Trojan Miner caché [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché [Résolu]

par Malekal_morte »

Bonjour,

Essaye ceci :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {2E3352FF-C8F3-44AF-AC2A-397D6FFEEB8A} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Benjamin\AppData\Roaming\Winsoft\core.ps1 <==== ATTENTION
S2 WinPwRecoveryToolService; C:\Program Files (x86)\PassFab 4WinKey Professional Full\TenorshareWinPwRecoveryToolService [X]
C:\WINDOWS\LINK.ZIP
C:\WINDOWS\SVSHOST.EXE
C:\Users\Benjamin\AppData\Roaming\Winsoft\core.ps1
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
~~

A désinstaller :
DAEMON Tools Lite (pas vraiment utile)
Opera Stable (tu as déjà plusieurs navigateurs internet)
WinRAR (préférer 7-zip)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Benjamin12345
Messages : 3
Inscription : 14 mars 2024 11:08

Re: Trojan Miner caché [Résolu]

par Benjamin12345 »

Merci beaucoup pour ta réponse rapide Malekal_morte,

J'ai appliqué tes instructions.

Ça a l'air d'avoir fonctionné par contre Malwarebytes Anti-Malware me détecte toujours les 2 fichiers sauf que cette fois-ci, ils ont l'air d'être placé en quarantaine.

Est-ce que je peux les supprimer via Malwarebytes Anti-Malware ou est-ce que je ne dois toucher à rien ?


Fixlog : https://pjjoint.malekal.com/files.php?r ... 11m11r6i15
Malwarebytes compte-rendu : https://pjjoint.malekal.com/files.php?r ... 9k12j15f13


En te remerciant d'avance.

Cordialement,
Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché [Résolu]

par Malekal_morte »

Oui en fait le fix les a déplacés dans le répertoire FRST.
Maintenant faut que tu surveilles si le malware C\WINDOWS\SVSHOST.EXE revient.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Benjamin12345
Messages : 3
Inscription : 14 mars 2024 11:08

Re: Trojan Miner caché [Résolu]

par Benjamin12345 »

D'accord je surveille alors,

Merci encore Malekal_morte :)
Malekal_morte
Messages : 116536
Inscription : 10 sept. 2005 13:57

Re: Trojan Miner caché [Résolu]

par Malekal_morte »

Pendant ce temps là, par sécurité, change tes mots de passe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Hello, désolé pour ma réponse plus que tardive.

J'ai réussi à corriger mon problème, et j'ai tout posté sur un repo github en public si des amateurs souhaitent y jeter un oeil : https://github.com/v3t3a/MINER
J'y ai écris deux PDF pour essayer de décrire le fonctionnement, que j'ai cru comprendre, du miner malware.

Je voulais faire une vidéo explicatives, de prévention, mais je viens de voir que l'url de test renvoie une 404 maintenant ("https://wowsofts.xyz/ceo"). Il faut que je recherche car je vois que cette url est toujours active : "https://wowsofts.xyz/7za.exe".

Pour info, mon "cleaner" a été le suivant (présent également dans mon repo github) :

Code : Tout sélectionner

REM stop scheduled tasks
schtasks /end /TN "MSI Task Host - Detect_Monitor" /F
schtasks /end /TN "\Microsoft\Windows\BLuetooth\UninstallDeviceTask" /F

REM delete scheduled tasks
schtasks /delete /TN "MSI Task Host - Detect_Monitor" /F
schtasks /delete /TN "\Microsoft\Windows\BLuetooth\UninstallDeviceTask" /F

REM Kill all launched process
taskkill /FI "WINDOWTITLE eq XMR*" /F /T

REM delete %appdata%\winsoft folder
rmdir /s /q %appdata%\Winsoft

REM delete files from c:\windows folder
del /f /q %systemroot%\bb.bat %systemroot%\mid.bin %systemroot%\mid.ps1 %systemroot%\key %systemroot%\dlhost.exe %systemroot%\svshost.exe %systemroot%\WinRing0x64.sys
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan Miner caché [Résolu]

par Parisien_entraide »

Bonjour

Ca serait bien de mettre un avertissement sur ta page Github

La majorité qui cherche des cracks va croire que leur infection/programme malveillant va être résolu en nettoyant avec un simple script
Le truc c'est que le tojan miner peut n'être que la cerise sur le gateau
De plus suivant les lieux de téléchargement, la charge malveillante peut différer

A la base on peut avoir un Stealer qui une fois le boulot de récupération/extraction des données, va ramener (dropper) un autre outil malveillant qui peut etre un trojan miner, mais aussi un ransomware etc

Ex : viewtopic.php?p=556255#p556255 (mais il y en a 3 pages)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Oui, pas de souci. Toutes les remarques sont bonnes à prendre pour que j'améliore ça.

Donc un avertissement de quel type STP ?
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan Miner caché [Résolu]

par Parisien_entraide »

J'ai déjà donné les grandes lignes :-)
La base c'est : Ne pas se servir ce de script pour télécharger une version de FL Studio en pensant être immunisé contre les malwares
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Très bien ! Je copie-colle. Merci
Domo arigato
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Bonjour,

En y repensant, je veux bien de l'aide pour voir si tout est supprimé sur mon PC également.

Serait-il possible d'avoir une aide svp ?

Je joints les 3 fichiers de FRST ci dessous :

https://pjjoint.malekal.com/files.php?i ... 13s11u8l11

https://pjjoint.malekal.com/files.php?i ... u12m9y6b11

https://pjjoint.malekal.com/files.php?i ... 0n7u6g13r6


Par avance, merci.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18796
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan Miner caché [Résolu]

par Parisien_entraide »

Bonjour

Malekal ou Angélique te diront ce qu'il en est mais de toutes les façons tu es "à risque" (Torrent etc)

Déjà un HackTool:Win32/AutoKMS sur Office

Là ca parle de KMS Spico mais la majorité des KMS sont vérolés
viewtopic.php?t=69838


Ton jeu Riot game est légal ? (C'est juste une question car les erreurs sont souvent en lien avec une version "modifiee"

POUR LES CRACKS
viewtopic.php?p=544690#p544690
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Vegeta
Messages : 6
Inscription : 15 sept. 2023 12:16

Re: Trojan Miner caché [Résolu]

par Vegeta »

Je vais virer le AutoKMS.

Quant au jeu Riot, oui, c'est du légal, téléchargé sur le site officiel.

Merci déjà pour tes réponses.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »