Trojan coinminner

[chup]

Bonjour à tous,

Cela fais quelques temps que je ne pouvais plus faire les mise à jour windows (4/5 mois), mais ça ne m'a pas trop inquiété car je n'en voyais pas l'utilité. De plus je ne pouvais plus télécharger d'applications sur le Windows Store. De même je n'en avais pas l'utilité.

Cependant, je suis maintenant en stage informatique dans le développement web et j'ai eu besoin d'installer docker sur WSL 2. Or pour cela, il m'était indiqué que je devais faire la mise à jour de windows. Chose que je n'ai donc pas pu effectuer. J'ai aussi remarqué que je n'avais plus rien dans windows defender, page vide :O, donc plus d'antivirus. Je me suis renseigné et j'ai donc appris que j'étais infecté d'un Trojan coinminer au vue de l'utilisation de mon CPU alors que je ne faisais rien, il m'occupe tout mon CPU ce sacré trojan ! De plus il me bloque l'anti-virus et les mise à jour windows.

J'ai donc essayé de supprimer ce malware manuellement suivant différent forum et vidéos sur internet pendant 1 journée, sans succès :/

J'en fais donc appel à l'un d'entre vous, sachant que mon ordinateur est mon outils de travail, tant que le virus se sera pas parti, je ne peux pas effectuer correctement mon stage :/

Voici les liens successifs de :
- Addition.txt : https://pjjoint.malekal.com/files.php?i ... 1j11s5f5f9

- FRST.txt : https://pjjoint.malekal.com/files.php?i ... 5y15c12l15

- Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 11j13q13z8

Je serais vraiment reconnaissant si quelqu'un à la solution à ce problème. J'y ai passé beaucoup de temps, modifié des services/registres/éteints/rallumés/vider historique et reset par défaut les navigateurs/Delete les fichier en jaune avec autoruns.exe en vain ...

Bonne journée !
Alexis.

[Parisien_entraide]

Bonjour,

Malekal ou Angélique s'occuperont de te générer un fix aux vues des logs si besoin est, MAIS :


- Tu as un Windows 10 Home Version 1809 qui date de 2018

Pour rappel depuis il y eu depuis :

Windows 10, Version 1903 (Updated Aug 2019)
Windows 10, Version 1909 (Updated Nov 2019)
Windows 10, Version 2004 (Update May 2004)

Tu dis "mon ordinateur est mon outils de travail,"

- Des traces d'AVAST. Vu les pratiques de cet éditeur, il n'est pas conseillé de s'en servir dans un environnement "PRO" (collecte de données)
- Tu vas sur le net non seulement sans AV, mais également SANS aucune protection pour la navigation (Firefox et Chrome)
En plus AVAST "'peut " perturber les mises à jour
Le truc c'est qu'AVAST n'apparait pas en tant qu'Antivirus actif, pas plus que Windows defender ou MBAM (mais il s'agit surement de la version gratuite donc ce n'est qu'un scanner)

- Utilisation de ZOOM. Dans le monde PRO pourquoi utiliser l'application d'une société privée américaine alors qu'il existe un équivalent dans le monde du logiciel libre, gratuit et Français en plus ?
Les risques ? viewtopic.php?f=36&t=65322 (dont du crypto-miner)

Idem pour le Cisco Webex Meetings dont il y a une trace. CISCO c'est le fer de lance de la NSA, et les produits de cette firme à l'exportation (matériel et logiciel) doivent subir un agréement de.. la NSA (en clair une porte ouverte et accès) dès lors que c'est utilisé hors des USA (ce qui est le cas du logiciel, produit dématérialisé) C'est inscrit dans les texte du commerce

- Ton Chrome présente des extensions non définies et probablement des infections (après le fix log il faudra le réinitialiser)
Du reste si on utilise un PC pour le monde PRO il ne vaut mieux pas utiliser Chrome qui est un navigateur développé pour aspirer nos données

- On ne mélange pas un outil de travail avec un usage personnel : EasyAntiCheat ce qui sous entend l'usage de jeux (Epig Games)
- On en télécharge pas des applications avec cracks pour un outil de travail ( Ex Download Antidote 10.1.zip. On peut parler aussi des produits Adobe etc)

- VirtualBox (Oracle VM VirtualBox) C'est utile ? Les pilotes mettent souvent le bazar car l'application n'est plus vraiment suivie depuis des années
De plus ORACLE termine le support en mars 2021

