Débarrassez-vous du logiciel Attacker – Bien choisir son serveur d impression
Salut à tous,
L'attaquant a réussi à accéder à mes administrateurs de domaine d'utilisation du système, heureusement, je les ai trouvés avant qu'ils ne commencent à crypter les données.
La plupart des serveurs ont été réinstallés à partir de zéro, mais un serveur semble avoir été restauré, nous l'avons donc conservé, mais après avoir examiné le journal d'audit, il semble que le pirate ait toujours son outil en cours d'exécution.
Veuillez indiquer ce qu'ils essaient de faire et comment puis-je m'en débarrasser.
hjiackthis:
Fichier journal de Trend Micro HijackThis v2.0.5
Scan enregistré à 12:42:17 PM, le 4/8/2020
Plateforme: Windows inconnu (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.14393.2007)
Mode de démarrage: Normal
Processus en cours:
C: Program Files Webroot WRSA.exe
C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe
C: Users wisdom.services01 Downloads spybotsd-2.8.67.0.exe
C: Users WISE ~ 1.SER AppData Local Temp 2 is-H9ASS.tmp spybotsd-2.8.67.0.tmp
C: Users sages.services01 Téléchargements HijackThis.exe
C: Program Files (x86) Spybot – Search & Destroy 2 SDUpdate.exe
R0 – HKLM Software Microsoft Internet Explorer Search, SearchAssistant =
R0 – HKLM Software Microsoft Internet Explorer Search, CustomizeSearch =
R0 – HKCU Software Microsoft Internet Explorer Main, Page locale =% 11% blank.htm
R0 – HKLM Software Microsoft Internet Explorer Main, Local Page = C: Windows SysWOW64 blank.htm
R0 – HKCU Software Microsoft Internet Explorer Toolbar, LinksFolderName =
F2 – REG: system.ini: UserInit =
O2 – BHO: Webroot Filtering Extension – C9C42510-9B41-42c1-9DCD-7282A2D07C61 – C: Program Files (x86) Common Files Webroot WebFiltering wrflt.dll
O4 – HKLM .. Run: [BASupSrvcCnfg_N-Central] "C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe" / silent
O4 – HKLM .. Run: [WRSVC] "C: Program Files (x86) Webroot WRSA.exe" -ul
O11 – Groupe d'options: [ACCELERATED_GRAPHICS] Graphiques accélérés
O15 – Zone de confiance ESC: http: //*.windowsupdate.com (HKLM)
O17 – HKLM System CCS Services Tcpip Parameters: Domain = threepillars.local
O17 – HKLM System CCS Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202
O17 – HKLM System CS1 Services Tcpip Parameters: Domain = threepillars.local
O17 – HKLM System CS1 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202
O17 – HKLM System CS2 Services Tcpip Parameters: Domain = threepillars.local
O17 – HKLM System CS2 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202
O18 – Protocole: tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll
O18 – Protocole: windows.tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll
O23 – Service: @% SystemRoot% system32 Alg.exe, -112 (ALG) – Propriétaire inconnu – C: Windows System32 alg.exe (fichier manquant)
O23 – Service: SolarWinds Take Control Updater Service (N-Central) (BASupportExpressSrvcUpdater_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcUpdater.exe
O23 – Service: SolarWinds Take Control Agent (N-Central) (BASupportExpressStandaloneService_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvc.exe
O23 – Service: Service d'agent de sauvegarde Datto (DattoBackupAgentService) – Datto Inc. – C: Program Files Datto Datto Windows Agent DattoBackupAgent.exe
O23 – Service: @% SystemRoot% system32 DiagSvcs DiagnosticsHub.StandardCollector.ServiceRes.dll, -1000 (diagnosticshub.standardcollector.service) – Propriétaire inconnu – C: Windows system32 DiagSvcs DiagnosticsHub.StandardCollector.Service.exe (dossier manquant)
O23 – Service: @% SystemRoot% system32 efssvc.dll, -100 (EFS) – Propriétaire inconnu – C: Windows System32 lsass.exe (fichier manquant)
O23 – Service: @ keyiso.dll, -100 (KeyIso) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)
O23 – Service: @ comres.dll, -2797 (MSDTC) – Propriétaire inconnu – C: Windows System32 msdtc.exe (fichier manquant)
O23 – Service: @% SystemRoot% System32 netlogon.dll, -102 (Netlogon) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)
O23 – Service: Ninite Agent (NiniteAgent) – Secure By Design Inc. – C: Program Files (x86) Ninite Agent NiniteAgent.exe
O23 – Service: Graphisoft BIMcloud Manager 19.0 (PortalServerService-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkPortalServerManager.exe
O23 – Service: RDP Defender (RDPDefender) – JWTS – C: Program Files (x86) RDP Defender RDPDefender-service.exe
O23 – Service: @% systemroot% system32 Locator.exe, -2 (RpcLocator) – Propriétaire inconnu – C: Windows system32 locator.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 samsrv.dll, -1 (SamSs) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)
O23 – Service: ScreenConnect Client (1192ae73f8a17fcc) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1192ae73f8a17fcc) ScreenConnect.ClientService.exe
O23 – Service: ScreenConnect Client (1a2a43c9de9468c5) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1a2a43c9de9468c5) ScreenConnect.ClientService.exe
O23 – Service: @% SystemRoot% system32 SensorDataService.exe, -101 (SensorDataService) – Propriétaire inconnu – C: Windows System32 SensorDataService.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 snmptrap.exe, -3 (SNMPTRAP) – Propriétaire inconnu – C: Windows System32 snmptrap.exe (fichier manquant)
