Sujet Précédent Sujet Suivant

Trojan coinminer ! Pz

Résolu
Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024 - 8 janv. 2024 à 00:04
bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024 - 8 janv. 2024 à 16:26

Bonjour, bonsoir

J'ai un soucis avec mon ordinateur depuis quelque temps Windows defender detecte un ou plusieurs trojan bitcoinminer, quand je clique sur window defender pour qu'il intervienne il ne fais rien. 

Le message de defender reviens plusieurs fois par jour des fois il detecte trojan coinminer dans le c/windows/système32 fichier D!host. Exe quand je me rend dans ce dossier il n'y a aucun.. Exe avec ce nom et une autre detection coinminer!Pz fichier host je suis un peu paumé

je fait des analyse avec eset online il detecte toujours 2 éléments mais après redémarrage de la machine rien ne change les même message 

Quand j'utilise le pc je ne vois pas trop de problème appart les messages de defender, cependant comme je laisse mon ordi souvent tourner  je remarque que quand je reviens sur le pc, qu'il soufle fort en periode d'inactivité comme si je jouais a des jeux alors que je ne fait rien dessu, et dès que je rebouge ma souris il reviens a la normal les ventilateur ce calme.. 

Je suis sur Windows 11 à jour j'ai besoin d'aide svp merci d'avance. 


Android / Chrome 120.0.0.0

2 réponses

Réponse 1 / 2
bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024 18 597
Modifié le 8 janv. 2024 à 13:47

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse
1
Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024
Modifié le 8 janv. 2024 à 13:07

https://www.cjoint.com/c/NAilGqsVi6F 

https://www.cjoint.com/c/NAilIfAGxaF 

Voici merci pour votre aide

0
bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024 18 597 > Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024
Modifié le 8 janv. 2024 à 13:31

@Ikaru_2565 StatutMembre

Il y a bien un trojan miner sur ton pc, pour le supprimer fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Windows\svshost.exe
VirusTotal: C:\Users\User\AppData\Roaming\Winsoft\core.ps1
VirusTotal: C:\WINDOWS\mid.ps1
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2413861138-3034359262-370040156-1005\...\Run: [LightBulb] => "C:\Program Files (x86)\LightBulb\LightBulb.exe" --start-hidden (Pas de fichier)
HKU\S-1-5-18\...\RunOnce: [InstallBootstrap] => "C:\WINDOWS\TEMP\jsvu5tgp.exe" (Pas de fichier) 
Task: {0F1EFCAB-BC57-4E34-8B83-1E73C5CFC37A} - System32\Tasks\Meta\Messenger-SL-Helper-S-1-5-21-2413861138-3034359262-370040156-1005 => C:\Users\User\AppData\Local\Programs\Messenger\MessengerHelper.exe  --lassie (Pas de fichier)
Task: {9C9C1A22-DE01-432C-ADD8-DDD71810350A} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-2413861138-3034359262-370040156-1005 => MessengerHelper.exe  --lassie (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Pas de fichier)
Task: {FE086C0F-85C5-4B76-AA0B-EB1A072CACA1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Pas de fichier)
Task: {F81D1D87-E619-4426-B71C-152AD8E591A9} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
S3 cpuz155; \??\C:\WINDOWS\temp\cpuz155\cpuz155_x64.sys [X]
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {C8536327-C0A1-4C92-9137-882617326E69} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-29] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\User\AppData\Roaming\Winsoft\core.ps1
Task: {D4FF5E76-83E2-4572-A9B8-A5A5D4A6B1C2} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-29] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1 
C:\Users\User\AppData\Roaming\Winsoft
C:\WINDOWS\mid.ps1
C:\Windows\svshost.exe
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

0
Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024 > bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024
Modifié le 8 janv. 2024 à 15:30

voici https://www.cjoint.com/c/NAioatQi1nF 

dés le redemarrage j'ai eu la detection de defender donc jpense qu'il est toujours actif

screen https://www.cjoint.com/c/NAiocLsUczF 

merci pour l'aide que tu m'apporte en tout cas

0
bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024 18 597 > Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024
Modifié le 8 janv. 2024 à 16:22

Le fixlog est OK, le trojan miner est supprimé, comme beaucoup de personnes tu confonds détection de Windows Defender et son historique de détection.

Dans ta capture d'écran on voit bien que cette détection fait parti du passé car elle est antérieure à la correction FRST qui a été faite aujourd'hui à 14h15 alors que la détection de Windows Defender de ta capture d'écran date d'aujourd'hui à 13h03


Ton pc est désinfecté, tu dois par ailleurs t'en apercevoir car ton pc ne doit plus souffler fort.
 

Pour information, voici l'analyse de ton infection :

https://www.virustotal.com/gui/file/01d46b910e5e

tu peux aussi supprimer les éléments en quarantaine dans Windows Defender: 
vider-quarantaine-de-windows-defender .

Si tout est OK pour toi :

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
Ikaru_2565 Messages postés 4 Date d'inscription dimanche 7 janvier 2024 Statut Membre Dernière intervention 8 janvier 2024 > bazfile Messages postés 54078 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 10 mai 2024
8 janv. 2024 à 16:20

un tout grand merci pour ton aide, en effet le pc ne soufle plus mon probleme est résolu, merci beaucoup !

0
Réponse 2 / 2
fabul Messages postés 37808 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 10 mai 2024 5 191
8 janv. 2024 à 00:32

Salut,

Avec les 1ère et 2ème parties, tu peux vérifier pour les malwares, puis avec la dernière, tu peux inspecter et réduire les programmes en tâches de fond.

Tu peux analyser et supprimer des malwares avec RegRun Reanimator

https://greatis.com/security/reanimator.html

Cliques sur Fix Problems et ensuite Fix Malware Issues

Attention, il est important de bien trier, par déductions ou recherches Internet et/ou analyses VirusTotal* pour ne supprimer que des virus ou inutiles, parce qu'il détecte tout, bon ou pas, important ou pas, ce n'est pas un antivirus, mais un outil d'analyse qui permet de voir des détails sur des items possiblement actifs, des fois bons, des fois mauvais.

Il faut regarder dans les onglets en haut pour les différents types d'items vus.

Il montre des détails comme les types, les noms et la localisation des fichiers etc. ce qui sert des indices souvent concrets.

Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.

Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge, dans toutes les sections ou il y a à supprimer, puis aller à Finish! et cliquer le bouton pour redémarrer Windows.

Si il ne détecte pas assez tu peux utiliser le bouton Filter Set ou le Inspection Mode pour tout voir, mais redoubles de prudence sur ce que tu supprimes.

Ou On-Line Multi-Antivirus Scan

Ou en fermant la première fenêtre de Reanimator par le X en haut à droite, et l'onglet Reanimator > Anti Spyware Full Check...

-----------------------------------------------------­------------------------­-----------------------------------------------

Le programme VirusTotal Uploader *Download the App here*

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Pour (Un fichier) > Clic droit > Envoyer vers > VirusTotal

(Afficher les fichiers cachés si il faut, dans Affichage > Options > Affichage)

Pour avoir les résultats en direct en ligne d'analyses du fichier par une soixantaine de moteurs antivirus, en plus de l'onglet Détails pour voir si le fichier est signé et vérifié ou pas etc.

On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent peu analysé.

-----------------------------------------------------­------------------------­-----------------------------------------------

Tu peux inspecter et faire du ménage dans les éléments inutiles en démarrage avec Autoruns et Services.msc

Tu peux télécharger Autoruns ici, extraire tout dans un nouveau dossier, et l'exécuter en tant qu'administrateur.

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

Prends ton temps, regardes tous les détails, fais des recherches.

Dans les onglets "Logon" et "Scheduled Tasks", tu peux désactiver ou supprimer du démarrage automatique des éléments tiers inutiles pas de Microsoft ou Windows importants, soit en les décochant, ou par clic droit > Delete.

Regarder l'onglet "Services", mais ne pas les désactiver si parfois utiles, c'est mieux de les passer en mode "Manuel" (Pour démarrer à la demande) avec services.msc de Windows, par clic droit sur le bouton Démarrer > Exécuter: services.msc

Avec Autoruns tu as la liste des services Non Windows, alors ça aide.

Les changements seront pris en compte en redémarrant Windows.
0

Discussions similaires

infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème PUAtorrent:win32/uTorrent
Paulo_61 -
MisteryBean -

3 réponses
Trojan:HTML/Phish!MSR
gl0ugl0u -
Malekal_morte- -

5 réponses
Problème de trojan/Coinminer
linux89563 -
bazfile -

5 réponses
Hacktool:win32 AutoKMS bien supprimé ?
Rednalas -
Malekal_morte- -

12 réponses