Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30685
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par angelique »

Ola Mak

Y'a un serveur 2008 d'une entreprise dont
panda adaptive defense 360 détecte et supprime de manière réccurente:

Cheval de Troie détecté Trj/CoinMiner.A Emplacement : C:\Users\Administrateur\AppData\Local\Temp\Net5System.exe


https://pjjoint.malekal.com/files.php?r ... 7c10w11r12

https://pjjoint.malekal.com/files.php?r ... y9k12q12j6


je vois rien de spécial sur ce serveur selon les rapports.

Comment savoir par ou ça rentre, par quoi ? tu ferais quoi STP lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

Malekal_morte
Site Admin
Site Admin
Messages : 104566
Inscription : 10 sept. 2005 13:57
Contact :

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par Malekal_morte »

Salut,

Pareil.

Tu as scanné le fichier sur Virustotal, des fois que cela soit un faux positif.
Le serveur est à jour ?
Le pare-feu est actif ?

Après, procmon peut aider à trouver la source : https://www.malekal.com/procmon-surveil ... plication/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30685
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par angelique »

Ola lol

J'ai pas récupéré le sample Net5System.exe parceque l'av le supprime direct.

Je n'ai pas l'autorisation de désactiver l'av ni de redémarrer le serveur \o/

Le serveur est à jour et firewall actif

Procmon je connais mais par contre la détection/suppression ne se fait pas de manière régulière, je dirais à tout cassé 1 fois par semaine selon rapport panda

c'est pas comme si ça bourrinait ou je resterai devant procmon
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30685
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par angelique »

J'ai mis procmon en écoute sur le serveur.

le miner est lancé selon les logs Panda par une commande powershell

ça pourrait venir d'une machine du parc ?
Pièces jointes
epi3.png
epi3.png (11.35 Kio) Consulté 483 fois
epi2.png
epi.png
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

Malekal_morte
Site Admin
Site Admin
Messages : 104566
Inscription : 10 sept. 2005 13:57
Contact :

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par Malekal_morte »

Tu dois pouvoir désactiver PowerShell ou interdire l'exécutable dans %TEMP% avec des GPO.
Après je vois pas dans FRST ce qui lance Powershell.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30685
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Message par angelique »

Je vais déjà attendre que Panda resignale la détection, comme ça je verrai peut être par Procmon ce qui exécute Powershell pour lancer Temp\Net5System.exe

Je vais pas désactiver Powershell sachant que c'est un serveur et que y'a certainement des applis, backup, etc... propre à l'entreprise qui utilisent Powershel

Temp\Net5System.exe est directement supprimer par Panda quand il se pose

Le hash de Temp\Net5System.exe est nulle part référencé par Google
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »