Processus malveillant/NAS infecté

Processus malveillant/NAS infecté Nas infecté et blocage spamhaus que faire ? (Résolu) » Forum - Virus / Sécurité Logiciels malveillants/fichiers inféctés (Résolu) » Forum - Virus / Sécurité Crss.exe est-il un processus malveillant [Résolu] (Résolu) » Forum - Virus / Sécurité Rootkit? Proc.Hidden: processus malveillant laptop en surcharge » Forum - Virus / Sécurité Processus malveillants ou non ? » Forum - Virus / Sécurité

Bonjour,

Je possède un NAS de chez Lacie. Il a malheureusement servi de passerelle pour infecter mon ordinateur.
Je vous explique : un dossier nommé "Photos" s'est installé dans toutes les arborescences du NAS.
Un scan avec ESET les supprime tous, mais ceux-ci reviennent assez vite, automatiquement.
Le dossier contient un fichier Screensaver. Un scan avec Eset me présente ce fichier comme étant un processus CoinMiner.

Depuis, un processus nommé "Photos" est également apparu dans le gestionnaire de tâches, et utilise 250Mo.

Pas de doute, mon ordinateur doit servir à miner du Bitcoin en pagaille.

Voici les rapports de Scan :

https://pjjoint.malekal.com/files.php?id=FRST_20180212_w158w12o914

https://pjjoint.malekal.com/files.php?id=20180212_i6e14p9e13g9

https://pjjoint.malekal.com/files.php?id=20180212_p5t13k8h6u11

Merci pour votre aide :)

Forum

Processus malveillant/NAS infecté Nas infecté et blocage spamhaus que faire ? (Résolu) » Forum - Virus / Sécurité Logiciels malveillants/fichiers inféctés (Résolu) » Forum - Virus / Sécurité Crss.exe est-il un processus malveillant [Résolu] (Résolu) » Forum - Virus / Sécurité Rootkit? Proc.Hidden: processus malveillant laptop en surcharge » Forum - Virus / Sécurité Processus malveillants ou non ? » Forum - Virus / Sécurité

Web: www.shapebootstrap.net

9 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Salut,

Rien d'anormal sur les rapports.
Donne une capture d'écran du gestionnaire de tâches.
Sur le processus photos, clic droit et propriétés
donne l'emplacement

Reply

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

L'emplacement me renvoie vers un dossier caché dans ProgramsFiles qui se nomme "windowsapps". Je ne peux pas y accéder, je dois élever les droits d'accès. Je suis pourtant sur session administrateur.

Cela dit, d'après mes recherches, c'est un dossier tout à fait normal de Windows.

J'ai tué le processus Photos qui apparaissait pour la première fois. Pour l'instant, pas de retour.

En revanche, concernant mon NAS, c'est un problème récurrent. Les dossiers se créent tout seuls. Mais impossible de comprendre de quelle manière ils s'installent malicieusement sur le disque. Peut-être que seul le NAS est infecté, ce qui serait rassurant. Un simple formatage réglerait-il le problème ?

Reply
réponses:
  • auteur

  • Malekal_morte-

    c'est lié à l'application photo de Windows 10.
    C'est vraiment un dossier qui se créé sur le NAS ?
    Il y a quoi dedans ? c'est peut-être des caches de miniatures de l'explorateur de fichiers.

  • badgone88

    Le dossier contient une archive "info.zip" que je ne peux ouvrir, ainsi qu'un fichier nommé "photo.scr"
    Voici ce que me dit Eset : "Win32/Crytes.AA ver"

    Vu qu'il s'installe dans chaque arborescence du disque, ça m'en fait une bonne centaine à chaque fois.

    Cela dit, je ne ressens aucun ralentissement particulier sur mon PC.

  • badgone88

    En faisant des recherches sur des forums, mon cas n'est pas isolé.
    Ces fichiers semblent effectivement détectés comme étant des processus malveillants servant à utiliser les ressources du PC de l'hôte pour miner de la crypto-monnaie.

  • badgone88

    Voici des infos plus complètes : http://www.virusradar.com/en/Win32_Crytes.AA/description

    Première chose à faire de mon côté : désactiver l'accès FTP de mon disque Ethernet.

  • Malekal_morte-

    ok c'est donc un ver, la source n'est pas l'ordinateur où tu as donné les rapports FRST à priori.
    Un autre ordinateur est connecté sur le NAS ?
    Si oui faudrait, faire un FRST dessus pour voir.

    ou alors sur ton serveur FTP, tu as un compte non sécurisé accessible depuis internet..

  • badgone88

    2 MacBook et 1 PC portable sous Windows 10 ont accès au disque réseau par WiFi.

  • Malekal_morte-

    et le FTP est accessible depuis internet ?
    si oui, vérifie :
    - les comptes et leurs mots de passe
    - si une mise à jour du firmware (ou autre) du NAS est disponible

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed