Virus winrmsvr

Résolu
Valays333 -  
bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

J'ai eu une demande d'autorisation du pare feu de winrmsvr et trouvant ça louche j'ai refusé.

Après avoir un peu sillonné internet j'ai découvert que c'était un possible trojan et j'ai donc suivi la procedure FRST avec les rapports

Voici les liens :

https://pjjoint.malekal.com/files.php?id=20201204_f8m13d7e10m6 pour addition

https://pjjoint.malekal.com/files.php?id=FRST_20201204_y9t7e6v6c11 pour FRST

https://pjjoint.malekal.com/files.php?id=20201204_8r6s5l9i10 pour Shortcut

Ce que je ne comprend pas c'est que je n'ai rien autorisé, comment le malware aurait pu acceder à l'ordinateur ?

Merci d'avance !

Configuration: Windows / Chrome 86.0.4240.198

5 réponses

  1. bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     
    Bonjour,
    Infecté par un Trojan miner
    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {737B3A68-0869-4A7C-8E83-FF9EDAF1D2CD} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-05-19] (Microsoft Corporation) [Fichier non signé]
    C:\Windows\system32\winlogui.exe
    Task: {79081793-6882-47FF-BCAB-3BCC7A21FF24} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
    Task: {A799DE88-E684-4794-86E2-11A171FCDDAC} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
    Task: {E7BC2CA7-9DF3-4C51-9D16-AEFE6674E11A} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-05-19] (Microsoft Corporation) [Fichier non signé]
    C:\Windows\system32\winrmsrv.exe
    CHR HKU\S-1-5-21-3191824939-27712528-3264177581-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
    CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
    S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
    S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger.

    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


    Attention par prudence change tes mots de passe en ligne (email, login de sites, réseaux sociaux etc etc.....).

    .
    0
  2. bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     
    As-tu toujours le problème winrmsrv ? Normalement il ne devrait plus être présent.
    Quel est le problème exact avec Windows Defender ?
    Norton Security Ultra est toujours présent sur ton pc, si tu ne t'en sers plus désinstalle-le.
    Ta version de Windows 10 n'est pas à jour elle date du printemps 2019 pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait sommage de tomber en panne de batterie avant que le mise à jour soit terminée.
    0
    1. Valays333
       
      Salut !

      Le pare feu me demande plus d'activer wirnmsrv pour le coup ! Donc je pense que le problème est résolu mais justement je ne sais pas si c'est ça qui montre que je suis débarrassé du malware ou le contenu du fichier fixlog ou autre chose.

      Je supprime Norton et je mets à jour Windows des que je rentre chez moi

      Encore merci pour tes réponses et ta réactivité !
      0
      1. bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   20 273 > Valays333
         
        Pour désinstaller Norton tu as cet outil de Norton attention sur la page au paragraphe 6 il faudra cliquer sur supprimer sinon Norton se réinstallera automatiquement.
        Pour winrmsrv il est supprimé le fixlog en atteste mais je demande toujours confirmation.
        0
  3. Valays333
     
    Re,

    J'ai suivi la procédure de norton qui est definitivement supprimé et mis à jour windows, windows defender refonctionne et tout est nickel !

    Encore merci !
    0
    1. bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       
      De rien. :-)
      Je met le sujet en résolu.
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Valays333
     
    Bonjour,

    Je me permets de réouvrir le sujet car en faisant un scan windows defender il est apparu ceci :

    https://pjjoint.malekal.com/files.php?id=20201205_w6r15o5i5i10

    et

    https://pjjoint.malekal.com/files.php?id=20201205_l8y8d12x8g5

    C'est moi qui ai supprimé la menace et mis en quarantaine l'autre (je pouvais pas la supprimer)

    Est-ce que c'est inquiétant ? Une des 2 menaces date du 5/12 alors que j'ai lancé le script le 4/12
    0
    1. bazfile Messages postés 58509 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       
      Le premier c'est la quarantaine de FRST il te suffit de supprimer FRST (voir en fin de message).
      Pour la deuxième partie ces fichiers ne sont plus actifs sur ton pc le script FRST les a désactivé tu peux les supprimer de la quarantaine de Windows Defender https://www.malekal.com/supprimer-restaurer-vider-quarantaine-de-windows-defender
      Par prudence fait une nouvelle analyse avec FRST pour voir si tout est OK.
      Pour désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
      0