Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Avatar de l’utilisateur
angelique
Messages : 31336
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par angelique »

Ola Mak

Y'a un serveur 2008 d'une entreprise dont
panda adaptive defense 360 détecte et supprime de manière réccurente:

Cheval de Troie détecté Trj/CoinMiner.A Emplacement : C:\Users\Administrateur\AppData\Local\Temp\Net5System.exe


https://pjjoint.malekal.com/files.php?r ... 7c10w11r12

https://pjjoint.malekal.com/files.php?r ... y9k12q12j6


je vois rien de spécial sur ce serveur selon les rapports.

Comment savoir par ou ça rentre, par quoi ? tu ferais quoi STP lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par Malekal_morte »

Salut,

Pareil.

Tu as scanné le fichier sur Virustotal, des fois que cela soit un faux positif.
Le serveur est à jour ?
Le pare-feu est actif ?

Après, procmon peut aider à trouver la source : https://www.malekal.com/procmon-surveil ... plication/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
angelique
Messages : 31336
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par angelique »

Ola lol

J'ai pas récupéré le sample Net5System.exe parceque l'av le supprime direct.

Je n'ai pas l'autorisation de désactiver l'av ni de redémarrer le serveur \o/

Le serveur est à jour et firewall actif

Procmon je connais mais par contre la détection/suppression ne se fait pas de manière régulière, je dirais à tout cassé 1 fois par semaine selon rapport panda

c'est pas comme si ça bourrinait ou je resterai devant procmon
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
angelique
Messages : 31336
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par angelique »

J'ai mis procmon en écoute sur le serveur.

le miner est lancé selon les logs Panda par une commande powershell

ça pourrait venir d'une machine du parc ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Malekal_morte
Messages : 111468
Inscription : 10 sept. 2005 13:57

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par Malekal_morte »

Tu dois pouvoir désactiver PowerShell ou interdire l'exécutable dans %TEMP% avec des GPO.
Après je vois pas dans FRST ce qui lance Powershell.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
angelique
Messages : 31336
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Cheval de Troie détecté Trj/CoinMiner.A windows server 2008

par angelique »

Je vais déjà attendre que Panda resignale la détection, comme ça je verrai peut être par Procmon ce qui exécute Powershell pour lancer Temp\Net5System.exe

Je vais pas désactiver Powershell sachant que c'est un serveur et que y'a certainement des applis, backup, etc... propre à l'entreprise qui utilisent Powershel

Temp\Net5System.exe est directement supprimer par Panda quand il se pose

Le hash de Temp\Net5System.exe est nulle part référencé par Google
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »