Malwarebytes détecte un trojan miner sur Windows 7

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Grand Strateguerre

Malwarebytes détecte un trojan miner sur Windows 7

par Grand Strateguerre »

Bonjour,

Malwarebyte me trouve 2 fichiers infectés qu'il n'arrive pas à éradiquer :
Trojan.miner
Trojan.Agent.CH

Quelqu'un pourrait-il m'aider ?

Ci joint les fichiers FRST :
FRST : http://pjjoint.malekal.com/files.php?id ... 11l713l119
Addition : http://pjjoint.malekal.com/files.php?id ... g9j15x12q8
Shortcut : http://pjjoint.malekal.com/files.php?id ... 5s8y10k5k6

Merci
Dernière modification par Grand Strateguerre le 09 nov. 2015 17:01, modifié 1 fois.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.miner

par Malekal_morte »

Tu sembles aussi avoir www-searching en page de démarrage de Google Chrome.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Task: {429A300F-7203-41A8-AD34-FB217C70025B} - System32\Tasks\Microsoft System Certificates => C:\Users\Nicolas\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\updater.exe [2014-02-22] ()
CHR HomePage: Default -> hxxp://www-searching.com/?pid=s&s=FAVzftpbl02,169aa8a5-d1d3-4d84-a594-3d9df1abab6b&vp=ch&prd=set
CHR StartupUrls: Default -> "hxxp://www-searching.com/?pid=s&s=FAVzftpbl02,169aa8a5-d1d3-4d84-a594-3d9df1abab6b&vp=ch&prd=set"
C:\Users\Nicolas\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\
2015-10-31 10:27 - 2015-11-01 18:54 - 00000000 ____D C:\Users\Nicolas\AppData\Roaming\cpuminer
2015-10-31 10:24 - 2015-10-31 10:24 - 00000000 ____D C:\Users\Nicolas\AppData\Local\Tempfolder
2015-10-31 10:23 - 2015-11-07 07:46 - 00000000 ____D C:\Users\Nicolas\AppData\LocalLow\Company
2015-10-31 10:23 - 2015-10-31 10:23 - 00000000 ____D C:\uninst
2015-10-30 19:09 - 2015-11-01 09:45 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-10-30 19:09 - 2015-10-30 19:09 - 00000000 ____D C:\Users\Nicolas\AppData\Local\globalUpdate
2015-10-30 17:54 - 2015-11-01 18:56 - 00000000 ____D C:\Users\Nicolas\Documents\Fax
2015-10-30 17:45 - 2015-10-30 17:45 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405
2015-10-30 17:44 - 2015-10-30 17:44 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-10-30 17:44 - 2015-10-30 17:44 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\0k7g97blD21
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\3c9C76wVKkI
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\ab5wFu5wkLN2z3N95BeATPCT
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\kkMABlto1ncO3ChZjNQOogh
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\UPLD2EgNd99cso0NVKb
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\xuPTuRXwDY4

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Grand Strateguerre

Re: Trojan.miner

par Grand Strateguerre »

