Windows Server 2019 potentiellement infecté HELP

[mathos33]

Bonjour

Je dispose d'un serveur Soyoustart en windows 2019, fait incompréhensible mais bien réèl, la machine se coupe ou se met en veille au bout d'une heure d'inutilisation. J'ai vérifié plein de points mais rien ne change. Je suspecte un virus qui pourrait provoquer cela et pour ça j'ai besoin de votre aide afin d'éventuellement planifier une analyse de mon système.

Merci de votre aide

[Malekal_morte]

Salut,

Vérifie les journaux pour voir si tu peux obtenir des informations.
=> l'observateur d’événements de Windows

et :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[mathos33]

Merci !

Lien 1 : https://pjjoint.malekal.com/files.php?i ... 4j9b7q12c8
Lien 2 : https://pjjoint.malekal.com/files.php?i ... 14p12y6d14
Lien 3 : https://pjjoint.malekal.com/files.php?i ... 0k11q10w11

[Malekal_morte]

L'analyse FRST en semble être allée au bout, vu que Addition.txt n'est pas complet.
Que donne l'observateur d'évènements sur les arrêts de la machine ?

~~

Je ne connais pas trop les processus de Windows Server 2019 par rapport à Windows 10/11...
Donc j'ai un doute tous ces processus qui semblent en partie lié à Connection Client version (Version: 15.40.0.86 - JWTS)
Mais les emplacements à la racine de C:\ProgramData et à la racine d'admin, c'est assez suspcieux.

Tu peux vérifier tous ces fichiers sur Virustotal et donner les liens d'analyse

HKLM\...\Run: [walogon] => C:\Program Files (x86)\Omniware\UserDesktop\files\svcr.exe [877288 2021-06-08] (JWTS SASU -> JWTS)
HKLM\...\Winlogon: [Userinit] C:\Windows\System32\userinit.exe,C:\wsession\logonsession.exe, <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [4388624 2022-01-17] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1000\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1104\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1104\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1107\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1107\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1108\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION
HKU\S-1-5-21-2965593796-3332940857-2358637411-1108\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2965593796-3332940857-2358637411-1109\...\Winlogon: [Shell] C:\ProgramData\alternateshell.exe [97992 2021-06-08] (JWTS -> ) <==== ATTENTION

2022-01-25 17:11 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\Users\admin\svcr.exe
2022-01-25 17:15 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\alternateshell.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\logonsession.exe
2022-03-25 00:40 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\MyRemoteApp.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000097992 _____ () C:\ProgramData\removelastfolders.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\ProgramData\svcr.exe
2022-01-25 17:13 - 2021-06-08 16:25 - 000877288 _____ (JWTS) C:\ProgramData\svcrold.exe