Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 16 mars 2017 16:57

Bonjour,

Nous avons choppé : Win32/RemoteAdmin.RemoteExec.AA sur l'un de notre serveur TSE.

Le malware est localisé sur une session. Notre anti-virus n'arrive pas a supprimé desktop.exe meme apres un redémarrage. (NOD32)

Avez vous un avis ?

D'avance merci.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27257
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par angelique » 16 mars 2017 17:03

Bonjour,
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:



    La page de téléchargement : le tutoriel FRST




    !! Placez le programme sur le bureau et pas ailleurs!!
  • Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86183
Inscription : 10 sept. 2005 13:57
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par Malekal_morte » 16 mars 2017 20:25

Il est en caché.
Tu as aussi ce dossier caché à la racine qui est très suspicieux, il a été créé après le téléchargement d'un MSI ESET : efsw_nt64_fra(1).msi
Peut-être créé par lui :
2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
2017-01-27 10:15 - 2011-09-06 22:06 - 0109568 __RSH () C:\ProgramData\Desktop.exe
2017-01-27 10:15 - 2017-01-27 10:15 - 0000144 ___SH () C:\ProgramData\sp3k7r3xyz117.dat
2017-01-27 10:15 - 2017-03-16 16:07 - 0006016 ___SH () C:\ProgramData\sp3k7r3xyz117B.dat
Sachant que c'est dans C:\ProgramData, il doit falloir les droits administrateurs pour écrire là dedans.

Tu dois pouvoir supprimer manuellement les fichiers, en affichant les fichiers cachés et systèmes.
Par curiosité, il y a quoi là dedans : C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} ?

Le TSE n'est pas accessible depuis internet ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27257
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par angelique » 16 mars 2017 20:29

tu peux zipper C:\ProgramData\Desktop.exe C:\Users\bonnier\..\All Users\Desktop.exe et le mettre en pièce jointe dans ton prochain message stp!

  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou exécuter➫notepad)
    Copie/colle dedans ce qui suit :


    Essaye ça voir si ça le vire:
    Task: {8B0B2830-7A2D-45F3-B3B7-520DFB278786} - System32\Tasks\Desktop => C:\Users\bonnier\..\All Users\Desktop.exe [2011-09-06] ()
    2017-01-27 10:15 - 2017-03-16 16:07 - 00006016 ___SH C:\ProgramData\sp3k7r3xyz117B.dat
    2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\illusions.dat
    2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\AppData\LocalLow\illusions.dat
    2017-01-27 10:15 - 2017-01-27 10:15 - 00000144 ___SH C:\ProgramData\sp3k7r3xyz117.dat
    2017-01-27 10:15 - 2017-01-27 10:15 - 00000000 ____D C:\Users\bonnier\WINDOWS
    2017-01-27 10:15 - 2011-09-06 22:06 - 00109568 __RSH C:\ProgramData\Desktop.exe
    2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
    EmptyTemp:
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 16 mars 2017 20:35

@Malekal :

Dans le dossier : C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} Il s'agit surement de l'antivirus vu ce qu'il y a a l'interieur.
Le MSI : MSI ESET : efsw_nt64_fra(1).msi est en faite le package d'installation de ma solution antivirus serveur que j'ai mis a jour ce matin.
Oui notre TSE est accessible depuis le web.

Pour la question du cacher ... Meme si j'affiche les fichiers cacher je le vois et op avant que je clique dessus il disparais !!!! le coquin.

Je fait ce que angelique ma donnée.
Dernière édition par sbx59 le 16 mars 2017 20:38, édité 1 fois.

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 16 mars 2017 20:37

@angelique : J'ai envoyer le fichier sur : http://upload.malekal.com/


Fix result of Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Ran by administrateur (16-03-2017 19:20:54) Run:1
Running from C:\Users\administrateur\Desktop
Loaded Profiles: office & administrateur (Available Profiles: mes utilisateurs ;)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Task: {8B0B2830-7A2D-45F3-B3B7-520DFB278786} - System32\Tasks\Desktop => C:\Users\bonnier\..\All Users\Desktop.exe [2011-09-06] ()
2017-01-27 10:15 - 2017-03-16 16:07 - 00006016 ___SH C:\ProgramData\sp3k7r3xyz117B.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\illusions.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\AppData\LocalLow\illusions.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00000144 ___SH C:\ProgramData\sp3k7r3xyz117.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00000000 ____D C:\Users\bonnier\WINDOWS
2017-01-27 10:15 - 2011-09-06 22:06 - 00109568 __RSH C:\ProgramData\Desktop.exe
2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
EmptyTemp:
*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8B0B2830-7A2D-45F3-B3B7-520DFB278786} => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8B0B2830-7A2D-45F3-B3B7-520DFB278786} => key removed successfully
C:\Windows\System32\Tasks\Desktop => moved successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Desktop => key removed successfully
C:\ProgramData\sp3k7r3xyz117B.dat => moved successfully
C:\Users\bonnier\illusions.dat => moved successfully
C:\Users\bonnier\AppData\LocalLow\illusions.dat => moved successfully
C:\ProgramData\sp3k7r3xyz117.dat => moved successfully
C:\Users\bonnier\WINDOWS => moved successfully
C:\ProgramData\Desktop.exe => moved successfully
C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} => moved successfully

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5650098 B
Java, Flash, Steam htmlcache => 710 B
Windows/system/drivers => 98 B
Edge => 0 B
Chrome => 0 B

Je redemmar le serveur, me connecte a la session et je vois demain si il est revenu ou non.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27257
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par angelique » 16 mars 2017 20:42

Je redemmar le serveur, me connecte a la session et je vois demain si il est revenu ou non.
Yep tiens au courant! la quarantaine de FRST est en C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86183
Inscription : 10 sept. 2005 13:57
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par Malekal_morte » 16 mars 2017 20:55

outch, c'est potentiellement un ver (worms).
La détection ESET est trompeuse.
SHA256: 70bf030734328ffe84e7f132ab2063ecac404b0f48c850abb68967b9360da2bc
Nom du fichier : 9614C44BD96D927B9F9FA2A58D31CF96
Ratio de détection : 38 / 57

Antivirus Résultat Mise à jour
Ad-Aware Generic.Malware.FV!Qwhid.5A95E09B 20160313
AegisLab Troj.W32.Generic!c 20160313
Yandex Trojan.RemoteAdmin!fj4dAIMjMPI 20160312
ALYac Generic.Malware.FV!Qwhid.5A95E09B 20160313
Arcabit Generic.Malware.FV!Qwhid.5A95E09B 20160313
Avast Win32:Malware-gen 20160313
AVG Win32/DH{Bg?} 20160313
Avira (no cloud) WORM/Rbot.Gen 20160312
AVware Trojan.Win32.Generic!BT 20160313
Baidu-International Trojan.Win32.Hosts2.gen 20160313
BitDefender Generic.Malware.FV!Qwhid.5A95E09B 20160313
CAT-QuickHeal Worm.Specosat.r6 20160312
Comodo UnclassifiedMalware 20160313
Cyren W32/Heuristic-166!Eldorado 20160313
DrWeb Trojan.Hosts.30387 20160313
Emsisoft Generic.Malware.FV!Qwhid.5A95E09B (B) 20160313
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteExec.AA potentially unsafe 20160312
F-Prot W32/Heuristic-166!Eldorado 20160313
F-Secure Generic.Malware.FV!Qwhid.5A95E09B 20160313
Fortinet W32/Malware_fam.NB 20160313
GData Generic.Malware.FV!Qwhid.5A95E09B 20160313
Ikarus Win32.SuspectCrc 20160313
Jiangmin Trojan/Hosts2.bq 20160313
K7AntiVirus Trojan ( 0001921b1 ) 20160313
K7GW Trojan ( 0001921b1 ) 20160313
Kaspersky Trojan.Win32.Hosts2.gen 20160313
Malwarebytes Trojan.AVDis.HST 20160313
McAfee Artemis!9614C44BD96D 20160313
McAfee-GW-Edition BehavesLike.Win32.Worm.cm 20160312
Microsoft Worm:Win32/Specosat.A 20160313

eScan Generic.Malware.FV!Qwhid.5A95E09B 20160313
NANO-Antivirus Trojan.Win32.Rbot.cpdxxh 20160313
Panda Trj/CI.A 20160312
Qihoo-360 HEUR/QVM41.1.Malware.Gen 20160313
Sophos XCmdSvc (PUA) 20160313
Tencent Win32.Trojan.Hosts2.Hreq 20160313
VBA32 Heur.Trojan.Hlux 20160313
VIPRE Trojan.Win32.Generic!BT 20160313
La fiche Microsoft : https://www.microsoft.com/security/port ... Specosat.A
La fiche est de 2011 quand même.

On retrouve le .dat :
The malware creates the following files on an affected computer:

<current folder>\adobe_flash_upgrade01x2.cln
c:\documents and settings\administrator\illusions.dat
c:\documents and settings\all users\sp3k7r3xyz117.dat
c:\documents and settings\all users\start menu\programs\startup\desktop.bat
Si ça revient, il est possible qu'un ordinateur du réseau soit infecté et toucher le serveur.
Faurdait :
- vérifier que le serveur soit à jour (mise à jour Windows)
- Installer un antivirus car là il ne semble pas y en avoir.

Faut inspecter chaque machine du réseau.
Le bon côté, c'est qu'il est bien détecté.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 16 mars 2017 21:20

Il y avais bien ESET NOD32 sur le poste, et sur tout les postes d'ayeur.

Sauf que si on a pas activé : potentiellement dangereux ... il n'est pas détecté ...
Le serveur est mis a jour a chaque MAJ. il est en auto.

Bon ben j'ai 2 TSE a vérifier et 200 machines ... :O

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86183
Inscription : 10 sept. 2005 13:57
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par Malekal_morte » 16 mars 2017 22:13

Faudrait qu'il requalifie la détection... c'pas un Hacktool.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 17 mars 2017 01:00

Qui pourrais leurs dire cela ? :/

Que fait t'il se vers, mis a part se propager ?

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 17 mars 2017 11:08

Sur notre serveur c'est ok.

Par contre comme nous somme en vpn ... pas mal de pc sont infecté ... avez vous une solution pour eviter na propagation ? Ou dout je passer sur chaque pc ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86183
Inscription : 10 sept. 2005 13:57
Contact :

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par Malekal_morte » 17 mars 2017 11:41

Tu parles d'ordinateurs portables dont les utilisateurs se connectent de chez eux et en VPN dans l'entreprise ?
- Ne pas les mettre les utilisateurs administrateur.
- Ils ont tous NOD32 ?
- Les postes doivent être à jour au niveau de Windows.

Je pense que tu devrais contacter le support ESET, faut qu'il re-qualifie cette détection afin que ce soit en vers pour qu'elle se déclenche automatiquement. En Hacktools ou autre PUA, elle est probablement pas active par défaut.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

sbx59
newbie expert
newbie expert
Messages : 56
Inscription : 21 avr. 2012 13:27

Re: Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

Message par sbx59 » 17 mars 2017 12:23

Non. Des ordi portable en interne mais reliee en vpn etoile.

Tout le monde a nod32 par contre pour les maj windows ... pas sur !

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 15 invités