Salut à tous,
"},{"id":"text-2","type":"text","heading":"","plain_text":"L'attaquant a réussi à accéder à mes administrateurs de domaine d'utilisation du système, heureusement, je les ai trouvés avant qu'ils ne commencent à crypter les données.","html":"L'attaquant a réussi à accéder à mes administrateurs de domaine d'utilisation du système, heureusement, je les ai trouvés avant qu'ils ne commencent à crypter les données.
"},{"id":"text-3","type":"text","heading":"","plain_text":"La plupart des serveurs ont été réinstallés à partir de zéro, mais un serveur semble avoir été restauré, nous l'avons donc conservé, mais après avoir examiné le journal d'audit, il semble que le pirate ait toujours son outil en cours d'exécution.","html":"La plupart des serveurs ont été réinstallés à partir de zéro, mais un serveur semble avoir été restauré, nous l'avons donc conservé, mais après avoir examiné le journal d'audit, il semble que le pirate ait toujours son outil en cours d'exécution.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Veuillez indiquer ce qu'ils essaient de faire et comment puis-je m'en débarrasser.","html":"Veuillez indiquer ce qu'ils essaient de faire et comment puis-je m'en débarrasser.
"},{"id":"text-5","type":"text","heading":"","plain_text":"hjiackthis:\nFichier journal de Trend Micro HijackThis v2.0.5\nScan enregistré à 12:42:17 PM, le 4/8/2020\nPlateforme: Windows inconnu (WinNT 6.02.1008)\nMSIE: Internet Explorer v11.0 (11.00.14393.2007)","html":"hjiackthis:\nFichier journal de Trend Micro HijackThis v2.0.5\nScan enregistré à 12:42:17 PM, le 4/8/2020\nPlateforme: Windows inconnu (WinNT 6.02.1008)\nMSIE: Internet Explorer v11.0 (11.00.14393.2007)
"},{"id":"text-6","type":"text","heading":"","plain_text":"Mode de démarrage: Normal","html":"Mode de démarrage: Normal
"},{"id":"text-7","type":"text","heading":"","plain_text":"Processus en cours:\nC: Program Files Webroot WRSA.exe\nC: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe\nC: Users wisdom.services01 Downloads spybotsd-2.8.67.0.exe\nC: Users WISE ~ 1.SER AppData Local Temp 2 is-H9ASS.tmp spybotsd-2.8.67.0.tmp\nC: Users sages.services01 Téléchargements HijackThis.exe\nC: Program Files (x86) Spybot – Search & Destroy 2 SDUpdate.exe","html":"Processus en cours:\nC: Program Files Webroot WRSA.exe\nC: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe\nC: Users wisdom.services01 Downloads spybotsd-2.8.67.0.exe\nC: Users WISE ~ 1.SER AppData Local Temp 2 is-H9ASS.tmp spybotsd-2.8.67.0.tmp\nC: Users sages.services01 Téléchargements HijackThis.exe\nC: Program Files (x86) Spybot – Search & Destroy 2 SDUpdate.exe
"},{"id":"text-8","type":"text","heading":"","plain_text":"R0 – HKLM Software Microsoft Internet Explorer Search, SearchAssistant = \nR0 – HKLM Software Microsoft Internet Explorer Search, CustomizeSearch = \nR0 – HKCU Software Microsoft Internet Explorer Main, Page locale =% 11% blank.htm\nR0 – HKLM Software Microsoft Internet Explorer Main, Local Page = C: Windows SysWOW64 blank.htm\nR0 – HKCU Software Microsoft Internet Explorer Toolbar, LinksFolderName = \nF2 – REG: system.ini: UserInit =\nO2 – BHO: Webroot Filtering Extension – C9C42510-9B41-42c1-9DCD-7282A2D07C61 – C: Program Files (x86) Common Files Webroot WebFiltering wrflt.dll\nO4 – HKLM .. Run: [BASupSrvcCnfg_N-Central] "C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe" / silent\nO4 – HKLM .. Run: [WRSVC] "C: Program Files (x86) Webroot WRSA.exe" -ul\nO11 – Groupe d'options: [ACCELERATED_GRAPHICS] Graphiques accélérés\nO15 – Zone de confiance ESC: http: //*.windowsupdate.com (HKLM)\nO17 – HKLM System CCS Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CCS Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS1 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS1 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS2 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS2 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO18 – Protocole: tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO18 – Protocole: windows.tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO23 – Service: @% SystemRoot% system32 Alg.exe, -112 (ALG) – Propriétaire inconnu – C: Windows System32 alg.exe (fichier manquant)\nO23 – Service: SolarWinds Take Control Updater Service (N-Central) (BASupportExpressSrvcUpdater_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcUpdater.exe\nO23 – Service: SolarWinds Take Control Agent (N-Central) (BASupportExpressStandaloneService_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvc.exe\nO23 – Service: Service d'agent de sauvegarde Datto (DattoBackupAgentService) – Datto Inc. – C: Program Files Datto Datto Windows Agent DattoBackupAgent.exe\nO23 – Service: @% SystemRoot% system32 DiagSvcs DiagnosticsHub.StandardCollector.ServiceRes.dll, -1000 (diagnosticshub.standardcollector.service) – Propriétaire inconnu – C: Windows system32 DiagSvcs DiagnosticsHub.StandardCollector.Service.exe (dossier manquant)\nO23 – Service: @% SystemRoot% system32 efssvc.dll, -100 (EFS) – Propriétaire inconnu – C: Windows System32 lsass.exe (fichier manquant)\nO23 – Service: @ keyiso.dll, -100 (KeyIso) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @ comres.dll, -2797 (MSDTC) – Propriétaire inconnu – C: Windows System32 msdtc.exe (fichier manquant)\nO23 – Service: @% SystemRoot% System32 netlogon.dll, -102 (Netlogon) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: Ninite Agent (NiniteAgent) – Secure By Design Inc. – C: Program Files (x86) Ninite Agent NiniteAgent.exe\nO23 – Service: Graphisoft BIMcloud Manager 19.0 (PortalServerService-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkPortalServerManager.exe\nO23 – Service: RDP Defender (RDPDefender) – JWTS – C: Program Files (x86) RDP Defender RDPDefender-service.exe\nO23 – Service: @% systemroot% system32 Locator.exe, -2 (RpcLocator) – Propriétaire inconnu – C: Windows system32 locator.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 samsrv.dll, -1 (SamSs) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: ScreenConnect Client (1192ae73f8a17fcc) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1192ae73f8a17fcc) ScreenConnect.ClientService.exe\nO23 – Service: ScreenConnect Client (1a2a43c9de9468c5) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1a2a43c9de9468c5) ScreenConnect.ClientService.exe\nO23 – Service: @% SystemRoot% system32 SensorDataService.exe, -101 (SensorDataService) – Propriétaire inconnu – C: Windows System32 SensorDataService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 snmptrap.exe, -3 (SNMPTRAP) – Propriétaire inconnu – C: Windows System32 snmptrap.exe (fichier manquant)\nO23 – Service: service de cache SolarWinds MSP (SolarWinds.MSP.CacheService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP CacheService SolarWinds.MSP.CacheService.exe\nO23 – Service: Agent SolarWinds MSP PME (SolarWinds.MSP.PME.Agent.PmeService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP PME SolarWinds.MSP.PME.Agent.exe\nO23 – Service: Serveur SolarWinds MSP RPC (SolarWinds.MSP.RpcServerService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP RpcServer SolarWinds.MSP.RpcServerService.exe\nO23 – Service: @% systemroot% system32 spoolsv.exe, -1 (Spouleur) – Propriétaire inconnu – C: Windows System32 spoolsv.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 sppsvc.exe, -101 (sppsvc) – Propriétaire inconnu – C: Windows system32 sppsvc.exe (fichier manquant)\nO23 – Service: Graphisoft BIMcloud Server 19.0 (TeamworkApplicationServerMonitor-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Server 19 TeamworkApplicationServerMonitor.exe\nO23 – Service: Agent Graphisoft Service Process Manager 19.0 (TeamworkServiceProcessManagerAgent-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkServiceProcessManagerAgent.exe\nO23 – Service: @% SystemRoot% system32 TieringEngineService.exe, -702 (TieringEngineService) – Propriétaire inconnu – C: Windows system32 TieringEngineService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 ui0detect.exe, -101 (UI0Detect) – Propriétaire inconnu – C: Windows system32 UI0Detect.