O23 – Service: service de cache SolarWinds MSP (SolarWinds.MSP.CacheService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP CacheService SolarWinds.MSP.CacheService.exe
O23 – Service: Agent SolarWinds MSP PME (SolarWinds.MSP.PME.Agent.PmeService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP PME SolarWinds.MSP.PME.Agent.exe
O23 – Service: Serveur SolarWinds MSP RPC (SolarWinds.MSP.RpcServerService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP RpcServer SolarWinds.MSP.RpcServerService.exe
O23 – Service: @% systemroot% system32 spoolsv.exe, -1 (Spouleur) – Propriétaire inconnu – C: Windows System32 spoolsv.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 sppsvc.exe, -101 (sppsvc) – Propriétaire inconnu – C: Windows system32 sppsvc.exe (fichier manquant)
O23 – Service: Graphisoft BIMcloud Server 19.0 (TeamworkApplicationServerMonitor-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Server 19 TeamworkApplicationServerMonitor.exe
O23 – Service: Agent Graphisoft Service Process Manager 19.0 (TeamworkServiceProcessManagerAgent-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkServiceProcessManagerAgent.exe
O23 – Service: @% SystemRoot% system32 TieringEngineService.exe, -702 (TieringEngineService) – Propriétaire inconnu – C: Windows system32 TieringEngineService.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 ui0detect.exe, -101 (UI0Detect) – Propriétaire inconnu – C: Windows system32 UI0Detect.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 vaultsvc.dll, -1003 (VaultSvc) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)
O23 – Service: @% SystemRoot% system32 vds.exe, -100 (vds) – Propriétaire inconnu – C: Windows System32 vds.exe (fichier manquant)
O23 – Service: VMware Alias Manager et Ticket Service (VGAuthService) – VMware, Inc. – C: Program Files VMware VMware Tools VMware VGAuth VGAuthService.exe
O23 – Service: VMware Tools (VMTools) – VMware, Inc. – C: Program Files VMware VMware Tools vmtoolsd.exe
O23 – Service: Service de communication VMware CAF AMQP (VMwareCAFCommAmqpListener) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin CommAmqpListener.exe
O23 – Service: Service d'agent de gestion VMware CAF (VMwareCAFManagementAgentHost) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin ManagementAgentHost.exe
O23 – Service: @% systemroot% system32 vssvc.exe, -102 (VSS) – Propriétaire inconnu – C: Windows system32 vssvc.exe (fichier manquant)
O23 – Service: Service de maintenance de l'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin AgentMaint.exe
O23 – Service: Service d'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin agent.exe
O23 – Service: @% Systemroot% system32 wbem wmiapsrv.exe, -110 (wmiApSrv) – Propriétaire inconnu – C: Windows system32 wbem WmiApSrv.exe (fichier manquant)
O23 – Service: WRSVC – Webroot – C: Program Files Webroot WRSA.exe
–
Fin de fichier – 8880 octets
===
Événement de pirate
Un compte n'a pas pu se connecter.
Matière:
ID de sécurité: SYSTÈME
Nom du compte: EDG-SRV-BIM $
Domaine du compte: (cacher pour des raisons de sécurité)
ID de connexion: 0x3E7
Type de connexion: 4
Compte pour lequel la connexion a échoué:
ID de sécurité: NULL SID
Nom du compte: technologie
Domaine du compte: (cacher pour des raisons de sécurité)
Informations sur l'échec:
Raison de l'échec: Compte actuellement désactivé.
Statut: 0xC000006E
Sous-statut: 0xC0000072
Traitement de l'information:
ID du processus de l'appelant: 0x3d8
Nom du processus de l'appelant: C: Windows System32 svchost.exe
Informations sur le réseau:
Nom du poste de travail: EDG-SRV-BIM
Adresse réseau source: –
Port source: –
Informations d'authentification détaillées:
Processus de connexion: Advapi
Package d'authentification: Négocier
Services transités: –
Nom du package (NTLM uniquement): –
Longueur de clé: 0
Cet événement est généré lorsqu'une demande de connexion échoue. Il est généré sur l'ordinateur sur lequel l'accès a été tenté.
Les champs Objet indiquent le compte sur le système local qui a demandé la connexion. Il s'agit le plus souvent d'un service tel que le service Serveur ou d'un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d'ouverture de session indique le type d'ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Les champs Informations sur le processus indiquent le compte et le processus sur le système qui ont demandé l'ouverture de session.
Les champs Informations réseau indiquent d'où provient une demande de connexion à distance. Le nom du poste de travail n'est pas toujours disponible et peut être laissé vide dans certains cas.
Les champs d'informations d'authentification fournissent des informations détaillées sur cette demande de connexion spécifique.
– Les services transités indiquent quels services intermédiaires ont participé à cette demande de connexion.
– Le nom du package indique le sous-protocole utilisé parmi les protocoles NTLM.
– La longueur de clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée.
Commentaires
Laisser un commentaire