Supprimer Trojan.BitCoinMiner [Résolu]

[Lain2300]

Bonsoir,
Récemment j'ai fait l'erreur de télécharger un fichier .exe contenant apparemment un trojan d'après virustotal
J'essaye comme je peux de le supprimer avec Malwarebytes Anti-Malware (MBAM) qui le détecte bien en Trojan.BitCoinMiner : https://pjjoint.malekal.com/files.php?i ... m10k8d7w15 puis le met en quarantaine. Mais à chaque redémarrage du pc il se réinstalle.

Je ne ressens pas de grosses différence de performances ou quoi que ce soit si ce n'est que les icones de ma barre d'outils mettent plusieurs longues minutes à s'afficher quand je démarre le pc (c'était immédiat il y a encore 1semaine)
J'aurais bien besoin de votre aide pour me débarrasser de ce virus une bonne fois pour toute, j'ai un peu peur que ça ait des conséquences désastreuse par la suite.
Merci d'avance! ^^

Analyse FRST : https://pjjoint.malekal.com/files.php?i ... 18g15s6g12
Addition : https://pjjoint.malekal.com/files.php?i ... q12c9u15i9

[Malekal_morte]

Salut,

Ce qui serait bien c'est que tu donnes le scan MBAM en texte et non en image, car là, la moitié des informations sont tronquées.

Désinstalle tout cela, inutile et ça encombre le PC :

Bing Bar
CCleaner (inutile)
iCloud (sauf si tu synchronises avec)
OneDrive (sauf si tu synchronises avec)
Opera
Trojan Remover (sert à rien)
Wondershare (usine à gaz)

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:

2022-03-21 18:08 - 2022-03-21 18:08 - 000000068 _____ () C:\Users\Utilisateur\AppData\Roaming\changzhi_leidian.data
2022-03-21 18:08 - 2022-03-21 18:08 - 000000154 _____ () C:\Users\Utilisateur\AppData\Roaming\changzhi_leidianmac.data
2023-02-28 23:45 - 2023-02-28 23:45 - 000208896 _____ () C:\Users\Utilisateur\AppData\Roaming\emp.bin
2019-03-01 18:39 - 2023-03-18 17:16 - 000000002 _____ () C:\Users\Utilisateur\AppData\Roaming\ExplorerFavorites.txt
2023-04-28 13:38 - 2023-04-28 13:40 - 000000247 _____ () C:\Users\Utilisateur\AppData\Roaming\MelonLoader.Installer.cfg
2019-01-21 21:29 - 2019-01-21 21:29 - 000000054 _____ () C:\Users\Utilisateur\AppData\Roaming\updater.cfg
2020-01-24 12:40 - 2020-01-24 14:53 - 000009635 ____H () C:\Users\Utilisateur\AppData\Local\19ec8e99830c93
2018-12-23 01:39 - 2021-09-04 21:04 - 000001456 _____ () C:\Users\Utilisateur\AppData\Local\Adobe Enregistrer pour le Web 13.0 Prefs
2019-05-28 19:43 - 2019-11-23 00:38 - 000000081 _____ () C:\Users\Utilisateur\AppData\Local\FILM_AE_LogFile.txt
2018-12-20 19:35 - 2018-12-20 19:35 - 000000410 _____ () C:\Users\Utilisateur\AppData\Local\oobelibMkey.log
2019-12-31 02:19 - 2020-01-01 00:16 - 000007602 _____ () C:\Users\Utilisateur\AppData\Local\Resmon.ResmonCfg
2023-04-28 13:59 - 2023-04-28 13:59 - 000000000 ____D C:\Users\Utilisateur\AppData\Roaming\dnSpy
2023-04-28 13:47 - 2023-04-28 13:47 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\dnSpy
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

~~

Utilise le gestionnaire de tâches pour vérifier l'utilisation Processeur, mémoire et disque.
Une capture de l'onglet Performances quand le PC est lent serait pas mal.
→ comment visualiser l'(utilisation CPU, Disque ou mémoire sur Windows 10
N'hésite pas non plus à regarder dans l'onglet Performances pour voir si les ressources matériel sont saturées.

[Parisien_entraide]

Bonjour

Quelles sources ?

Si tu parles de cela : fitgirlrepacks

100% des utilisateurs de ce site qui sont passés sur le forum en désinfection mettaient en avant les "bonne notes, appréciations, recommandations etc"
et étaient persuadés que l'infection ne venait pas de là et qu'ils "s'étaient assurés de la "source"'
C'est au mieux de la naiveté

Visiblement il y a des choses qui t échappes

En plus lorsque je vois l'équipement du parfait "plombier"

VPN
Programme de torrent
DAEMON Tools

sans compter le programme de triches dans les jeux, et TOUT ce qui traine sur ton disque, l'issue ne pouvait être QUE l'infection à plus ou moins long terme


En plus si tout ce qui t'inquiètes c'est "Je ne ressens pas de grosses différence de performances ou quoi que ce soit " là aussi tu n'as pas tout compris

viewtopic.php?t=71178

donc, tu peux passer sur l'aspect technique décrit dans le lien ci dessus,mais tu pourras cependant lire tout ce qui est en rapport avec le vol de données et noter ce qui t'attend


IMPORTANT :

Ton SSD ne va pas tenir longtemps...
Total:446.53 GB) (Free:13.18 GB) Il faut au minimum 10 à 15% de place libre ne serait ce QUE pour la maintenance. Là elle ne peut pas se faire, donc l'écriture se fait sur les toujours même cellules

En plus vu que c'est du SSD bas de gamme, avec un contrêleur qui date d'il y a 7 ou 8 ans que tu fais du peer to peer (rien de tel pour diminuer la durée de vie sur du bas de gamme)
Du reste "Intenso" (Marque crée en Allemagne) n'indique JAMAIS la durée de vie de ses SSD (normal les puces sont sans marques) et donne une garantie suivant les pays QUE de 1 ou 2 ans.
On y ajoute qu'il n'y a pas de SAV et que ces SSD lâchent sans prévenir

[Lain2300]

Salut,
Merci beaucoup pour le fix et pour la réponse aussi rapide! Ca a l'air d'avoir été efficace puisqu'aujourd'hui MBAM ne détecte plus aucune menace même après redémarrage.
Voici le compte-rendu du 7 mai quand le trojan était encore visible :

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 07/05/2023
Durée d'analyse: 17:49
Fichier journal: afd4d292-ecee-11ed-a461-049226484435.json

-Informations du logiciel-
Version: 4.5.24.248
Version de composants: 1.0.1952
Version de pack de mise à jour: 1.0.69165
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 19044.2846)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-G86M90L\Utilisateur

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 375037
Menaces détectées: 5
Menaces mises en quarantaine: 5
Temps écoulé: 9 min, 26 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 3
Trojan.Crypt.RND.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\GoogleUpdateTaskMachineQC, En quarantaine, 11699, 1137848, , , , , ,
Trojan.Crypt.RND.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF74B811-4140-4FA0-ABFA-FC1E97DE059B}, En quarantaine, 11699, 1137848, , , , , ,
Trojan.Crypt.RND.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOOT\{FF74B811-4140-4FA0-ABFA-FC1E97DE059B}, En quarantaine, 11699, 1137848, , , , , ,

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 2
Trojan.Crypt.RND.Generic, C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE, En quarantaine, 11699, 1137848, 1.0.69165, , ame, , E41B0C4AD294A6EA5FD4C97DD436BD37, C3171920B12769F8210CD0389026B87D7D06B1CA69C8F55C725F039D1775C68D
Trojan.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\GoogleUpdateTaskMachineQC, En quarantaine, 198, 1047226, 1.0.69165, , ame, , AE4485E9F9F702BBCB000BE58D0A598B, A8CEB66468FC2DA8FDB323B6F9DD742CFE73A4E8F7FD6E16C1FBF7AB09EFF720

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Et voilà le Fixlog après redemarrage automatique du pc : https://pjjoint.malekal.com/files.php?i ... n10s13y8e9
Mes navigateurs ont bien été réinitialisés également et j'ai désinstallé les programmes inutiles.

Cela dit ce fameux problème d'icones de la barre d'outils qui mettent un très long moment a s'afficher est toujours présent, pourtant pendant ce temps le gestionnaire de tâches montre que l'utilisation Processeur, mémoire et disque n'est pas du tout mis à contribution, le pc n'est au final jamais lent, on peut juste dire que c'est le démarrage qui prend un certain temps. Ca veut dire que ce problème n'est pas lié à la présence d'un trojan ?

@Parisien_entraide En effet je ne serais pas étonné si Fitgirlrepacks était la source de bon nombre de mes soucis haha, merci pour les renseignements et pour les infos sur mon pc. J'avoue que c'est mon tout premier et que j'ai fait pas mal d'erreurs avec depuis le temps, c'est bon à savoir.

[Malekal_morte]

Par curiosité, tu peux envoyer C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE sur le portail VirusTotal.
Donne le résultat pour voir.

