Infection Windows 2012R2 CPD suite attaque exterieur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Malbare
Messages : 4
Inscription : 08 janv. 2018 10:30

Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malbare » 08 janv. 2018 10:38

Bonjour,
Je me présente Nicolas 38 ans admin réseaux.
Je me permet de vous déranger car depuis 15 jours un de mes clients a été victime d'une attaque (port 3389 ouvert for all...) a été ensuite victime d'un cryptolocker (le serveur a été entièrement restaurer via Veeam).
Mais depuis le serveur va de plus en plus mal. Services qui tombes, dhcp et dns dans les choux etc etc.
Je soupçonne qu'il y a eu d'autre soucis depuis le crypto, mais impossible de savoir quoi exactement.
J'ai passé un coup de Malwarebytes Anti-Malware (MBAM) qui m'a supprimé un keylogger (je n'ai pas le log).
Mais... ca continue...

Je sollicite votre aide.

Merci d'avance !




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90509
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malekal_morte » 08 janv. 2018 11:01

Salut,

C'est plutôt classique : Piratage de serveur Windows par Terminal Server.

S'il a été restauré, le malware ne doit plus être actif.
Après, il y avait peut-être des infections antérieures ou la restauration s'est mal passé.
Pour vérifier :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90509
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malekal_morte » 08 janv. 2018 16:06

C'est quoi ce bat au démarrage ?
HKLM\...\RunOnce: [18_9437631975609] => C:\Program Files (x86)\LMIR0001.tmp_r.bat [486 2018-01-08] ()
Surement la source des problèmes :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Windows Repair peut le réparer en 05 : https://www.malekal.com/windows-repair-tutoriel/
A voir.

il y a des restes de Spyhunter qui sert à rien, ce script peut le supprimer.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 S4 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\Sh4Service.exe [889016 2018-01-04] (Enigma Software Group USA, LLC.)  
C:\Program Files\Enigma Software Group
Hosts:
EmptyTemp:
RemoveProxy:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malbare
Messages : 4
Inscription : 08 janv. 2018 10:30

Re: Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malbare » 08 janv. 2018 16:49

Malekal_morte a écrit :
08 janv. 2018 16:06
C'est quoi ce bat au démarrage ?
HKLM\...\RunOnce: [18_9437631975609] => C:\Program Files (x86)\LMIR0001.tmp_r.bat [486 2018-01-08] ()
Il s'agit d'un script pour l'agent autonome de Logmein Rescue

Surement la source des problèmes :
ATTENTION: La Restauration système est désactivée
Vérifiez le service "winmgmt" ou réparez WMI.
Je regarde ta procédure.

Windows Repair peut le réparer en 05 : https://www.malekal.com/windows-repair-tutoriel/
A voir.

il y a des restes de Spyhunter qui sert à rien, ce script peut le supprimer.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 S4 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\Sh4Service.exe [889016 2018-01-04] (Enigma Software Group USA, LLC.)  
C:\Program Files\Enigma Software Group
Hosts:
EmptyTemp:
RemoveProxy:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Ok je m'en occupe ce soir, étant donné que c'est le CPD c'est compliqué de le redémarrer en prod.

Par contre ce que je ne m'explique pas, c'est que je n'ai pas installé SpyHunter (et le client final n'a pas accès au serveur).


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90509
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malekal_morte » 08 janv. 2018 16:52

ok, pour Spyhunter la date du fichier est du 04/01
il y a 4 jours donc.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malbare
Messages : 4
Inscription : 08 janv. 2018 10:30

[Résolu] Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malbare » 09 janv. 2018 16:34

Bonjour,

J'ai suivi la procédure, mais malheureusement au moment du reboot, j'ai hérité d'un bel écran bleu et d'un serveur qui ne pouvait pas démarré.

Mais du coup grasse au logiciel, un point de restauration avait été créer avant la réparation.

Du coup j'ai quand même réussit à faire repartir le serveur.
La restauration a l'air de l'avoir mis dans un mauvais état :/
Il semblerait que l'hyperviseur ai lui aussi été attaqué et le client ne semble pas vouloir fermer le 3389 qui est ouvert depuis ALL...

C'est normal cet utilisateur local administrateur ?
=> tse_ftp (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

Tu peux avoir un script qui réactive TSE, exemple là (bon là il le désactive) : viewtopic.php?f=11&t=57653#p436030
du type :

Code : Tout sélectionner

Reg add “\\computername\HKLM\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d  /f
ou en powershell :

Code : Tout sélectionner

Invoke-Command –Computername “server1”, “Server2” –ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" –Value }
Peut-être faire une recherche de fichiers sur le C, avec en contenu : fDenyTSConnections

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90509
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Windows 2012R2 CPD suite attaque exterieur

Message par Malekal_morte » 09 janv. 2018 17:12

Mince désolé, j'ai fait éditer au lieu de répondre :/
Du coup ton message a été édité avec ma réponse ... alala je fatigue :'(
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »