Virus trojan coin miner impossible à supprimer avec windows defender

amandinednn -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Windows Defender m’as signalé aujourd’hui que mon ordinateur était infecté d’un « Trojan:HTML/CoinMiner » . Je n'arrive pas à le supprimer ni à le mettre en quarantaine.
Je suis actuellement entrain d’effectuer un scan avec MalwareBytes qui ne semble déceler aucun problèmes (23 menaces pour l’instant ne semblant pas avoir de rapport avec le CoinMiner)
Ça va faire quelques temps maintenant que mon pc rame et que j'ai du mal à lancer les applications.

Je suis desespérée.

Merci d'avance pour vos réponses.

Configuration: iPhone / Safari 13.0.3

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bonsoir,

    Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

    Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    (Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

    0
    1. amandinednn Messages postés 5 Statut Membre
       
      Bonsoir,

      Voilà maintenant plus d’une demi-heure que j’essaye d’accéder au lien mais sans succès. Je vous écrit actuellement depuis mon téléphone mais mon ordi est beaucoup trop lent, la page ne réponds pas. Dois-je tenter un redémarrage ?

      Je ne sais plus quoi faire.

      Dans l’espoir de vous lire
      0
      1. amandinednn Messages postés 5 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        J’ai réussi à télécharger FRST. L’analyse est en cours (et celle de MalwareBytes terminée dans aucun signe du CoinMiner). L’analyse FRST affiche « Analyse : Firefox » depuis une dizaine de minute mais rien de plus, est-ce normal ? un dossier FRST.txt s’est créé mais pas les addition.txt ni shortcut.txt...
        Je vous recontacte une fois l’analyse terminée.
        Merci beaucoup pour votre aide ????
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > amandinednn Messages postés 5 Statut Membre
         
        Attends la fin du scan.
        Un message doit te dire quand c'est terminé.
        0
      3. amandinednn Messages postés 5 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Okay c’est bon ! je viens de réussir à avoir les liens (c’est ce qui a pris le plus de temps).

        FRST :

        https://pjjoint.malekal.com/files.php?id=FRST_20200102_i15o14f6g8e12

        ADDITION :

        https://pjjoint.malekal.com/files.php?id=20200102_t13g6w9g6i8

        SHORTCUT :

        https://pjjoint.malekal.com/files.php?id=20200103_u9n15z15f5e6

        Encore merci pour votre aide.
        0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    La détection a l'air bidon.
    Donc pas l'impression que lPC soit infecté.
    On dirait plutôt un problème entre Windows Defender et Avast!

    Date: 2020-01-02 19:19:51.346
    Description:
    Name: Trojan:HTML/CoinMiner
    ID: 2147743857
    Severity: Severe
    Category: Trojan
    Path: file:_C:\Windows\Temp\_avast_\nsfsp0000107D.tmp
    Detection Origin: Local machine
    Detection Type: Concrete
    Detection Source: Real-Time Protection
    Process Name: C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    Security intelligence Version: AV: 1.307.1556.0, AS: 1.307.1556.0, NIS: 1.307.1556.0
    Engine Version: AM: 1.1.16600.7, NIS: 1.1.16600.7


    Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
    Ils encombrent Windows et peuvent le ralentir.
    Tu peux donc les désinstaller.
    Vas dans le Panneau de configuration
    puis programmes et fonctionnalités.
    Désinstalle :

    Avast -<ital> laisse Windows Defender, plus léger

    Clean Master
    DAEMON Tools Lite - sur Windows 10, tu peux monter un ISO par un clic droit / Monter. voir : ouvrir un fichier ISO sur Windows 10
    Dropbox - sauf si tu synchronises
    Google Toolbar for Internet Explorer
    iCloud
    Java
    </ital>

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/]#fix note explicative avec des captures d'écran[/url].
    Relance FRST puis sur ton clavier appuyer sur la touche [b]CTRL + Y[/b].
    Le bloc-note va s'ouvrir, copie/colle ceci.

    [code]Start:
    CloseProcesses:
    CreateRestorePoint:
    HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
    HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
    C:\Users\Amandine\AppData\Roaming\cacaoweb
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:
    End:[/code]

    Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire et automatique.
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.
    (L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

    Ne mets qu'un seul bloqueur de pubs sur le navigateur
    comme uBlock par exemple.

    0
  3. amandinednn Messages postés 5 Statut Membre
     
    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
    Exécuté par Amandine (03-01-2020 16:13:02) Run:1
    Exécuté depuis C:\Users\Amandine\Desktop
    Profils chargés: Amandine (Profils disponibles: Amandine)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    [code]Start:
    CloseProcesses:
    CreateRestorePoint:
    HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
    HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
    C:\Users\Amandine\AppData\Roaming\cacaoweb
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:
    End:[/code]

    [code]Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
    Processus fermé avec succès.
    Le Point de restauration a été créé avec succès.
    "HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
    "HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => non trouvé(e)
    C:\Users\Amandine\AppData\Roaming\cacaoweb => déplacé(es) avec succès
    C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
    Hosts restauré(es) avec succès.

    ========= RemoveProxy: =========

    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès

    ========= Fin de RemoveProxy: =========

    End:[/code] => Erreur: Pas de correction automatique trouvée pour cet élément.

    =========== EmptyTemp: ==========

    BITS transfer queue => 10510336 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17773819 B
    Java, Flash, Steam htmlcache => 111428 B
    Windows/system/drivers => 170137 B
    Edge => 3925288 B
    Chrome => 0 B
    Firefox => 99104590 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 0 B
    NetworkService => 2562 B
    Amandine => 11725501 B

    RecycleBin => 5771432 B
    EmptyTemp: => 142.2 MB données temporaires supprimées.

    ================================

    Le système a dû redémarrer.

    Fin de Fixlog 16:40:49

    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok réinitialise les navigateurs en 2)
    La détection revient ou pas ?
    0
    1. amandinednn Messages postés 5 Statut Membre
       
      J’ai réinitialisé les deux navigateurs.
      La menace n’est plus détectée par windows defender lors d’un scan et le statut de la menace (trojan) est maintenant ecrit « abandonné » dans windows defender et la seule action que je peux faire est « accepter » mais j’imagine que c’est normal ?
      Encore merci pour votre aide, vous avez sauvé mon ordi, il ne rame presque plus du tout !!
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > amandinednn Messages postés 5 Statut Membre
         
        Laisse comme ça =)
        0