Windows Server 2019 potentiellement infecté HELP

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

mathos33
Messages : 3
Inscription : 24 juin 2021 23:30

Windows Server 2019 potentiellement infecté HELP

par mathos33 »

Bonjour

Je dispose d'un serveur Soyoustart en windows 2019, fait incompréhensible mais bien réèl, la machine se coupe ou se met en veille au bout d'une heure d'inutilisation. J'ai vérifié plein de points mais rien ne change. Je suspecte un virus qui pourrait provoquer cela et pour ça j'ai besoin de votre aide afin d'éventuellement planifier une analyse de mon système.

Merci de votre aide
Malekal_morte
Messages : 110634
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2019 potentiellement infecté HELP

par Malekal_morte »

Salut,

Vérifie les journaux pour voir si tu peux obtenir des informations.
=> l'observateur d’événements de Windows

et :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110634
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2019 potentiellement infecté HELP

par Malekal_morte »

L'analyse FRST en semble être allée au bout, vu que Addition.txt n'est pas complet.
Que donne l'observateur d'évènements sur les arrêts de la machine ?

~~

Je ne connais pas trop les processus de Windows Server 2019 par rapport à Windows 10/11...
Donc j'ai un doute tous ces processus qui semblent en partie lié à Connection Client version (Version: 15.40.0.86 - JWTS)
Mais les emplacements à la racine de C:\ProgramData et à la racine d'admin, c'est assez suspcieux.

Tu peux vérifier tous ces fichiers sur Virustotal et donner les liens d'analyse
HKLM\...\Run: [walogon] => C:\Program Files (x86)\Omniware\UserDesktop\files\svcr.exe [877288 2021-06-08] (JWTS SASU -> JWTS)
HKLM\...\Winlogon: [Userinit] C:\Windows\System32\userinit.exe,C:\wsession\logonsession.exe, <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [4388624 2022-01-17] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1000\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1104\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1104\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1107\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1107\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1108\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1108\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1109\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
2022-01-25 17:11 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\Users\admin\svcr.exe
2022-01-25 17:15 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\alternateshell.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\logonsession.exe
2022-03-25 00:40 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\MyRemoteApp.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\removelastfolders.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\ProgramData\svcr.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\ProgramData\svcrold.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »