear dns cache - Guide
- Que cache l'ours polaire pix ✓ - Forum Google Chrome
- Cache téléphone - Guide
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
19 août 2015 à 15:07
19 août 2015 à 15:07
Salut,
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Kastho
Messages postés
16
Date d'inscription
dimanche 26 octobre 2014
Statut
Membre
Dernière intervention
25 août 2015
19 août 2015 à 15:39
19 août 2015 à 15:39
Tout d'abord je te remercie de ton aide.
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20150819_q126i13b10f6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20150819_e15p9z11r15m15
Additionnal.txt:
https://pjjoint.malekal.com/files.php?id=20150819_m13o14i8i9p13
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20150819_q126i13b10f6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20150819_e15p9z11r15m15
Additionnal.txt:
https://pjjoint.malekal.com/files.php?id=20150819_m13o14i8i9p13
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 19/08/2015 à 16:11
Modifié par Malekal_morte- le 19/08/2015 à 16:11
Ok c'est un Windows Serveur. C'est une VM ?
Tous ces utilisateurs MillonXXX admin, c'est normal ?
Ce sont des utilisateurs du domain ?
Pourquoi il n'y a pas d'antivirus installé ?
C'est normal ?
Platform: Windows Server 2008 R2 Enterprise Service Pack 1 (X64) Langue: Français (France)
Service pack 1, pas à jour donc potentielle vulnérabilité à distance.
~~
ca, ça pue, mais le VBS a l'air d'avoir sauté :
Startup: C:\Users\millon5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk [2014-07-07]
ShortcutTarget: start.lnk -> C:\Users\Administrateur\26ayo6x8ww957\61538.vbs (Pas de fichier)
Faudrait vérifier.
C'est mal :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Touche Windows + R
tape rstrui.exe
c'est ok pour message d'erreur ?
~~
Le processus bizarre est tjrs là ?
Tu peux essayer PCHunter et vois ce que cela donne ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tous ces utilisateurs MillonXXX admin, c'est normal ?
Ce sont des utilisateurs du domain ?
Pourquoi il n'y a pas d'antivirus installé ?
C'est normal ?
Platform: Windows Server 2008 R2 Enterprise Service Pack 1 (X64) Langue: Français (France)
Service pack 1, pas à jour donc potentielle vulnérabilité à distance.
~~
ca, ça pue, mais le VBS a l'air d'avoir sauté :
Startup: C:\Users\millon5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk [2014-07-07]
ShortcutTarget: start.lnk -> C:\Users\Administrateur\26ayo6x8ww957\61538.vbs (Pas de fichier)
Faudrait vérifier.
C'est mal :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Touche Windows + R
tape rstrui.exe
c'est ok pour message d'erreur ?
~~
Le processus bizarre est tjrs là ?
Tu peux essayer PCHunter et vois ce que cela donne ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Kastho
Messages postés
16
Date d'inscription
dimanche 26 octobre 2014
Statut
Membre
Dernière intervention
25 août 2015
19 août 2015 à 16:57
19 août 2015 à 16:57
Oui c'est bien un Windows Serveur 2008 R2 tournant sur une machine Virtuel.
Pour les utilisateurs Milxxxx en admin, je supose que oui...
Et ceux sont bien utilisateurs du domaines.
Pour l'anti-virus, j'ai vu qu'il n'y en avait pas. On m'a refilé le serveur "en l'état". Comme j'allais faire plusieurs analyse, je comptais en installer un après pour éviter toutes interférences avec les différents outils. (Bêtise de ma part?)
Pour les mises à jours, Windows Update a l'air sur de lui quand il me dit qu'il n'y en a pas. Par quel autre moyen je peux vérifier?
Concernant le script VBS, le répertoire n'existe pas/plus.
j'ai supprimé le raccourcie à la main.
Pour la restauration système, rstrui.exe ne donne rien(il ne trouve pas et me demande de vérifier si le nom est correct)
Le processus bizarre est toujours là, il change de nom toutes les 2/3 secondes, mais je ne le vois pas avec PCHunter.
Pour les utilisateurs Milxxxx en admin, je supose que oui...
Et ceux sont bien utilisateurs du domaines.
Pour l'anti-virus, j'ai vu qu'il n'y en avait pas. On m'a refilé le serveur "en l'état". Comme j'allais faire plusieurs analyse, je comptais en installer un après pour éviter toutes interférences avec les différents outils. (Bêtise de ma part?)
Pour les mises à jours, Windows Update a l'air sur de lui quand il me dit qu'il n'y en a pas. Par quel autre moyen je peux vérifier?
Concernant le script VBS, le répertoire n'existe pas/plus.
j'ai supprimé le raccourcie à la main.
Pour la restauration système, rstrui.exe ne donne rien(il ne trouve pas et me demande de vérifier si le nom est correct)
Le processus bizarre est toujours là, il change de nom toutes les 2/3 secondes, mais je ne le vois pas avec PCHunter.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
19 août 2015 à 18:55
19 août 2015 à 18:55
ok, il a l'air dans un mauvais état si déjà il ne trouve pas rstui.exe
Tu vas galérer :'(
déjà pour voir :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Tu vas galérer :'(
déjà pour voir :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Kastho
Messages postés
16
Date d'inscription
dimanche 26 octobre 2014
Statut
Membre
Dernière intervention
25 août 2015
21 août 2015 à 14:10
21 août 2015 à 14:10
Hello, désolé pour la réponse tardive, après un BSOD, il a lancé un chkdsk que j'ai laissé tourné. Ça fait déjà 24h qu'il tourne, je ne sais pas pourquoi combien de temps il y en a encore..
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
21 août 2015 à 19:25
21 août 2015 à 19:25
oula... doit y avoir un prob de disque ?
Kastho
Messages postés
16
Date d'inscription
dimanche 26 octobre 2014
Statut
Membre
Dernière intervention
25 août 2015
25 août 2015 à 09:55
25 août 2015 à 09:55
Le serveur s'est fait infecté par un Ransonware. J'avais un back-up valide.
J'ai tout migré sur un autre serveur.
Je te remercie énormément pour ton coup de main.
(pour info, je n'ai pas supprimé la VM, si jamais tu voulais finir la désinfection pour le "challenge" o/, tiens moi au courant. Sinon, je la delete)
Ciao et encore merci !
J'ai tout migré sur un autre serveur.
Je te remercie énormément pour ton coup de main.
(pour info, je n'ai pas supprimé la VM, si jamais tu voulais finir la désinfection pour le "challenge" o/, tiens moi au courant. Sinon, je la delete)
Ciao et encore merci !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
25 août 2015 à 13:37
25 août 2015 à 13:37
Non au pire le rapport NOD32 pour voir ce qu'il y avait =)
