Virus trojan coin miner impossible à supprimer avec windows defender
Fermé
amandinednn
-
2 janv. 2020 à 20:39
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 janv. 2020 à 11:08
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 janv. 2020 à 11:08
A voir également:
- Coinminer.gen
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Desactiver windows defender - Guide
- Windows defender - Télécharger - Antivirus & Antimalwares
- Fichier impossible à supprimer - Guide
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
2 janv. 2020 à 20:43
2 janv. 2020 à 20:43
Bonsoir,
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié le 3 janv. 2020 à 11:10
Modifié le 3 janv. 2020 à 11:10
La détection a l'air bidon.
Donc pas l'impression que lPC soit infecté.
On dirait plutôt un problème entre Windows Defender et Avast!
Date: 2020-01-02 19:19:51.346
Description:
Name: Trojan:HTML/CoinMiner
ID: 2147743857
Severity: Severe
Category: Trojan
Path: file:_C:\Windows\Temp\_avast_\nsfsp0000107D.tmp
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Program Files\AVAST Software\Avast\AvastSvc.exe
Security intelligence Version: AV: 1.307.1556.0, AS: 1.307.1556.0, NIS: 1.307.1556.0
Engine Version: AM: 1.1.16600.7, NIS: 1.1.16600.7
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Avast -<ital> laisse Windows Defender, plus léger
Clean Master
DAEMON Tools Lite - sur Windows 10, tu peux monter un ISO par un clic droit / Monter. voir : ouvrir un fichier ISO sur Windows 10
Dropbox - sauf si tu synchronises
Google Toolbar for Internet Explorer
iCloud
Java
</ital>
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/]#fix note explicative avec des captures d'écran[/url].
Relance FRST puis sur ton clavier appuyer sur la touche [b]CTRL + Y[/b].
Le bloc-note va s'ouvrir, copie/colle ceci.
[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
Ne mets qu'un seul bloqueur de pubs sur le navigateur
comme uBlock par exemple.
Donc pas l'impression que lPC soit infecté.
On dirait plutôt un problème entre Windows Defender et Avast!
Date: 2020-01-02 19:19:51.346
Description:
Name: Trojan:HTML/CoinMiner
ID: 2147743857
Severity: Severe
Category: Trojan
Path: file:_C:\Windows\Temp\_avast_\nsfsp0000107D.tmp
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Program Files\AVAST Software\Avast\AvastSvc.exe
Security intelligence Version: AV: 1.307.1556.0, AS: 1.307.1556.0, NIS: 1.307.1556.0
Engine Version: AM: 1.1.16600.7, NIS: 1.1.16600.7
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Avast -<ital> laisse Windows Defender, plus léger
Clean Master
DAEMON Tools Lite - sur Windows 10, tu peux monter un ISO par un clic droit / Monter. voir : ouvrir un fichier ISO sur Windows 10
Dropbox - sauf si tu synchronises
Google Toolbar for Internet Explorer
iCloud
Java
</ital>
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/]#fix note explicative avec des captures d'écran[/url].
Relance FRST puis sur ton clavier appuyer sur la touche [b]CTRL + Y[/b].
Le bloc-note va s'ouvrir, copie/colle ceci.
[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (seulement le premier paragraphe).
- Réinitialiser et réparer Internet Explorer
Ne mets qu'un seul bloqueur de pubs sur le navigateur
comme uBlock par exemple.
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020
3 janv. 2020 à 18:10
3 janv. 2020 à 18:10
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
Exécuté par Amandine (03-01-2020 16:13:02) Run:1
Exécuté depuis C:\Users\Amandine\Desktop
Profils chargés: Amandine (Profils disponibles: Amandine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]
[code]Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => non trouvé(e)
C:\Users\Amandine\AppData\Roaming\cacaoweb => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
End:[/code] => Erreur: Pas de correction automatique trouvée pour cet élément.
=========== EmptyTemp: ==========
BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17773819 B
Java, Flash, Steam htmlcache => 111428 B
Windows/system/drivers => 170137 B
Edge => 3925288 B
Chrome => 0 B
Firefox => 99104590 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2562 B
Amandine => 11725501 B
RecycleBin => 5771432 B
EmptyTemp: => 142.2 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par Amandine (03-01-2020 16:13:02) Run:1
Exécuté depuis C:\Users\Amandine\Desktop
Profils chargés: Amandine (Profils disponibles: Amandine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
[code]Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\...\Run: [cacaoweb] => C:\Users\Amandine\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2019-12-29] (CACAOWEB Ltd -> )
C:\Users\Amandine\AppData\Roaming\cacaoweb
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:[/code]
[code]Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => non trouvé(e)
C:\Users\Amandine\AppData\Roaming\cacaoweb => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2766706515-1902585774-3367361363-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
End:[/code] => Erreur: Pas de correction automatique trouvée pour cet élément.
=========== EmptyTemp: ==========
BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17773819 B
Java, Flash, Steam htmlcache => 111428 B
Windows/system/drivers => 170137 B
Edge => 3925288 B
Chrome => 0 B
Firefox => 99104590 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2562 B
Amandine => 11725501 B
RecycleBin => 5771432 B
EmptyTemp: => 142.2 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 16:40:49
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
3 janv. 2020 à 18:42
3 janv. 2020 à 18:42
ok réinitialise les navigateurs en 2)
La détection revient ou pas ?
La détection revient ou pas ?
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020
4 janv. 2020 à 03:54
4 janv. 2020 à 03:54
J’ai réinitialisé les deux navigateurs.
La menace n’est plus détectée par windows defender lors d’un scan et le statut de la menace (trojan) est maintenant ecrit « abandonné » dans windows defender et la seule action que je peux faire est « accepter » mais j’imagine que c’est normal ?
Encore merci pour votre aide, vous avez sauvé mon ordi, il ne rame presque plus du tout !!
La menace n’est plus détectée par windows defender lors d’un scan et le statut de la menace (trojan) est maintenant ecrit « abandonné » dans windows defender et la seule action que je peux faire est « accepter » mais j’imagine que c’est normal ?
Encore merci pour votre aide, vous avez sauvé mon ordi, il ne rame presque plus du tout !!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
>
amandinednn
Messages postés
5
Date d'inscription
jeudi 2 janvier 2020
Statut
Membre
Dernière intervention
4 janvier 2020
4 janv. 2020 à 11:08
4 janv. 2020 à 11:08
Laisse comme ça =)
2 janv. 2020 à 21:18
Voilà maintenant plus d’une demi-heure que j’essaye d’accéder au lien mais sans succès. Je vous écrit actuellement depuis mon téléphone mais mon ordi est beaucoup trop lent, la page ne réponds pas. Dois-je tenter un redémarrage ?
Je ne sais plus quoi faire.
Dans l’espoir de vous lire
Modifié le 2 janv. 2020 à 21:59
Il y a toujours la solution du mode sans échec avec prise en charge du réseau au pire :
2 janv. 2020 à 22:12
Je vous recontacte une fois l’analyse terminée.
Merci beaucoup pour votre aide ????
2 janv. 2020 à 22:50
Un message doit te dire quand c'est terminé.
3 janv. 2020 à 00:38
FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20200102_i15o14f6g8e12
ADDITION :
https://pjjoint.malekal.com/files.php?id=20200102_t13g6w9g6i8
SHORTCUT :
https://pjjoint.malekal.com/files.php?id=20200103_u9n15z15f5e6
Encore merci pour votre aide.