Virus winrmsvr [Résolu]

Signaler
-
Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
-
Bonjour,

J'ai eu une demande d'autorisation du pare feu de winrmsvr et trouvant ça louche j'ai refusé.

Après avoir un peu sillonné internet j'ai découvert que c'était un possible trojan et j'ai donc suivi la procedure FRST avec les rapports

Voici les liens :

https://pjjoint.malekal.com/files.php?id=20201204_f8m13d7e10m6 pour addition

https://pjjoint.malekal.com/files.php?id=FRST_20201204_y9t7e6v6c11 pour FRST

https://pjjoint.malekal.com/files.php?id=20201204_8r6s5l9i10 pour Shortcut

Ce que je ne comprend pas c'est que je n'ai rien autorisé, comment le malware aurait pu acceder à l'ordinateur ?

Merci d'avance !





Configuration: Windows / Chrome 86.0.4240.198

5 réponses

Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
12 055
Bonjour,
Infecté par un Trojan miner
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {737B3A68-0869-4A7C-8E83-FF9EDAF1D2CD} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-05-19] (Microsoft Corporation) [Fichier non signé]
C:\Windows\system32\winlogui.exe
Task: {79081793-6882-47FF-BCAB-3BCC7A21FF24} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {A799DE88-E684-4794-86E2-11A171FCDDAC} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {E7BC2CA7-9DF3-4C51-9D16-AEFE6674E11A} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-05-19] (Microsoft Corporation) [Fichier non signé]
C:\Windows\system32\winrmsrv.exe
CHR HKU\S-1-5-21-3191824939-27712528-3264177581-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


Attention par prudence change tes mots de passe en ligne (email, login de sites, réseaux sociaux etc etc.....).

.
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Bonjour,

Merci de votre réactivité !

Le fichier fix log se trouve sur ce lien : https://pjjoint.malekal.com/files.php?id=20201204_p11d8g5l11q12

Par contre je n'arrive toujours pas à lancer d'analyse sur windows defender si l'info peut être utile :
Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
12 055
As-tu toujours le problème winrmsrv ? Normalement il ne devrait plus être présent.
Quel est le problème exact avec Windows Defender ?
Norton Security Ultra est toujours présent sur ton pc, si tu ne t'en sers plus désinstalle-le.
Ta version de Windows 10 n'est pas à jour elle date du printemps 2019 pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait sommage de tomber en panne de batterie avant que le mise à jour soit terminée.
Salut !

Le pare feu me demande plus d'activer wirnmsrv pour le coup ! Donc je pense que le problème est résolu mais justement je ne sais pas si c'est ça qui montre que je suis débarrassé du malware ou le contenu du fichier fixlog ou autre chose.

Je supprime Norton et je mets à jour Windows des que je rentre chez moi

Encore merci pour tes réponses et ta réactivité !
Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
12 055 > Valays333
Pour désinstaller Norton tu as cet outil de Norton attention sur la page au paragraphe 6 il faudra cliquer sur supprimer sinon Norton se réinstallera automatiquement.
Pour winrmsrv il est supprimé le fixlog en atteste mais je demande toujours confirmation.
Re,

J'ai suivi la procédure de norton qui est definitivement supprimé et mis à jour windows, windows defender refonctionne et tout est nickel !

Encore merci !
Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
12 055
De rien. :-)
Je met le sujet en résolu.
Bonjour,

Je me permets de réouvrir le sujet car en faisant un scan windows defender il est apparu ceci :

https://pjjoint.malekal.com/files.php?id=20201205_w6r15o5i5i10

et

https://pjjoint.malekal.com/files.php?id=20201205_l8y8d12x8g5

C'est moi qui ai supprimé la menace et mis en quarantaine l'autre (je pouvais pas la supprimer)

Est-ce que c'est inquiétant ? Une des 2 menaces date du 5/12 alors que j'ai lancé le script le 4/12
Messages postés
30535
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2021
12 055
Le premier c'est la quarantaine de FRST il te suffit de supprimer FRST (voir en fin de message).
Pour la deuxième partie ces fichiers ne sont plus actifs sur ton pc le script FRST les a désactivé tu peux les supprimer de la quarantaine de Windows Defender https://www.malekal.com/supprimer-restaurer-vider-quarantaine-de-windows-defender
Par prudence fait une nouvelle analyse avec FRST pour voir si tout est OK.
Pour désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.