Suspicion de cryptomining fantome

[sorimar67]

Bonjour,

Depuis quelques temps, 6 process chrome se lancent automatiquement et sans mon accord. J'ai beau les détruire, ils se relancent inlassablement...
Je suspecte donc un trojan de crypto mining.
J'ai lancé FRST et voici les liens des fichiers de résultat :
https://pjjoint.malekal.com/files.php?i ... 0x5u7b7c13
https://pjjoint.malekal.com/files.php?i ... 4q13k10b12
https://pjjoint.malekal.com/files.php?i ... 4c7q157o13
Merci de voir si j'ai raison et si je peux avoir un script de fix.

Merci d'avance.

[Malekal_morte]

Bonsoir,

Bon y a du boulot.

Déjà deux antivirus donc lenteur et plantage.

AV: Norton Internet Security (Disabled - Up to date) {D87FA2C0-F526-77B1-D6EC-0EDF3936CEDB}
AV: Bitdefender Antivirus (Enabled - Up to date) {0E17DB7D-A20F-62CE-B95B-17DB0CDFE318}

désinstalle celui en trop.

A désinstaller, pas utile, encombrant etc.

Driver Booster
Dropbox (sauf si tu synchronises avec)
Glary Utilities
Java

Et sinon oui infecté par Crypto-Jacking et en plus ce n'est pas la première fois car il y a de vieux restes d'adwares et PUPs.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {1873971F-1EF0-4C7C-A11A-A1F8E5EB63D9} - System32\Tasks\{71C27290-9FC5-48E4-8B24-A8C4A6B77203} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\COolSaelECoupon\CzXyxAWeVmqrHN.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {5CBC0638-708B-4472-881B-CE5F97F96A15} - \25ec8d4a-14fe-4011-bf01-bee849ca4cb3-1 -> Pas de fichier <==== ATTENTION
Task: {7900324E-4C74-417B-86CD-DDBEB250E5E9} - \25ec8d4a-14fe-4011-bf01-bee849ca4cb3-2 -> Pas de fichier <==== ATTENTION
Task: {7D4E65E3-949E-4BB9-8833-3379EAFB34EA} - System32\Tasks\{BFCCEB9F-00EF-4623-AB3A-0401863668C0} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\savErneet\HfKt5hVxI8hm8m.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {9309B16C-AE19-4159-98DA-FE80259F2787} - System32\Tasks\{7AC9111F-9432-44C4-9545-39BCD5742907} => C:\Windows\system32\pcalua.exe -a C:\Users\Mario\AppData\Roaming\awesomehp\UninstallManager.exe
Hosts:Task: {9F1D87FE-2316-4AD5-B76B-EF14753E6FA6} - System32\Tasks\UpdaterChromeApp => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" searchlocal.win/

EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome

[sorimar67]

Merci pour ce boulot !
J'ai lancé le fix et voilà le fichier .log :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23.09.2018
Exécuté par Mario (26-09-2018 19:51:45) Run:1
Exécuté depuis C:\Users\Mario\Desktop
Profils chargés: Mario (Profils disponibles: Mario & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 19:51:45 ====

Après reboot, les process ne se sont pas encore relancés après 5 minutes, c'est bon signe...
Pour la désinstallation de Norton, je ne le vois pas dans les applis installées sous Windows (paramètres/applis).
Peut-on forcer la desinstallation autrement ?

Pour les autres taches, je m'en occupe demain matin.

Merci encore.

[Malekal_morte]

Normal, la correction n'a pas fonctionné, le contenu est vide.
Recommence ou :

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

[sorimar67]

C'est bien ce que je pensais !
J'ai relancé le script et il semble s'être bien déroule cette fois.
Résultat :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23.09.2018
Exécuté par Mario (26-09-2018 22:19:32) Run:2
Exécuté depuis C:\Users\Mario\Desktop
Profils chargés: Mario (Profils disponibles: Mario & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {1873971F-1EF0-4C7C-A11A-A1F8E5EB63D9} - System32\Tasks\{71C27290-9FC5-48E4-8B24-A8C4A6B77203} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\COolSaelECoupon\CzXyxAWeVmqrHN.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {5CBC0638-708B-4472-881B-CE5F97F96A15} - \25ec8d4a-14fe-4011-bf01-bee849ca4cb3-1 -> Pas de fichier <==== ATTENTION
Task: {7900324E-4C74-417B-86CD-DDBEB250E5E9} - \25ec8d4a-14fe-4011-bf01-bee849ca4cb3-2 -> Pas de fichier <==== ATTENTION
Task: {7D4E65E3-949E-4BB9-8833-3379EAFB34EA} - System32\Tasks\{BFCCEB9F-00EF-4623-AB3A-0401863668C0} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\savErneet\HfKt5hVxI8hm8m.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {9309B16C-AE19-4159-98DA-FE80259F2787} - System32\Tasks\{7AC9111F-9432-44C4-9545-39BCD5742907} => C:\Windows\system32\pcalua.exe -a C:\Users\Mario\AppData\Roaming\awesomehp\UninstallManager.exe
Hosts:Task: {9F1D87FE-2316-4AD5-B76B-EF14753E6FA6} - System32\Tasks\UpdaterChromeApp => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" searchlocal.win/

EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1873971F-1EF0-4C7C-A11A-A1F8E5EB63D9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1873971F-1EF0-4C7C-A11A-A1F8E5EB63D9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{71C27290-9FC5-48E4-8B24-A8C4A6B77203} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{71C27290-9FC5-48E4-8B24-A8C4A6B77203}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5CBC0638-708B-4472-881B-CE5F97F96A15}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5CBC0638-708B-4472-881B-CE5F97F96A15}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\25ec8d4a-14fe-4011-bf01-bee849ca4cb3-1" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7900324E-4C74-417B-86CD-DDBEB250E5E9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7900324E-4C74-417B-86CD-DDBEB250E5E9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\25ec8d4a-14fe-4011-bf01-bee849ca4cb3-2" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7D4E65E3-949E-4BB9-8833-3379EAFB34EA}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7D4E65E3-949E-4BB9-8833-3379EAFB34EA}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{BFCCEB9F-00EF-4623-AB3A-0401863668C0} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{BFCCEB9F-00EF-4623-AB3A-0401863668C0}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9309B16C-AE19-4159-98DA-FE80259F2787}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9309B16C-AE19-4159-98DA-FE80259F2787}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{7AC9111F-9432-44C4-9545-39BCD5742907} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{7AC9111F-9432-44C4-9545-39BCD5742907}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 126802746 B
Java, Flash, Steam htmlcache => 207958979 B
Windows/system/drivers => 6826973 B
Edge => 32396018 B
Chrome => 35031979 B
Firefox => 24829485 B
Opera => 27308656 B

Temp, IE cache, history, cookies, recent:
Default => 6222 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 72180 B
LocalService => 0 B
NetworkService => 6222 B
NetworkService => 0 B
Mario => 103441022 B
DefaultAppPool => 6222 B

RecycleBin => 0 B
EmptyTemp: => 547.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:22:08 ====

Merci encore et si tu as une idée sur la façon de désinstaller Norton qui n'apparait pas dans les applis installées, je suis preneur.

[Malekal_morte]

Pour Norton, regarde là : https://support.norton.com/sp/fr/fr/hom ... tail_fr_fr

[sorimar67]

Bonsoir,

Après avoir laissé tourné ma bécane quelques heures, les process fantomes de chrome sont revenus.
Je les détruits mais ils reviennent sans cesse.
Ça semble ne pas avoir marché...
Est-ce que je relance une analyse FRST ?

[Malekal_morte]

Refais un scan FRST et donne à nouveau les rapports.

[sorimar67]

OK, c'est fait. Voilà les liens :
https://pjjoint.malekal.com/files.php?i ... 6d1512c5y8
https://pjjoint.malekal.com/files.php?i ... 12o11l9f14
https://pjjoint.malekal.com/files.php?i ... 11x8f10s10

Merci pour ton aide.

Cordialement.

[Malekal_morte]

Tu devrais désinstaller Advanced SystemCare
Ca ne sert à pas grand chose.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {9F1D87FE-2316-4AD5-B76B-EF14753E6FA6} - System32\Tasks\UpdaterChromeApp => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" searchlocal.win/
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[sorimar67]

Le fix est passé. Voilà le log :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23.09.2018
Exécuté par Mario (28-09-2018 23:33:41) Run:3
Exécuté depuis C:\Users\Mario\Desktop
Profils chargés: Mario (Profils disponibles: Mario & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {9F1D87FE-2316-4AD5-B76B-EF14753E6FA6} - System32\Tasks\UpdaterChromeApp => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" searchlocal.win/
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9F1D87FE-2316-4AD5-B76B-EF14753E6FA6}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F1D87FE-2316-4AD5-B76B-EF14753E6FA6}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\UpdaterChromeApp => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UpdaterChromeApp" => supprimé(es) avec succès
"HKLM\SOFTWARE\Policies\Google" => supprimé(es) avec succès
"HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Policies\Google" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2321563255-2476897218-1995416681-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20224125 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 709536 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 70750868 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 9216 B
LocalService => 0 B
NetworkService => 6660 B
NetworkService => 0 B
Mario => 8350175 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 104.2 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:34:00 ====

Je regarde demain matin si tout est OK.
Encore merci pour ton aide.

[Malekal_morte]

ok tiens nous au jus.