Problème de trojan/Coinminer

Résolu
PoissonRouge -  
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai récemment fait la découverte de certains fichiers trojan/Coinminer grâce à windows defender, j'ai regardé certains sujets sur des forum et souvent le logiciel FRST et utilisé comme sur ce sujet qui possédait le même soucis que j'ai : https://forums.commentcamarche.net/forum/affich-37107783-probleme-de-trojan-coinminer

J'ai fait les première démarche (analyse avec FRST), je suis à la recherche de quelqu'un pour m'aider avec les rapports !

Merci d'avance :)
A voir également:

20 réponses

MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE

Mais il ne détecte plus rien. 


Alors , c'est OK , je pense que c'était des alertes sur des fichiers en quarantaine .

----------
--------------------------

Si tu veux garder Malwarebytes pendant le période d'essai :

Vide la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Puis vérifie ceci :

Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur

------------
---------------------------------

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
La procédure nécessite un redémarrage

------------
---------------------------------------

Pour la quarantaine Windows Defender , les détections/fichiers seront supprimés dans quelques jours.

-----------
---------------------------------------------------

Si tout est OK , on peut mettre en résolu
1
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
Bonjour ,

Postes les rapports :

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
0
PoissonRouge
 
Merci pour votre réponse,

Voici le rapport de FRST.txt :
https://pjjoint.malekal.com/files.php?id=FRST_20210228_x9p11l7p9o11

et celui de Addition.txt :
https://pjjoint.malekal.com/files.php?id=20210228_d12o5b12b13g14
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
J'avais demandé sur https://security-x.fr/up/ , mais bon , tant pis !!

A quoi te sert ceci :

KMS Tools Portable 1,0,0,0 (HKLM-x32\...\KMS Tools Portable 1,0,0,0) (Version: 1,0,0,0 - Ratiborus)
KMS Tools Portable 13.07.2017 (HKLM-x32\...\KMS Tools Portable 13.07.2017) (Version: - )

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
PoissonRouge
 
Oui désolé, je les avais déjà upload avant votre réponse,

Il me semble que c'était pour avoir une licence windows, ce logiciel ne me sert plus étant donnée que j'ai une licence authentique dorénavant !
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

OK , désinstalles les , pendant ce temps , je regardes les rapports .

Désinstalles ou mets à jour JAVA : https://www.java.com/fr/
0
PoissonRouge
 
RE,

Les logiciels et java sont désinstallés !
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

Windows defender a bien fait le boulot , car , en général , cette infection flingue Windows Defender et Windows Update . On va quand même vérifier .

1 - Mets à jour ou désinstalles VLC media player (failles de sécurité)

2 - Réactive la restauration

3 - --> Copie ce qui se trouve ici : https://textup.fr/532260Vq de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

4 - => Télécharge FSS (si le téléchargement ne démarre pas automatiquement, cliques sur "clic here")
=> Exécute-le par clic droit exécuter en tant qu'administrateur
=> Vérifie que les options ci-dessous sont cochées:


=> Clique sur "Scan".
=> Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.
=> Poste le rapport dans la prochaine réponse.

Deux rapports attendus

--
Contributeur sécurité.
0
PoissonRouge
 
Voici le rapport du fixlog :
https://up.security-x.fr/file.php?h=R6c326e30741053c00ad936f32db32dfb

- Windows defender indique toujours des menaces

Et celui de FSS :
https://up.security-x.fr/file.php?h=R7ee0ff9c42bdff79a3199b364be9d359
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
- Windows defender indique toujours des menaces 


Inopinément ou quand tu lances l'analyse ?
0
PoissonRouge
 
Après analyse windows defender trouve encore 1 trojan/Coinminer (au début il y en avait plusieurs)
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

Est ce que tu peux faire une capture pour voir ce qu'il trouve ?

Postes la comme pour les rapports
0
PoissonRouge
 
Voici la capture en question :
https://up.security-x.fr/file.php?h=R3f27abd9ce5696e1f85fe7da6eedbaa3
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

C'est étonnant , je les aient inscrit dans le script , mais ils n'ont pas été trouvé :
"C:\WINDOWS\system32\winlogui.exe" => non trouvé(e)
"C:\WINDOWS\system32\winrmsrv.exe" => non trouvé(e)


Est ce que tu peux faire ceci :

=> Dans cortana / rechercher , tapes Powershell puis cliques droit sur Windows powershell => clic sur executer en tant qu'administrateur

=> Copie / colles ceci dans powershell et valides

Get-MpThreatDetection >> c:/defender.txt



=> Un fichier defender.txt sera créé à la racine de C: => Postes le

0
PoissonRouge
 
Voici le fichier defender.txt :
https://up.security-x.fr/file.php?h=R57e1d3451081720696d716b32aa76644
0
PoissonRouge
 
J'ai effectué une nouvelle analyse ce matin, le trojan/Coinminer n'est plus détecté, par contre il détecte maintenant un trojan/Tiggre!plock :
https://up.security-x.fr/file.php?h=R4b4eb618517cf144aa0db5300960a852
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

ça fait partie des fichiers de l'infection . Je pense qu'il affiche ce qu'il a mis en quarantaine

Est ce que, quand tu vas dans l'historique , tu vois ces détections ?
Vois s'il n'y a pas actions et si oui , cliques sur supprimer

Si non :

Lances une analyse Malwarebytes :

=> Télécharge Malwarebytes Malwarebytes Anti-Malware
=> Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport et poste le lien dans ta prochaine réponse.

0
PoissonRouge
 
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
RE_

Ok , tu as été voir dans l'historique ? tu as toujours des détections dans l'analyse ?
0
PoissonRouge
 
RE

Il y a beaucoup de menaces dans l'historique :
https://up.security-x.fr/file.php?h=R713e1872c80e3b48aaafa43399b99dd8

Mais il ne détecte plus rien.
0
PoissonRouge
 
Tout est OK, merci beaucoup pour ton aide précieuse !
0
MisteryBean Messages postés 8863 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 258
 
OK bonne continuation ; )
0