Virus trojan coin miner impossible à supprimer avec windows defender

Signaler
-
Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
-
Bonjour,
Windows Defender m’as signalé aujourd’hui que mon ordinateur était infecté d’un « Trojan:HTML/CoinMiner » . Je n'arrive pas à le supprimer ni à le mettre en quarantaine.
Je suis actuellement entrain d’effectuer un scan avec MalwareBytes qui ne semble déceler aucun problèmes (23 menaces pour l’instant ne semblant pas avoir de rapport avec le CoinMiner)
Ça va faire quelques temps maintenant que mon pc rame et que j'ai du mal à lancer les applications.

Je suis desespérée.

Merci d'avance pour vos réponses.


Configuration: iPhone / Safari 13.0.3

4 réponses

Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028
Bonsoir,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

Bonsoir,

Voilà maintenant plus d’une demi-heure que j’essaye d’accéder au lien mais sans succès. Je vous écrit actuellement depuis mon téléphone mais mon ordi est beaucoup trop lent, la page ne réponds pas. Dois-je tenter un redémarrage ?

Je ne sais plus quoi faire.

Dans l’espoir de vous lire
Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028 > amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

Télécharge depuis ce lien Télécharger FRST.

Il y a toujours la solution du mode sans échec avec prise en charge du réseau au pire :
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020
> Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020

J’ai réussi à télécharger FRST. L’analyse est en cours (et celle de MalwareBytes terminée dans aucun signe du CoinMiner). L’analyse FRST affiche « Analyse : Firefox » depuis une dizaine de minute mais rien de plus, est-ce normal ? un dossier FRST.txt s’est créé mais pas les addition.txt ni shortcut.txt...
Je vous recontacte une fois l’analyse terminée.
Merci beaucoup pour votre aide ????
Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028 > amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

Attends la fin du scan.
Un message doit te dire quand c'est terminé.
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020
> Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020

Okay c’est bon ! je viens de réussir à avoir les liens (c’est ce qui a pris le plus de temps).

FRST :

https://pjjoint.malekal.com/files.php?id=FRST_20200102_i15o14f6g8e12

ADDITION :

https://pjjoint.malekal.com/files.php?id=20200102_t13g6w9g6i8

SHORTCUT :

https://pjjoint.malekal.com/files.php?id=20200103_u9n15z15f5e6

Encore merci pour votre aide.
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028
La détection a l'air bidon.
Donc pas l'impression que lPC soit infecté.
On dirait plutôt un problème entre Windows Defender et Avast!

Date: 2020-01-02 19:19:51.346
Description:
Name: Trojan:HTML/CoinMiner
ID: 2147743857
Severity: Severe
Category: Trojan
Path: file:_C:\Windows\Temp\_avast_\nsfsp0000107D.tmp
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Program Files\AVAST Software\Avast\AvastSvc.exe
Security intelligence Version: AV: 1.307.1556.0, AS: 1.307.1556.0, NIS: 1.307.1556.0
Engine Version: AM: 1.1.16600.7, NIS: 1.1.16600.7



Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast -<ital> laisse Windows Defender, plus léger

Clean Master
DAEMON Tools Lite - sur Windows 10, tu peux monter un ISO par un clic droit / Monter. voir : ouvrir un fichier ISO sur Windows 10
Dropbox - sauf si tu synchronises
Google Toolbar for Internet Explorer
iCloud
Java
</ital>



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/]#fix note explicative avec des captures d'écran[/url].
Relance FRST puis sur ton clavier appuyer sur la touche [b]CTRL + Y[/b].
Le bloc-note va s'ouvrir, copie/colle ceci.

[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

Ne mets qu'un seul bloqueur de pubs sur le navigateur
comme uBlock par exemple.

Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
Exécuté par Amandine (03-01-2020 16:13:02) Run:1
Exécuté depuis C:\Users\Amandine\Desktop
Profils chargés: Amandine (Profils disponibles: Amandine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]


[code]Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => non trouvé(e)
C:\Users\Amandine\AppData\Roaming\cacaoweb => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

End:[/code] => Erreur: Pas de correction automatique trouvée pour cet élément.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17773819 B
Java, Flash, Steam htmlcache => 111428 B
Windows/system/drivers => 170137 B
Edge => 3925288 B
Chrome => 0 B
Firefox => 99104590 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2562 B
Amandine => 11725501 B

RecycleBin => 5771432 B
EmptyTemp: => 142.2 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 16:40:49

Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028
ok réinitialise les navigateurs en 2)
La détection revient ou pas ?
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

J’ai réinitialisé les deux navigateurs.
La menace n’est plus détectée par windows defender lors d’un scan et le statut de la menace (trojan) est maintenant ecrit « abandonné » dans windows defender et la seule action que je peux faire est « accepter » mais j’imagine que c’est normal ?
Encore merci pour votre aide, vous avez sauvé mon ordi, il ne rame presque plus du tout !!
Malekal_morte-
Messages postés
174109
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 janvier 2020
19028 > amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020

Laisse comme ça =)