Problème de trojan/Coinminer

Résolu/Fermé
PoissonRouge - 28 févr. 2021 à 23:54
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
- 1 mars 2021 à 18:24
Bonjour,

J'ai récemment fait la découverte de certains fichiers trojan/Coinminer grâce à windows defender, j'ai regardé certains sujets sur des forum et souvent le logiciel FRST et utilisé comme sur ce sujet qui possédait le même soucis que j'ai : https://forums.commentcamarche.net/forum/affich-37107783-probleme-de-trojan-coinminer

J'ai fait les première démarche (analyse avec FRST), je suis à la recherche de quelqu'un pour m'aider avec les rapports !

Merci d'avance :)

20 réponses

MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 17:56
RE

Mais il ne détecte plus rien. 


Alors , c'est OK , je pense que c'était des alertes sur des fichiers en quarantaine .

----------
--------------------------

Si tu veux garder Malwarebytes pendant le période d'essai :

Vide la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Puis vérifie ceci :

Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur

------------
---------------------------------

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
La procédure nécessite un redémarrage

------------
---------------------------------------

Pour la quarantaine Windows Defender , les détections/fichiers seront supprimés dans quelques jours.

-----------
---------------------------------------------------

Si tout est OK , on peut mettre en résolu
1
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
28 févr. 2021 à 23:55
Bonjour ,

Postes les rapports :

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
0
Merci pour votre réponse,

Voici le rapport de FRST.txt :
https://pjjoint.malekal.com/files.php?id=FRST_20210228_x9p11l7p9o11

et celui de Addition.txt :
https://pjjoint.malekal.com/files.php?id=20210228_d12o5b12b13g14
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 00:06
J'avais demandé sur https://security-x.fr/up/ , mais bon , tant pis !!

A quoi te sert ceci :

KMS Tools Portable 1,0,0,0 (HKLM-x32\...\KMS Tools Portable 1,0,0,0) (Version: 1,0,0,0 - Ratiborus)
KMS Tools Portable 13.07.2017 (HKLM-x32\...\KMS Tools Portable 13.07.2017) (Version: - )

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
PoissonRouge
1 mars 2021 à 00:08
Oui désolé, je les avais déjà upload avant votre réponse,

Il me semble que c'était pour avoir une licence windows, ce logiciel ne me sert plus étant donnée que j'ai une licence authentique dorénavant !
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 00:17
RE_

OK , désinstalles les , pendant ce temps , je regardes les rapports .

Désinstalles ou mets à jour JAVA : https://www.java.com/fr/
0
PoissonRouge
1 mars 2021 à 00:22
RE,

Les logiciels et java sont désinstallés !
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 00:32
RE_

Windows defender a bien fait le boulot , car , en général , cette infection flingue Windows Defender et Windows Update . On va quand même vérifier .

1 - Mets à jour ou désinstalles VLC media player (failles de sécurité)

2 - Réactive la restauration

3 - --> Copie ce qui se trouve ici : https://textup.fr/532260Vq de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

4 - => Télécharge FSS (si le téléchargement ne démarre pas automatiquement, cliques sur "clic here")
=> Exécute-le par clic droit exécuter en tant qu'administrateur
=> Vérifie que les options ci-dessous sont cochées:


=> Clique sur "Scan".
=> Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.
=> Poste le rapport dans la prochaine réponse.

Deux rapports attendus

--
Contributeur sécurité.
0
PoissonRouge
1 mars 2021 à 00:42
Voici le rapport du fixlog :
https://up.security-x.fr/file.php?h=R6c326e30741053c00ad936f32db32dfb

- Windows defender indique toujours des menaces

Et celui de FSS :
https://up.security-x.fr/file.php?h=R7ee0ff9c42bdff79a3199b364be9d359
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 01:15
- Windows defender indique toujours des menaces 


Inopinément ou quand tu lances l'analyse ?
0
PoissonRouge
1 mars 2021 à 01:22
Après analyse windows defender trouve encore 1 trojan/Coinminer (au début il y en avait plusieurs)
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 01:29
RE_

Est ce que tu peux faire une capture pour voir ce qu'il trouve ?

Postes la comme pour les rapports
0
PoissonRouge
1 mars 2021 à 01:31
Voici la capture en question :
https://up.security-x.fr/file.php?h=R3f27abd9ce5696e1f85fe7da6eedbaa3
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 01:43
RE_

C'est étonnant , je les aient inscrit dans le script , mais ils n'ont pas été trouvé :
"C:\WINDOWS\system32\winlogui.exe" => non trouvé(e)
"C:\WINDOWS\system32\winrmsrv.exe" => non trouvé(e)


Est ce que tu peux faire ceci :

=> Dans cortana / rechercher , tapes Powershell puis cliques droit sur Windows powershell => clic sur executer en tant qu'administrateur

=> Copie / colles ceci dans powershell et valides

Get-MpThreatDetection >> c:/defender.txt



=> Un fichier defender.txt sera créé à la racine de C: => Postes le

0
PoissonRouge
1 mars 2021 à 08:29
Voici le fichier defender.txt :
https://up.security-x.fr/file.php?h=R57e1d3451081720696d716b32aa76644
0
PoissonRouge
1 mars 2021 à 09:58
J'ai effectué une nouvelle analyse ce matin, le trojan/Coinminer n'est plus détecté, par contre il détecte maintenant un trojan/Tiggre!plock :
https://up.security-x.fr/file.php?h=R4b4eb618517cf144aa0db5300960a852
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 14:35
RE_

ça fait partie des fichiers de l'infection . Je pense qu'il affiche ce qu'il a mis en quarantaine

Est ce que, quand tu vas dans l'historique , tu vois ces détections ?
Vois s'il n'y a pas actions et si oui , cliques sur supprimer

Si non :

Lances une analyse Malwarebytes :

=> Télécharge Malwarebytes Malwarebytes Anti-Malware
=> Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport et poste le lien dans ta prochaine réponse.

0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 17:35
RE_

Ok , tu as été voir dans l'historique ? tu as toujours des détections dans l'analyse ?
0
PoissonRouge
1 mars 2021 à 17:41
RE

Il y a beaucoup de menaces dans l'historique :
https://up.security-x.fr/file.php?h=R713e1872c80e3b48aaafa43399b99dd8

Mais il ne détecte plus rien.
0
PoissonRouge
1 mars 2021 à 18:12
Tout est OK, merci beaucoup pour ton aide précieuse !
0
MisteryBean
Messages postés
6591
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
17 août 2022
897
1 mars 2021 à 18:24
OK bonne continuation ; )
0