[Lain2300]

J'aimerais bien mais le dossier C:\PROGRAM FILES\GOOGLE\CHROME est vide, pas de updater.exe en vue ?

[Malekal_morte]

ok donc MBAM a dû le placer en quarantaine.
Du coup, les détections MBAM n'ont plus lieu ?

Sinon pour les icônes de la barre des tâches qui mettent du temps à s'afficher, essaye d'alléger le PC.
Comme je t'ai dit désinstalle :

CCleaner (inutile)
DAEMON (Pas utile, tu peux monter une ISO par un clic droit / monter)
BitTorrent Web (très lourd, il y a plus léger style qTorrent - voir : https://www.malekal.com/les-meilleurs-c ... ms-series/)
iCloud (tu t'en sers ?)
Java (je ne pense pas qu'il te soit utile)
OneDrive
Opera
Teams
Wondershare

Désactive/Supprime du démarrage :

[RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8899592 2016-08-18] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [509936 2018-04-11] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
[AdobeGCInvoker-1.0] => C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe [3503584 2023-01-19] (Adobe Inc. -> Adobe Systems, Incorporated)
[WSVCUUpdateHelper.exe] => C:\Program Files (x86)\Wondershare\Wondershare UniConverter 13 for Windows\WSVCUUpdateHelper.exe [34080 2021-09-02] (Wondershare Technology Co.,Ltd -> )
[Adobe Creative Cloud] => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe [2622520 2019-05-19] (Adobe Inc. -> Adobe Inc.)
Autodesk Desktop App] => C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe [708904 2018-05-09] (Autodesk, Inc. -> Autodesk, Inc.)
[Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133216 2017-03-23] (Wondershare Technology Co.,Ltd -> Wondershare)
[CORSAIR iCUE Software] => C:\Program Files (x86)\Corsair\CORSAIR iCUE Software\iCUE Launcher.exe [392240 2018-11-23] (Corsair Components, Inc. -> Corsair Memory, Inc.)
[OneDrive] => C:\Program Files\Microsoft OneDrive\OneDrive.exe [2602360 2023-05-06] (Microsoft Corporation -> Microsoft Corporation)
[Steam] => C:\Program Files (x86)\Steam\steam.exe [4362600 2023-04-28] (Valve Corp. -> Valve Corporation)
[HP Photosmart 5520 series (NET)] => C:\Program Files\HP\HP Photosmart 5520 series\Bin\ScanToPCActivationApp.exe [2573416 2012-10-17] (Hewlett Packard -> Hewlett-Packard Co.)
[DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [735336 2019-02-12] (AVB Disc Soft, SIA -> Disc Soft Ltd)
[CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [32281272 2020-11-10] (Piriform Software Ltd -> Piriform Software Ltd)
HKU\S-1-5-21-2940904713-4032481603-1349961377-1001\...\Run: [com.squirrel.Teams.Teams] => C:\Users\Utilisateur\AppData\Local\Microsoft\Teams\Update.exe [2459304 2021-12-19] (Microsoft 3rd Party Application Component -> Microsoft Corporation)
[Polar FlowSync] => C:\Program Files (x86)\Polar\Polar FlowSync\FlowSync.exe [1397248 2018-09-17] (Polar Electro Oy) [Fichier non signé]
[btweb] => C:\Users\Utilisateur\AppData\Roaming\BitTorrent Web\btweb.exe [5993504 2021-12-01] (BitTorrent Inc -> BitTorrent Inc.)
[LGHUB] => C:\Program Files\LGHUB\lghub.exe [152025856 2023-02-26] (Logitech Inc -> Logitech, Inc.)
[Opera Browser Assistant] => C:\Users\Utilisateur\AppData\Local\Programs\Opera\assistant\browser_assistant.exe [3947424 2023-04-19] (Opera Norway AS -> Opera Software)

Voir : comment supprimer un programme au démarrage de Windows




Je note aussi cela :

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION

Assure toi que les mises à jour Windows Update fonctionnent correctement.

[Lain2300]

Salut,
Je fais des analyses régulièrement et MBAM ne détecte plus aucune menace depuis ton fix, c'est un gros soulagement je n'aurais jamais pu m'en sortir tout seul!
Pour ce qui est des icônes qui mettaient du temps à s'afficher, j'ai tenu compte de ta remarque sur Windows Update qui ne fonctionnait plus et en installant une version plus récente de Windows 10 tout est rentré dans l'ordre. Windows Update est de nouveau opérationnel et mes icônes se réaffichent sans soucis.
Le problème est entièrement résolu, un grand Merci encore une fois!

[Malekal_morte]

ok parfait alors =)
Bonne journée à toi !