Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB

[Allezlesgus]

Bonjour,

J'ai été infecté par une attaque virale. Plusieurs virus ont été installés suite à un téléchargement de ma part (même mon compte Facebook a été piraté...)
Le plus gros a été enlevé grâce à Kaspersky, RogueKiller, Malwarebytes Anti-Malware (MBAM), etc.
Cependant il y a toujours des fichiers cachés qui se créent automatiquement dans ProgramData et créent ensuite des extensions Chromes indésirables. J'imagine qu'il y a d'autres fichiers de ce type installés un peu partout que je n'ai pas identifié. J'ai également des messages d'erreurs C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe qui pop up de temps en temps.

J'ai installé FRST64 et uploadé les rapports sur https://pjjoint.malekal.com/.

Voici les liens:
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 3v11q15n15
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 8p14l13c10
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 11q12r12k6

Quelqu'un pourrait-il me venir en aide pour la suite ?

Merci par avance

[Malekal_morte]

Bonjour,

Effectivement, plusieurs malwares :

Code : Tout sélectionner

Date: 2021-04-11 16:18:31
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : PUA:Win64/CoinMiner
ID : 238862
Gravité : Faible
Catégorie : Logiciel potentiellement non désiré
Chemin : file:_C:\Users\AppData\Local\Temp\csrss\wup\e\ee.exe.tmp; process:_pid:23564,ProcessStart:132626233000924804
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\Users\AppData\Local\Temp\csrss\wup\e\ee.exe.tmp
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5

Date: 2021-04-11 16:00:40
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Caynamer.A!ml
ID : 2147749819
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\xavie\AppData\Roaming\gacaijw
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5

Date: 2021-04-11 15:58:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:MSIL/Formbookinj.GL!MTB
ID : 2147778575
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : amsi:_C:\ProgramData\5880230.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : AMSI
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\ProgramData\5880230.exe
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5[/code]


Désinstalle tout ça, ça ne sert à rien :

CCleaner
CCleaner Browser
DAEMON Tools Lite
Spybot

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
2021-04-08 23:43 - 2021-04-08 23:43 - 000321226 ___SH C:\Users\xavie\AppData\Roaming\sgaajuj
2021-04-11 15:57 - 2021-04-11 15:57 - 000000000 ____D C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k
Task: {14DE281A-3CB9-4501-A7CD-0110B76B368A} - System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe "C:\Program Files (x86)\CastMode\DfflikwStructure\wppm_Drvtmov.dll"
"C:\Program Files (x86)\CastMode
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

[Allezlesgus]

Bonjour,

Déjà un énorme merci pour on temps et ton aide.

Voici ci-dessous le contenu du fichier Fixlog. J'ai également réinitialisé Chrome. Il y a également un folder caché qui se créer dans ProgramData à intervalle régulier qui s'appelle Wqxrde et qui m'installe une extension Chrome indésirable (uBlockWeb). Penses-tu que le code que tu m'as fait rentrer dans FRST s'est également occupé de son cas ?

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-04-2021
Exécuté par xavie (14-04-2021 16:44:30) Run:2
Exécuté depuis C:\Users\xavie\OneDrive\Desktop
Profils chargés: xavie
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
2021-04-08 23:43 - 2021-04-08 23:43 - 000321226 ___SH C:\Users\xavie\AppData\Roaming\sgaajuj
2021-04-11 15:57 - 2021-04-11 15:57 - 000000000 ____D C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k
Task: {14DE281A-3CB9-4501-A7CD-0110B76B368A} - System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe "C:\Program Files (x86)\CastMode\DfflikwStructure\wppm_Drvtmov.dll"
"C:\Program Files (x86)\CastMode
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
C:\Users\xavie\AppData\Roaming\sgaajuj => déplacé(es) avec succès
C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\BatteryGauge\mqmtAnm" => supprimé(es) avec succès
C:\Program Files (x86)\CastMode => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15802056 B
Java, Flash, Steam htmlcache => 315567502 B
Windows/system/drivers => 5412779 B
Edge => 134669 B
Chrome => 168275076 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 24170 B
NetworkService => 24170 B
xavie => 32012511 B

RecycleBin => 4084690 B
EmptyTemp: => 525 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:44:44 ====

[Malekal_morte]

Bien =)
Refais un scan MBAM puis FRST
et donne à nouveau les rapports.

[Allezlesgus]

J'ai refait un scan MBAM, aucune détection.

Voici les rapports:
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 13g8r14n12
Addition.txt : https://pjjoint.malekal.com/files.php?i ... w7g11y1515
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 2f6q12u7j5