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vaultsvc.dll, -1003 (VaultSvc) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vds.exe, -100 (vds) – Propriétaire inconnu – C: Windows System32 vds.exe (fichier manquant)\nO23 – Service: VMware Alias Manager et Ticket Service (VGAuthService) – VMware, Inc. – C: Program Files VMware VMware Tools VMware VGAuth VGAuthService.exe\nO23 – Service: VMware Tools (VMTools) – VMware, Inc. – C: Program Files VMware VMware Tools vmtoolsd.exe\nO23 – Service: Service de communication VMware CAF AMQP (VMwareCAFCommAmqpListener) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin CommAmqpListener.exe\nO23 – Service: Service d'agent de gestion VMware CAF (VMwareCAFManagementAgentHost) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin ManagementAgentHost.exe\nO23 – Service: @% systemroot% system32 vssvc.exe, -102 (VSS) – Propriétaire inconnu – C: Windows system32 vssvc.exe (fichier manquant)\nO23 – Service: Service de maintenance de l'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin AgentMaint.exe\nO23 – Service: Service d'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin agent.exe\nO23 – Service: @% Systemroot% system32 wbem wmiapsrv.exe, -110 (wmiApSrv) – Propriétaire inconnu – C: Windows system32 wbem WmiApSrv.exe (fichier manquant)\nO23 – Service: WRSVC – Webroot – C: Program Files Webroot WRSA.exe","html":"R0 – HKLM Software Microsoft Internet Explorer Search, SearchAssistant = \nR0 – HKLM Software Microsoft Internet Explorer Search, CustomizeSearch = \nR0 – HKCU Software Microsoft Internet Explorer Main, Page locale =% 11% blank.htm\nR0 – HKLM Software Microsoft Internet Explorer Main, Local Page = C: Windows SysWOW64 blank.htm\nR0 – HKCU Software Microsoft Internet Explorer Toolbar, LinksFolderName = \nF2 – REG: system.ini: UserInit =\nO2 – BHO: Webroot Filtering Extension – C9C42510-9B41-42c1-9DCD-7282A2D07C61 – C: Program Files (x86) Common Files Webroot WebFiltering wrflt.dll\nO4 – HKLM .. Run: [BASupSrvcCnfg_N-Central] "C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe" / silent\nO4 – HKLM .. Run: [WRSVC] "C: Program Files (x86) Webroot WRSA.exe" -ul\nO11 – Groupe d'options: [ACCELERATED_GRAPHICS] Graphiques accélérés\nO15 – Zone de confiance ESC: http: //*.windowsupdate.com (HKLM)\nO17 – HKLM System CCS Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CCS Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS1 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS1 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS2 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS2 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO18 – Protocole: tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO18 – Protocole: windows.tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO23 – Service: @% SystemRoot% system32 Alg.exe, -112 (ALG) – Propriétaire inconnu – C: Windows System32 alg.exe (fichier manquant)\nO23 – Service: SolarWinds Take Control Updater Service (N-Central) (BASupportExpressSrvcUpdater_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcUpdater.exe\nO23 – Service: SolarWinds Take Control Agent (N-Central) (BASupportExpressStandaloneService_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvc.exe\nO23 – Service: Service d'agent de sauvegarde Datto (DattoBackupAgentService) – Datto Inc. – C: Program Files Datto Datto Windows Agent DattoBackupAgent.exe\nO23 – Service: @% SystemRoot% system32 DiagSvcs DiagnosticsHub.StandardCollector.ServiceRes.dll, -1000 (diagnosticshub.standardcollector.service) – Propriétaire inconnu – C: Windows system32 DiagSvcs DiagnosticsHub.StandardCollector.Service.exe (dossier manquant)\nO23 – Service: @% SystemRoot% system32 efssvc.dll, -100 (EFS) – Propriétaire inconnu – C: Windows System32 lsass.exe (fichier manquant)\nO23 – Service: @ keyiso.dll, -100 (KeyIso) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @ comres.dll, -2797 (MSDTC) – Propriétaire inconnu – C: Windows System32 msdtc.exe (fichier manquant)\nO23 – Service: @% SystemRoot% System32 netlogon.dll, -102 (Netlogon) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: Ninite Agent (NiniteAgent) – Secure By Design Inc. – C: Program Files (x86) Ninite Agent NiniteAgent.exe\nO23 – Service: Graphisoft BIMcloud Manager 19.0 (PortalServerService-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkPortalServerManager.exe\nO23 – Service: RDP Defender (RDPDefender) – JWTS – C: Program Files (x86) RDP Defender RDPDefender-service.exe\nO23 – Service: @% systemroot% system32 Locator.exe, -2 (RpcLocator) – Propriétaire inconnu – C: Windows system32 locator.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 samsrv.dll, -1 (SamSs) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: ScreenConnect Client (1192ae73f8a17fcc) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1192ae73f8a17fcc) ScreenConnect.ClientService.exe\nO23 – Service: ScreenConnect Client (1a2a43c9de9468c5) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1a2a43c9de9468c5) ScreenConnect.ClientService.exe\nO23 – Service: @% SystemRoot% system32 SensorDataService.exe, -101 (SensorDataService) – Propriétaire inconnu – C: Windows System32 SensorDataService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 snmptrap.exe, -3 (SNMPTRAP) – Propriétaire inconnu – C: Windows System32 snmptrap.exe (fichier manquant)\nO23 – Service: service de cache SolarWinds MSP (SolarWinds.MSP.CacheService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP CacheService SolarWinds.MSP.CacheService.exe\nO23 – Service: Agent SolarWinds MSP PME (SolarWinds.MSP.PME.Agent.PmeService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP PME SolarWinds.MSP.PME.Agent.exe\nO23 – Service: Serveur SolarWinds MSP RPC (SolarWinds.MSP.RpcServerService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP RpcServer SolarWinds.MSP.RpcServerService.exe\nO23 – Service: @% systemroot% system32 spoolsv.exe, -1 (Spouleur) – Propriétaire inconnu – C: Windows System32 spoolsv.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 sppsvc.exe, -101 (sppsvc) – Propriétaire inconnu – C: Windows system32 sppsvc.exe (fichier manquant)\nO23 – Service: Graphisoft BIMcloud Server 19.0 (TeamworkApplicationServerMonitor-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Server 19 TeamworkApplicationServerMonitor.exe\nO23 – Service: Agent Graphisoft Service Process Manager 19.0 (TeamworkServiceProcessManagerAgent-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkServiceProcessManagerAgent.exe\nO23 – Service: @% SystemRoot% system32 TieringEngineService.exe, -702 (TieringEngineService) – Propriétaire inconnu – C: Windows system32 TieringEngineService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 ui0detect.exe, -101 (UI0Detect) – Propriétaire inconnu – C: Windows system32 UI0Detect.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vaultsvc.dll, -1003 (VaultSvc) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vds.exe, -100 (vds) – Propriétaire inconnu – C: Windows System32 vds.exe (fichier manquant)\nO23 – Service: VMware Alias Manager et Ticket Service (VGAuthService) – VMware, Inc. – C: Program Files VMware VMware Tools VMware VGAuth VGAuthService.exe\nO23 – Service: VMware Tools (VMTools) – VMware, Inc. – C: Program Files VMware VMware Tools vmtoolsd.exe\nO23 – Service: Service de communication VMware CAF AMQP (VMwareCAFCommAmqpListener) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin CommAmqpListener.exe\nO23 – Service: Service d'agent de gestion VMware CAF (VMwareCAFManagementAgentHost) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin ManagementAgentHost.exe\nO23 – Service: @% systemroot% system32 vssvc.exe, -102 (VSS) – Propriétaire inconnu – C: Windows system32 vssvc.exe (fichier manquant)\nO23 – Service: Service de maintenance de l'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin AgentMaint.exe\nO23 – Service: Service d'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin agent.exe\nO23 – Service: @% Systemroot% system32 wbem wmiapsrv.exe, -110 (wmiApSrv) – Propriétaire inconnu – C: Windows system32 wbem WmiApSrv.exe (fichier manquant)\nO23 – Service: WRSVC – Webroot – C: Program Files Webroot WRSA.exe
"},{"id":"text-9","type":"text","heading":"","plain_text":"–\nFin de fichier – 8880 octets","html":"–\nFin de fichier – 8880 octets
"},{"id":"text-10","type":"text","heading":"","plain_text":"===","html":"===
"},{"id":"text-11","type":"text","heading":"","plain_text":"Événement de pirate","html":"Événement de pirate
"},{"id":"text-12","type":"text","heading":"","plain_text":"Un compte n'a pas pu se connecter.","html":"Un compte n'a pas pu se connecter.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Matière:\nID de sécurité: SYSTÈME\nNom du compte: EDG-SRV-BIM $\nDomaine du compte: (cacher pour des raisons de sécurité)\nID de connexion: 0x3E7","html":"Matière:\nID de sécurité: SYSTÈME\nNom du compte: EDG-SRV-BIM $\nDomaine du compte: (cacher pour des raisons de sécurité)\nID de connexion: 0x3E7
"},{"id":"text-14","type":"text","heading":"","plain_text":"Type de connexion: 4","html":"Type de connexion: 4
"},{"id":"text-15","type":"text","heading":"","plain_text":"Compte pour lequel la connexion a échoué:\nID de sécurité: NULL SID\nNom du compte: technologie\nDomaine du compte: (cacher pour des raisons de sécurité)","html":"Compte pour lequel la connexion a échoué:\nID de sécurité: NULL SID\nNom du compte: technologie\nDomaine du compte: (cacher pour des raisons de sécurité)
"},{"id":"text-16","type":"text","heading":"","plain_text":"Informations sur l'échec:\nRaison de l'échec: Compte actuellement désactivé.\nStatut: 0xC000006E\nSous-statut: 0xC0000072","html":"Informations sur l'échec:\nRaison de l'échec: Compte actuellement désactivé.\nStatut: 0xC000006E\nSous-statut: 0xC0000072
"},{"id":"text-17","type":"text","heading":"","plain_text":"Traitement de l'information:\nID du processus de l'appelant: 0x3d8\nNom du processus de l'appelant: C: Windows System32 svchost.exe","html":"Traitement de l'information:\nID du processus de l'appelant: 0x3d8\nNom du processus de l'appelant: C: Windows System32 svchost.exe
"},{"id":"text-18","type":"text","heading":"","plain_text":"Informations sur le réseau:\nNom du poste de travail: EDG-SRV-BIM\nAdresse réseau source: –\nPort source: –","html":"Informations sur le réseau:\nNom du poste de travail: EDG-SRV-BIM\nAdresse réseau source: –\nPort source: –
"},{"id":"text-19","type":"text","heading":"","plain_text":"Informations d'authentification détaillées:\nProcessus de connexion: Advapi \nPackage d'authentification: Négocier\nServices transités: –\nNom du package (NTLM uniquement): –\nLongueur de clé: 0","html":"Informations d'authentification détaillées:\nProcessus de connexion: Advapi \nPackage d'authentification: Négocier\nServices transités: –\nNom du package (NTLM uniquement): –\nLongueur de clé: 0
"},{"id":"text-20","type":"text","heading":"","plain_text":"Cet événement est généré lorsqu'une demande de connexion échoue. Il est généré sur l'ordinateur sur lequel l'accès a été tenté.","html":"Cet événement est généré lorsqu'une demande de connexion échoue. Il est généré sur l'ordinateur sur lequel l'accès a été tenté.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Les champs Objet indiquent le compte sur le système local qui a demandé la connexion. Il s'agit le plus souvent d'un service tel que le service Serveur ou d'un processus local tel que Winlogon.exe ou Services.exe.","html":"Les champs Objet indiquent le compte sur le système local qui a demandé la connexion. Il s'agit le plus souvent d'un service tel que le service Serveur ou d'un processus local tel que Winlogon.exe ou Services.exe.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Le champ Type d'ouverture de session indique le type d'ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).","html":"Le champ Type d'ouverture de session indique le type d'ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
"},{"id":"text-23","type":"text","heading":"","plain_text":"Les champs Informations sur le processus indiquent le compte et le processus sur le système qui ont demandé l'ouverture de session.","html":"Les champs Informations sur le processus indiquent le compte et le processus sur le système qui ont demandé l'ouverture de session.
"},{"id":"text-24","type":"text","heading":"","plain_text":"Les champs Informations réseau indiquent d'où provient une demande de connexion à distance. Le nom du poste de travail n'est pas toujours disponible et peut être laissé vide dans certains cas.","html":"Les champs Informations réseau indiquent d'où provient une demande de connexion à distance. Le nom du poste de travail n'est pas toujours disponible et peut être laissé vide dans certains cas.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Les champs d'informations d'authentification fournissent des informations détaillées sur cette demande de connexion spécifique.\n– Les services transités indiquent quels services intermédiaires ont participé à cette demande de connexion.\n– Le nom du package indique le sous-protocole utilisé parmi les protocoles NTLM.\n– La longueur de clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée.","html":"Les champs d'informations d'authentification fournissent des informations détaillées sur cette demande de connexion spécifique.\n– Les services transités indiquent quels services intermédiaires ont participé à cette demande de connexion.\n– Le nom du package indique le sous-protocole utilisé parmi les protocoles NTLM.\n– La longueur de clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée.
"},{"id":"text-26","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Salut à tous,"},{"id":"text-2","heading":"Text","content":"L'attaquant a réussi à accéder à mes administrateurs de domaine d'utilisation du système, heureusement, je les ai trouvés avant qu'ils ne commencent à crypter les données."},{"id":"text-3","heading":"Text","content":"La plupart des serveurs ont été réinstallés à partir de zéro, mais un serveur semble avoir été restauré, nous l'avons donc conservé, mais après avoir examiné le journal d'audit, il semble que le pirate ait toujours son outil en cours d'exécution."},{"id":"text-4","heading":"Text","content":"Veuillez indiquer ce qu'ils essaient de faire et comment puis-je m'en débarrasser."},{"id":"text-5","heading":"Text","content":"hjiackthis:\nFichier journal de Trend Micro HijackThis v2.0.5\nScan enregistré à 12:42:17 PM, le 4/8/2020\nPlateforme: Windows inconnu (WinNT 6.02.1008)\nMSIE: Internet Explorer v11.0 (11.00.14393.2007)"},{"id":"text-6","heading":"Text","content":"Mode de démarrage: Normal"},{"id":"text-7","heading":"Text","content":"Processus en cours:\nC: Program Files Webroot WRSA.exe\nC: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe\nC: Users wisdom.services01 Downloads spybotsd-2.8.67.0.exe\nC: Users WISE ~ 1.SER AppData Local Temp 2 is-H9ASS.tmp spybotsd-2.8.67.0.tmp\nC: Users sages.services01 Téléchargements HijackThis.exe\nC: Program Files (x86) Spybot – Search & Destroy 2 SDUpdate.exe"},{"id":"text-8","heading":"Text","content":"R0 – HKLM Software Microsoft Internet Explorer Search, SearchAssistant = \nR0 – HKLM Software Microsoft Internet Explorer Search, CustomizeSearch = \nR0 – HKCU Software Microsoft Internet Explorer Main, Page locale =% 11% blank.htm\nR0 – HKLM Software Microsoft Internet Explorer Main, Local Page = C: Windows SysWOW64 blank.htm\nR0 – HKCU Software Microsoft Internet Explorer Toolbar, LinksFolderName = \nF2 – REG: system.ini: UserInit =\nO2 – BHO: Webroot Filtering Extension – C9C42510-9B41-42c1-9DCD-7282A2D07C61 – C: Program Files (x86) Common Files Webroot WebFiltering wrflt.dll\nO4 – HKLM .. Run: [BASupSrvcCnfg_N-Central] "C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcCnfg.exe" / silent\nO4 – HKLM .. Run: [WRSVC] "C: Program Files (x86) Webroot WRSA.exe" -ul\nO11 – Groupe d'options: [ACCELERATED_GRAPHICS] Graphiques accélérés\nO15 – Zone de confiance ESC: http: //*.windowsupdate.com (HKLM)\nO17 – HKLM System CCS Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CCS Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS1 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS1 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO17 – HKLM System CS2 Services Tcpip Parameters: Domain = threepillars.local\nO17 – HKLM System CS2 Services Tcpip .. 2a0909b7-c6ce-4c2a-a0eb-2bfa71c49383: NameServer = 192.168.60.202\nO18 – Protocole: tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO18 – Protocole: windows.tbauth – 14654CA6-5711-491D-B89A-58E571679951 – C: Windows SysWOW64 tbauth.dll\nO23 – Service: @% SystemRoot% system32 Alg.exe, -112 (ALG) – Propriétaire inconnu – C: Windows System32 alg.exe (fichier manquant)\nO23 – Service: SolarWinds Take Control Updater Service (N-Central) (BASupportExpressSrvcUpdater_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvcUpdater.exe\nO23 – Service: SolarWinds Take Control Agent (N-Central) (BASupportExpressStandaloneService_N_Central) – SolarWinds Take Control – C: Program Files (x86) BeAnywhere Support Express GetSupportService_N-Central BASupSrvc.exe\nO23 – Service: Service d'agent de sauvegarde Datto (DattoBackupAgentService) – Datto Inc. – C: Program Files Datto Datto Windows Agent DattoBackupAgent.exe\nO23 – Service: @% SystemRoot% system32 DiagSvcs DiagnosticsHub.StandardCollector.ServiceRes.dll, -1000 (diagnosticshub.standardcollector.service) – Propriétaire inconnu – C: Windows system32 DiagSvcs DiagnosticsHub.StandardCollector.Service.exe (dossier manquant)\nO23 – Service: @% SystemRoot% system32 efssvc.dll, -100 (EFS) – Propriétaire inconnu – C: Windows System32 lsass.exe (fichier manquant)\nO23 – Service: @ keyiso.dll, -100 (KeyIso) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @ comres.dll, -2797 (MSDTC) – Propriétaire inconnu – C: Windows System32 msdtc.exe (fichier manquant)\nO23 – Service: @% SystemRoot% System32 netlogon.dll, -102 (Netlogon) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: Ninite Agent (NiniteAgent) – Secure By Design Inc. – C: Program Files (x86) Ninite Agent NiniteAgent.exe\nO23 – Service: Graphisoft BIMcloud Manager 19.0 (PortalServerService-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkPortalServerManager.exe\nO23 – Service: RDP Defender (RDPDefender) – JWTS – C: Program Files (x86) RDP Defender RDPDefender-service.exe\nO23 – Service: @% systemroot% system32 Locator.exe, -2 (RpcLocator) – Propriétaire inconnu – C: Windows system32 locator.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 samsrv.dll, -1 (SamSs) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: ScreenConnect Client (1192ae73f8a17fcc) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1192ae73f8a17fcc) ScreenConnect.ClientService.exe\nO23 – Service: ScreenConnect Client (1a2a43c9de9468c5) – Propriétaire inconnu – C: Program Files (x86) ScreenConnect Client (1a2a43c9de9468c5) ScreenConnect.ClientService.exe\nO23 – Service: @% SystemRoot% system32 SensorDataService.exe, -101 (SensorDataService) – Propriétaire inconnu – C: Windows System32 SensorDataService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 snmptrap.exe, -3 (SNMPTRAP) – Propriétaire inconnu – C: Windows System32 snmptrap.exe (fichier manquant)\nO23 – Service: service de cache SolarWinds MSP (SolarWinds.MSP.CacheService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP CacheService SolarWinds.MSP.CacheService.exe\nO23 – Service: Agent SolarWinds MSP PME (SolarWinds.MSP.PME.Agent.PmeService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP PME SolarWinds.MSP.PME.Agent.exe\nO23 – Service: Serveur SolarWinds MSP RPC (SolarWinds.MSP.RpcServerService) – SolarWinds Worldwide, LLC. – C: Program Files (x86) SolarWinds MSP RpcServer SolarWinds.MSP.RpcServerService.exe\nO23 – Service: @% systemroot% system32 spoolsv.exe, -1 (Spouleur) – Propriétaire inconnu – C: Windows System32 spoolsv.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 sppsvc.exe, -101 (sppsvc) – Propriétaire inconnu – C: Windows system32 sppsvc.exe (fichier manquant)\nO23 – Service: Graphisoft BIMcloud Server 19.0 (TeamworkApplicationServerMonitor-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Server 19 TeamworkApplicationServerMonitor.exe\nO23 – Service: Agent Graphisoft Service Process Manager 19.0 (TeamworkServiceProcessManagerAgent-v19.0) – Graphisoft SE – C: Program Files GRAPHISOFT BIM Server 19 BIMcloud Manager TeamworkServiceProcessManagerAgent.exe\nO23 – Service: @% SystemRoot% system32 TieringEngineService.exe, -702 (TieringEngineService) – Propriétaire inconnu – C: Windows system32 TieringEngineService.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 ui0detect.exe, -101 (UI0Detect) – Propriétaire inconnu – C: Windows system32 UI0Detect.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vaultsvc.dll, -1003 (VaultSvc) – Propriétaire inconnu – C: Windows system32 lsass.exe (fichier manquant)\nO23 – Service: @% SystemRoot% system32 vds.exe, -100 (vds) – Propriétaire inconnu – C: Windows System32 vds.exe (fichier manquant)\nO23 – Service: VMware Alias Manager et Ticket Service (VGAuthService) – VMware, Inc. – C: Program Files VMware VMware Tools VMware VGAuth VGAuthService.exe\nO23 – Service: VMware Tools (VMTools) – VMware, Inc. – C: Program Files VMware VMware Tools vmtoolsd.exe\nO23 – Service: Service de communication VMware CAF AMQP (VMwareCAFCommAmqpListener) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin CommAmqpListener.exe\nO23 – Service: Service d'agent de gestion VMware CAF (VMwareCAFManagementAgentHost) – Propriétaire inconnu – C: Program Files VMware VMware Tools