Bonjour à toutes et à tous,
J'ai un coin miner qui travaille en tache de fond je sais très bien d'où il est arrivé (d'un vieux soft craqué que j'avais désinstallé après avoir déjà été infecté avec le même truc !! mais je n'avais pas à l'époque identifié le soft, que j'ai eu besoin de réinstallé il y 3 jours ) mais aucun des Malwarebytes Anti-Malware (MBAM), AdwCleaner ou autre defender ne le voit ou même ne peut y faire grand chose. Je viens de m'en rendre compte suite a un refus d'installation d'une simple MAJ du pilote bleutooth intel en mode automatique où un message me disait que je n'avais pas les privilèges pour ouvrir ce type de fichier.... BIZARRE ! je commence donc a chercher ce qui bloque et essaye plusieurs astuces dont celle qui consiste à désactiver l'UAC de windows par le biais du registre. Depuis le redémarage qui a suivit, j'ai presque immédiatement une fenêtre power shell qui s'ouvre et me liste clairement son état ( du coin miner ! ) genre les temp de GPU, l'adresse API à laquelle il se conecte, le port de com etc etc ... donc je vais joindre les 3 rapports FRST ici pour celles et ceux qui sauront maider.
Le FRST.txt : https://pjjoint.malekal.com/files.php?i ... t8b12n5e13
Le ADDITION.txt : https://pjjoint.malekal.com/files.php?i ... 3b6p8m15k8
ainsi que SHORTCUT.txt : https://pjjoint.malekal.com/files.php?i ... 10k13d6v15
1000 merci d'avance à vous et bonne année bien sûr !
petit bonus ; le lien de l'écran power shell qui s'ouvre tout seul
https://pjjoint.malekal.com/files.php?i ... m9d10p15v6
coin miner récalcitrant
Modérateurs : Mods Windows, Helper
- Messages : 116228
- Inscription : 10 sept. 2005 13:57
Re: coin miner récalcitrant
Bonjour,
Essaye ceci :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2°)
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :
Essaye ceci :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [MiniBin] => C:\Program Files (x86)\MiniBin\MiniBin.exe [70656 2013-12-27] (Mike Edward Moras (e-sushi™) — www.e-sushi.net) [Fichier non signé]
Task: {FE8498CF-F4DC-4A7B-BF7D-4DDA1D076F64} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-27] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {9B611DBD-FB39-4A79-8828-DF947C0BC595} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-27] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\creto\AppData\Roaming\Winsoft\core.ps1 <==== ATTENTION
2020-02-23 20:57 - 2020-02-23 21:03 - 000000716 ____H () C:\Users\creto\AppData\Roaming\{B78878C3-28E9-4D3A-8227-5162B416C8FC}
2020-05-05 22:14 - 2020-05-05 22:14 - 000001456 _____ () C:\Users\creto\AppData\Local\Adobe Enregistrer pour le Web 13.0 Prefs
2023-09-28 19:43 - 2023-11-21 21:52 - 000000205 _____ () C:\Users\creto\AppData\Local\oobelibMkey.log
2023-09-23 09:56 - 2024-01-10 11:07 - 105408512 _____ () C:\Users\creto\AppData\Local\SageThumbs.db3
C:\Users\creto\AppData\Roaming\Winsoft
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2°)
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (premier paragraphe)
- Comment réparer ou réinitialiser Microsoft Edge
- Comment réparer ou réinitialiser Brave
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 2
- Inscription : 10 janv. 2024 14:20
Re: coin miner récalcitrant
Déjà merci beaucoup de votre réactivité!
dans un souci de transparence, je voulais préciser que pour optimiser mes chances d'avoir une réponses rapide j'avais posté le même problème sujet sur "comment ça marche forum désinfection" puisque c'est là bas que j'avais trouvé les liens menant à ce forum malekal. Ils m'ont donc répondu aussi vite qu'ici et j'ai de ce fait appliqué leur FIX qui a supprimer mon coin miner... le problème est donc résolu alors un grand merci tout de même !
dans un souci de transparence, je voulais préciser que pour optimiser mes chances d'avoir une réponses rapide j'avais posté le même problème sujet sur "comment ça marche forum désinfection" puisque c'est là bas que j'avais trouvé les liens menant à ce forum malekal. Ils m'ont donc répondu aussi vite qu'ici et j'ai de ce fait appliqué leur FIX qui a supprimer mon coin miner... le problème est donc résolu alors un grand merci tout de même !
- Messages : 116228
- Inscription : 10 sept. 2005 13:57
Re: coin miner récalcitrant
ok,
Supprime C:\FRST et ses restes.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Supprime C:\FRST et ses restes.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.