Ci joint le fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-11-2015
Exécuté par Nicolas (2015-11-09 11:28:41) Run:1
Exécuté depuis C:\Users\Nicolas\Downloads
Profils chargés: Nicolas (Profils disponibles: Nicolas)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {429A300F-7203-41A8-AD34-FB217C70025B} - System32\Tasks\Microsoft System Certificates => C:\Users\Nicolas\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\updater.exe [2014-02-22] ()
CHR HomePage: Default -> hxxp://www-searching.com/?pid=s&s=FAVzf ... ch&prd=set
CHR StartupUrls: Default -> "hxxp://www-searching.com/?pid=s&s=FAVzftpbl02,169aa8a5-d1d3-4d84-a594-3d9df1abab6b&vp=ch&prd=set"
C:\Users\Nicolas\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\
2015-10-31 10:27 - 2015-11-01 18:54 - 00000000 ____D C:\Users\Nicolas\AppData\Roaming\cpuminer
2015-10-31 10:24 - 2015-10-31 10:24 - 00000000 ____D C:\Users\Nicolas\AppData\Local\Tempfolder
2015-10-31 10:23 - 2015-11-07 07:46 - 00000000 ____D C:\Users\Nicolas\AppData\LocalLow\Company
2015-10-31 10:23 - 2015-10-31 10:23 - 00000000 ____D C:\uninst
2015-10-30 19:09 - 2015-11-01 09:45 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-10-30 19:09 - 2015-10-30 19:09 - 00000000 ____D C:\Users\Nicolas\AppData\Local\globalUpdate
2015-10-30 17:54 - 2015-11-01 18:56 - 00000000 ____D C:\Users\Nicolas\Documents\Fax
2015-10-30 17:45 - 2015-10-30 17:45 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405
2015-10-30 17:44 - 2015-10-30 17:44 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-10-30 17:44 - 2015-10-30 17:44 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\0k7g97blD21
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\3c9C76wVKkI
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\ab5wFu5wkLN2z3N95BeATPCT
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\kkMABlto1ncO3ChZjNQOogh
2015-04-14 17:28 - 2015-04-14 17:28 - 0001171 _____ () C:\Users\Nicolas\AppData\Roaming\UPLD2EgNd99cso0NVKb
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nicolas\AppData\Roaming\xuPTuRXwDY4
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{429A300F-7203-41A8-AD34-FB217C70025B}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{429A300F-7203-41A8-AD34-FB217C70025B}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft System Certificates => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft System Certificates" => clé supprimé(es) avec succès
Chrome HomePage => supprimé(es) avec succès
Chrome StartupUrls => supprimé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\Microsoft\SystemCertificates\My\Updater => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\cpuminer => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\Nicolas\AppData\LocalLow\Company => déplacé(es) avec succès
C:\uninst => déplacé(es) avec succès
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Local\globalUpdate => déplacé(es) avec succès
C:\Users\Nicolas\Documents\Fax => déplacé(es) avec succès
C:\ProgramData\19a87fa1ec024bbcbb41931263354405 => déplacé(es) avec succès
C:\Users\Public\Documents\Guid => déplacé(es) avec succès
C:\Users\Public\Documents\Baidu => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\0k7g97blD21 => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\3c9C76wVKkI => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\ab5wFu5wkLN2z3N95BeATPCT => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\kkMABlto1ncO3ChZjNQOogh => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\UPLD2EgNd99cso0NVKb => déplacé(es) avec succès
C:\Users\Nicolas\AppData\Roaming\xuPTuRXwDY4 => déplacé(es) avec succès

==== Fin de Fixlog 11:28:43 ====




Je redémarre mon ordinateur.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.miner

par Malekal_morte »

C'est mieux ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Grand Strateguerre

Re: Trojan.miner

par Grand Strateguerre »

Ce n'est pas mieux... c'est Parfait !!!

Malwarebyte ne trouve plus rien.

J'avais également un process jusched.exe qui démarrait a chaque fois avec le PC et qui pompait 25% des ressources qui ne se lance plus. Un très grand merci donc pour m'avoir réglé ce problème.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.miner

par Malekal_morte »

jusched.exe = c'est le programme de mise à jour automatique de Java. C'est pas forcément recommandé de le désactiver car Java non à jour pose de très sérieux problèmes de sécurité. La question est de savoir si tu as vraiment besoin de Java, si ce n'est pas le cas, désinstalle le.

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Grand Strateguerre

Re: Malwarebytes détecte un trojan miner sur Window

par Grand Strateguerre »

Je reviens vers vous pour un problème identique sur un autre de mes PC.

Avec :
Trojan.BitCoinMiner
Trojan.Miner
Trojan.Agent.CH

Ci joint les fichiers FRST :
FRST : http://pjjoint.malekal.com/files.php?id ... 15f13s5e10
Addition : http://pjjoint.malekal.com/files.php?id ... 4e14s8c6u7
Shortcut : http://pjjoint.malekal.com/files.php?id ... k15j8u11c9

Merci d'avance.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Malwarebytes détecte un trojan miner sur Windows 7

par Malekal_morte »

Même infection,

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Task: {E13F33F5-F8B8-4FCB-A896-E6C04CB33647} - System32\Tasks\Microsoft System Certificates => C:\Users\Pascal\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\updater.exe [2014-02-22] ()
C:\Users\Pascal\AppData\Roaming\Microsoft\SystemCertificates\My\Updater

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Grand Strateguerre

Re: Malwarebytes détecte un trojan miner sur Windows 7

par Grand Strateguerre »

Grand Merci. Problème résolu également.

J'ai encore d'autres Windows qui ont ce même problème.
Comment puis-je gérer cela seul ?

Encore merci.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Malwarebytes détecte un trojan miner sur Windows 7

par Malekal_morte »

si tu peux faire ça, ce serait cool, sur un des deux PC.

Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »