BAT/CoinMiner.Ru Trojan
webdev
-
webdoweb Messages postés 32 Date d'inscription Statut Membre Dernière intervention -
webdoweb Messages postés 32 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Un grand merci d'avance,
je suis sur Windows XP pack3 / Firefox 52.0, mon antivirus Nod32 détecte à chaque démarrage de PC la présence d'un Trojan BAT/CoinMiner.Ru au niveau de c:\windows\debug\c2.bat créé par le fichier c:\windows\system32\wbem\scrcons.exe
Nod32 le supprime (cleaned by deleting), mais ce fichier revient à chaque démarrage :(
Quelqu'un peut m'aider de se débarrasser de ça !!!!
Merci encore
Un grand merci d'avance,
je suis sur Windows XP pack3 / Firefox 52.0, mon antivirus Nod32 détecte à chaque démarrage de PC la présence d'un Trojan BAT/CoinMiner.Ru au niveau de c:\windows\debug\c2.bat créé par le fichier c:\windows\system32\wbem\scrcons.exe
Nod32 le supprime (cleaned by deleting), mais ce fichier revient à chaque démarrage :(
Quelqu'un peut m'aider de se débarrasser de ça !!!!
Merci encore
A voir également:
- BAT/CoinMiner.Ru Trojan
- Fichier bat - Guide
- Bat to exe converter - Télécharger - Édition & Programmation
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
25 réponses
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (05-09-2017 12:33:11) Run:3
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
C:\WINDOWS\DEBUG\c2.bat
C:\WINDOWS\system32\wbem\scrcons.exe
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
"C:\WINDOWS\DEBUG\c2.bat" => non trouvé(e).
C:\WINDOWS\system32\wbem\scrcons.exe => déplacé(es) avec succès
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9713 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 711 B
Windows/system/dllcache/drivers => 18457 B
Edge => 0 B
Chrome => 29832187 B
Firefox => 377124345 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66291 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 142764 B
Administrateur => 0 B
RecycleBin => 0 B
EmptyTemp: => 388.4 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par Ahmed (05-09-2017 12:33:11) Run:3
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
C:\WINDOWS\DEBUG\c2.bat
C:\WINDOWS\system32\wbem\scrcons.exe
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
"C:\WINDOWS\DEBUG\c2.bat" => non trouvé(e).
C:\WINDOWS\system32\wbem\scrcons.exe => déplacé(es) avec succès
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9713 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 711 B
Windows/system/dllcache/drivers => 18457 B
Edge => 0 B
Chrome => 29832187 B
Firefox => 377124345 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66291 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 142764 B
Administrateur => 0 B
RecycleBin => 0 B
EmptyTemp: => 388.4 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 12:34:45
en fait ton infection s'attrape automatiquement, si l'ordinateur est vulnérable et si d'autres ordinateurs sont infectés sur le réseau.
(même si maintenant que tu as mis à la mise à jour et activé le pare-feu, ça ne devrait plus)
ma question est de savoir si tu branches l'ordinateur sur un réseau public comme une école, une entreprise, cybercafé etc.. où il peut y avoir des ordinateurs infectés.
Est-ce que tu te connectes à internet avec un modem ou un routeur ?
(même si maintenant que tu as mis à la mise à jour et activé le pare-feu, ça ne devrait plus)
ma question est de savoir si tu branches l'ordinateur sur un réseau public comme une école, une entreprise, cybercafé etc.. où il peut y avoir des ordinateurs infectés.
Est-ce que tu te connectes à internet avec un modem ou un routeur ?
Bonjour,
- Je me connecte par wifi sur un retour au bureau, il y a d'autres ordis qui se connecte aussi, mais pas de réseau local, les ordis ne peuvent pas se connecter entre eux.
- Je me connecte aussi par un modem 3G ailleurs.
après l'analyse et le fixe par RFST l’existence de cette ligne : WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
dans le rapport signifie que le trojan et toujours présent sur mon PC.
Bref, j'ai installé kaspersky KVRT qui a détecté le WMIRun dans la mémoire et qui a pu l’éliminer (Nod32 ne le détecte pas en mémoire). Après une analyse par RFST j'ai remarqué l'absence de la ligne suspecte et depuis j'ai jamais eu le popup (cleared by deleting)
Voila, Merci
- Je me connecte par wifi sur un retour au bureau, il y a d'autres ordis qui se connecte aussi, mais pas de réseau local, les ordis ne peuvent pas se connecter entre eux.
- Je me connecte aussi par un modem 3G ailleurs.
après l'analyse et le fixe par RFST l’existence de cette ligne : WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
dans le rapport signifie que le trojan et toujours présent sur mon PC.
Bref, j'ai installé kaspersky KVRT qui a détecté le WMIRun dans la mémoire et qui a pu l’éliminer (Nod32 ne le détecte pas en mémoire). Après une analyse par RFST j'ai remarqué l'absence de la ligne suspecte et depuis j'ai jamais eu le popup (cleared by deleting)
Voila, Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question