VMware CAF pme bin ManagementAgentHost.exe\nO23 – Service: @% systemroot% system32 vssvc.exe, -102 (VSS) – Propriétaire inconnu – C: Windows system32 vssvc.exe (fichier manquant)\nO23 – Service: Service de maintenance de l'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin AgentMaint.exe\nO23 – Service: Service d'agent Windows – N-able Technologies Inc. – C: Program Files (x86) N-able Technologies Windows Agent bin agent.exe\nO23 – Service: @% Systemroot% system32 wbem wmiapsrv.exe, -110 (wmiApSrv) – Propriétaire inconnu – C: Windows system32 wbem WmiApSrv.exe (fichier manquant)\nO23 – Service: WRSVC – Webroot – C: Program Files Webroot WRSA.exe"},{"id":"text-9","heading":"Text","content":"–\nFin de fichier – 8880 octets"},{"id":"text-10","heading":"Text","content":"==="},{"id":"text-11","heading":"Text","content":"Événement de pirate"},{"id":"text-12","heading":"Text","content":"Un compte n'a pas pu se connecter."},{"id":"text-13","heading":"Text","content":"Matière:\nID de sécurité: SYSTÈME\nNom du compte: EDG-SRV-BIM $\nDomaine du compte: (cacher pour des raisons de sécurité)\nID de connexion: 0x3E7"},{"id":"text-14","heading":"Text","content":"Type de connexion: 4"},{"id":"text-15","heading":"Text","content":"Compte pour lequel la connexion a échoué:\nID de sécurité: NULL SID\nNom du compte: technologie\nDomaine du compte: (cacher pour des raisons de sécurité)"},{"id":"text-16","heading":"Text","content":"Informations sur l'échec:\nRaison de l'échec: Compte actuellement désactivé.\nStatut: 0xC000006E\nSous-statut: 0xC0000072"},{"id":"text-17","heading":"Text","content":"Traitement de l'information:\nID du processus de l'appelant: 0x3d8\nNom du processus de l'appelant: C: Windows System32 svchost.exe"},{"id":"text-18","heading":"Text","content":"Informations sur le réseau:\nNom du poste de travail: EDG-SRV-BIM\nAdresse réseau source: –\nPort source: –"},{"id":"text-19","heading":"Text","content":"Informations d'authentification détaillées:\nProcessus de connexion: Advapi \nPackage d'authentification: Négocier\nServices transités: –\nNom du package (NTLM uniquement): –\nLongueur de clé: 0"},{"id":"text-20","heading":"Text","content":"Cet événement est généré lorsqu'une demande de connexion échoue. Il est généré sur l'ordinateur sur lequel l'accès a été tenté."},{"id":"text-21","heading":"Text","content":"Les champs Objet indiquent le compte sur le système local qui a demandé la connexion. Il s'agit le plus souvent d'un service tel que le service Serveur ou d'un processus local tel que Winlogon.exe ou Services.exe."},{"id":"text-22","heading":"Text","content":"Le champ Type d'ouverture de session indique le type d'ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau)."},{"id":"text-23","heading":"Text","content":"Les champs Informations sur le processus indiquent le compte et le processus sur le système qui ont demandé l'ouverture de session."},{"id":"text-24","heading":"Text","content":"Les champs Informations réseau indiquent d'où provient une demande de connexion à distance. Le nom du poste de travail n'est pas toujours disponible et peut être laissé vide dans certains cas."},{"id":"text-25","heading":"Text","content":"Les champs d'informations d'authentification fournissent des informations détaillées sur cette demande de connexion spécifique.\n– Les services transités indiquent quels services intermédiaires ont participé à cette demande de connexion.\n– Le nom du package indique le sous-protocole utilisé parmi les protocoles NTLM.\n– La longueur de clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée."},{"id":"text-26","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/03/meta_image.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/04/18/debarrassez-vous-du-logiciel-attacker-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/18/debarrassez-vous-du-logiciel-attacker-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/04/18/debarrassez-vous-du-logiciel-attacker-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}