- La maj de Windows ne peut se faire, puisque la librairie dosvc.dll est en erreur (corrompue, vérolée, ..) du fait de l'usage de cracks
Les composants nécessaires à la maj sont
wuauserv.dll
wuaueng.dll
wups.dll
dosvc.dll

Et c'est le dernier qui est appelé pour la procédure de maj (surtout dite "optimisation de livraison"
Ce service sensé mutualiser le téléchargement des mises-à-jour en P2P sur le réseau local ou le Net

On peut le désactiver si il gêne :

Menu Paramètres > Mise à jour et sécurité > Windows Update
> Options avancées > Optimisation de livraison
> Désactivez l’option Autoriser les téléchargements à partir d’autres PC.
Ce paramétrage ne suffit pas et il faut en plus désactiver le service Optimisation de livraison accessible via services.msc.

Voila juste une lecture de surface, et il y a sûrement à dire sur le reste

[chup]

Bonjour,

Merci pour cette réponse rapide et ces conseils.

Quand je dis que c'est mon outils de travail, c'est parce que c'est mon ordinateur perso mais qui me sert pour travailler.

Je vais appliquer les conseils que vous m'avez donnés et je reviens vers vous si le problème persiste.

Bonne journée,
Alexis.

[Parisien_entraide]

Attend quand même le fixlog, il faut partir sur une base saine avant de faire quoi que ce soit

[chup]

Et il va arriver ici le fixlog c'est ça ?

J'a juste désinstallé Cisco.

J'ai aussi lancé une analyse de adwcleaner_8.0.5.exe

Je vous renvoie les 3 fichiers .txt ou j'attends le fixlog ?

Et encore merci pour cette aide précieuse, car là je suis un peu perdu.

[angelique]

Bonjour/Bonsoir


Pour Docker, non présent sous Windows 10 Home mais possible si Windows 10 Home 2004 (donc pas toi!)
https://korben.info/installer-docker-windows-home.html

Alors il n'y a pas d'infection dans la machine.

Pourquoi les rapports en mode sans échec ?

Tu as pleins de service avast alors qu 'il n'est pas présent dans ==== Programmes installés ===

voir à utiliser https://www.avast.com/fr-fr/uninstall-utility

Pour Windows defender qui est désactivé c'est certainement parceque y'a des trucs d'avast, donc corrige ce problème puis:



Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

---------------

En gros tu devrais directement repartir sur une installation propre avec directement la 2004

[chup]

Bonjour,

J'effectuais le rapport en mode sans échec car sinon le programme s'arrêtais à chaque fois.

- J'ai suivis les instructions de : https://www.avast.com/fr-fr/uninstall-utility

- Windows defender présente toujours une fenêtre vide

- Voici le contenue de FixLog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-06-2020
Exécuté par user (25-06-2020 10:21:47) Run:2
Exécuté depuis C:\Users\user\Desktop
Profils chargés: user
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2019-11-26 17:54 - 2019-11-26 17:54 - 000004535 _____ () C:\Users\user\AppData\Local\recently-used.xbel
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => non trouvé(e)
"C:\Users\user\AppData\Local\recently-used.xbel" => non trouvé(e)

=========== EmptyTemp: ==========

BITS transfer queue => 6578176 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17862872 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 25036351 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1830 B
NetworkService => 1830 B
user => 19312 B

RecycleBin => 1499 B
EmptyTemp: => 47.2 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 10:22:35 ====


Pour aider je peux vous envoyer différents screens,
comme la page Windows Defender,
ou encore l'usage de CPU indiqué avec le logiciel procexp.exe (Process explorer), car certains processus m'ont l'air un peu louches,
ou encore certains messages d'erreurs que j'ai reçu quand j'active le mode sans échec,
ou quand j'ai essayé d'accéder au paramètre de microsoft edge.

Merci pour cette réactivité.

[chup]

De plus quand j'essaye de download tool now ou Update Now sur cette page : https://www.microsoft.com/en-in/softwar ... /windows10

Mon pc s'éteint directement avec un écran bleu. Ce malware me bloque Windows Defender/Update

[chup]

Voici le lien vers une image montrant mon process explorer : https://pjjoint.malekal.com/files.php?i ... y11o8j13v6

[angelique]

Y' a rien d'anormal comme process

y'a pas de malware, c'est ton Windows qui est en vrac

Refait une installation propre https://www.malekal.com/telecharger-iso ... tallation/

sinon tu vas perdre ton temps.

[chup]

ça marche, je vais essayer de refaire une installation alors.

Merci pour votre temps.