Problème de trojan/Coinminer [Résolu]

Signaler
-
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
-
Bonjour,

J'ai récemment fait la découverte de certains fichiers trojan/Coinminer grâce à windows defender, j'ai regardé certains sujets sur des forum et souvent le logiciel FRST et utilisé comme sur ce sujet qui possédait le même soucis que j'ai : https://forums.commentcamarche.net/forum/affich-37107783-probleme-de-trojan-coinminer

J'ai fait les première démarche (analyse avec FRST), je suis à la recherche de quelqu'un pour m'aider avec les rapports !

Merci d'avance :)

20 réponses

Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE

Mais il ne détecte plus rien. 


Alors , c'est OK , je pense que c'était des alertes sur des fichiers en quarantaine .

----------
--------------------------

Si tu veux garder Malwarebytes pendant le période d'essai :

Vide la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Puis vérifie ceci :

Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur

------------
---------------------------------

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
La procédure nécessite un redémarrage

------------
---------------------------------------

Pour la quarantaine Windows Defender , les détections/fichiers seront supprimés dans quelques jours.

-----------
---------------------------------------------------

Si tout est OK , on peut mettre en résolu
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
Bonjour ,

Postes les rapports :

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
Merci pour votre réponse,

Voici le rapport de FRST.txt :
https://pjjoint.malekal.com/files.php?id=FRST_20210228_x9p11l7p9o11

et celui de Addition.txt :
https://pjjoint.malekal.com/files.php?id=20210228_d12o5b12b13g14
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
J'avais demandé sur https://security-x.fr/up/ , mais bon , tant pis !!

A quoi te sert ceci :

KMS Tools Portable 1,0,0,0 (HKLM-x32\...\KMS Tools Portable 1,0,0,0) (Version: 1,0,0,0 - Ratiborus)
KMS Tools Portable 13.07.2017 (HKLM-x32\...\KMS Tools Portable 13.07.2017) (Version: - )


Oui désolé, je les avais déjà upload avant votre réponse,

Il me semble que c'était pour avoir une licence windows, ce logiciel ne me sert plus étant donnée que j'ai une licence authentique dorénavant !
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

OK , désinstalles les , pendant ce temps , je regardes les rapports .

Désinstalles ou mets à jour JAVA : https://www.java.com/fr/

RE,

Les logiciels et java sont désinstallés !
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

Windows defender a bien fait le boulot , car , en général , cette infection flingue Windows Defender et Windows Update . On va quand même vérifier .

1 - Mets à jour ou désinstalles VLC media player (failles de sécurité)

2 - Réactive la restauration

3 - --> Copie ce qui se trouve ici : https://textup.fr/532260Vq de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

4 - => Télécharge FSS (si le téléchargement ne démarre pas automatiquement, cliques sur "clic here")
=> Exécute-le par clic droit exécuter en tant qu'administrateur
=> Vérifie que les options ci-dessous sont cochées:


=> Clique sur "Scan".
=> Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.
=> Poste le rapport dans la prochaine réponse.

Deux rapports attendus

--
Contributeur sécurité.

Voici le rapport du fixlog :
https://up.security-x.fr/file.php?h=R6c326e30741053c00ad936f32db32dfb

- Windows defender indique toujours des menaces

Et celui de FSS :
https://up.security-x.fr/file.php?h=R7ee0ff9c42bdff79a3199b364be9d359
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
- Windows defender indique toujours des menaces 


Inopinément ou quand tu lances l'analyse ?

Après analyse windows defender trouve encore 1 trojan/Coinminer (au début il y en avait plusieurs)
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

Est ce que tu peux faire une capture pour voir ce qu'il trouve ?

Postes la comme pour les rapports

Voici la capture en question :
https://up.security-x.fr/file.php?h=R3f27abd9ce5696e1f85fe7da6eedbaa3
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

C'est étonnant , je les aient inscrit dans le script , mais ils n'ont pas été trouvé :
"C:\WINDOWS\system32\winlogui.exe" => non trouvé(e)
"C:\WINDOWS\system32\winrmsrv.exe" => non trouvé(e)


Est ce que tu peux faire ceci :

=> Dans cortana / rechercher , tapes Powershell puis cliques droit sur Windows powershell => clic sur executer en tant qu'administrateur

=> Copie / colles ceci dans powershell et valides

Get-MpThreatDetection >> c:/defender.txt



=> Un fichier defender.txt sera créé à la racine de C: => Postes le


Voici le fichier defender.txt :
https://up.security-x.fr/file.php?h=R57e1d3451081720696d716b32aa76644

J'ai effectué une nouvelle analyse ce matin, le trojan/Coinminer n'est plus détecté, par contre il détecte maintenant un trojan/Tiggre!plock :
https://up.security-x.fr/file.php?h=R4b4eb618517cf144aa0db5300960a852
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

ça fait partie des fichiers de l'infection . Je pense qu'il affiche ce qu'il a mis en quarantaine

Est ce que, quand tu vas dans l'historique , tu vois ces détections ?
Vois s'il n'y a pas actions et si oui , cliques sur supprimer

Si non :

Lances une analyse Malwarebytes :

=> Télécharge Malwarebytes Malwarebytes Anti-Malware
=> Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport et poste le lien dans ta prochaine réponse.

Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
RE_

Ok , tu as été voir dans l'historique ? tu as toujours des détections dans l'analyse ?

RE

Il y a beaucoup de menaces dans l'historique :
https://up.security-x.fr/file.php?h=R713e1872c80e3b48aaafa43399b99dd8

Mais il ne détecte plus rien.

Tout est OK, merci beaucoup pour ton aide précieuse !
Messages postés
3039
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
OK bonne continuation ; )