infecté Par le Virus trojan.bitcoinmineur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

infecté Par le Virus trojan.bitcoinmineur

par Solow »

Bonjour je me permet de vous écrire car j’ai été infecté par ce virus qui malgré les analyse et suppression du virus grace a malwarebytes il revient toujours, pour trouver l’origine du virus j’ai utilisé les analyses complètes windows defender mais de même le virus refait surface. dans mon gestionnaire de taches le service « antimalwares service executable » de windef est prend 40% de ram en permanence.
J’ai aussi remarqué que des vidéos on été posté en même temps sur ma chaîne YouTube, principalement des vidéos de crack..
Je ne sais plus trop quoi faire.. j’ai éteint le pc principal pour le moment car il souffre avec le service en perma de windef..
J’attend vos retours afin que je puisse un peu plus vous aider👍🏽
Avatar de l’utilisateur
Parisien_entraide
Messages : 12062
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: infecté Par le Virus trojan.bitcoinmineur

par Parisien_entraide »

Bonjour,


Un ransomware "Trojan.bitcoinmineur" c'est un peu vague (cela en regroupe plusieurs) en plus tu as utilisé MalwareBytes dont on ne sait ce qu'il a fait à par identifier (il faut réparer ensuite vu qu'en général il y a un proxy d'installé

Il disait quoi le rapport MalwareBytes ?

De toutes les façons avant de faire quoi que ce soit il faut une analyse comme FRST par ex
Ensuite tu pourras réinitialiser les navigateurs, les mots de passe (volés en général car la partie "bitcoin mineur" n'est pas que l'unique cible)


La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case qui figure sur l'écran d'accueil
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

Re: infecté Par le Virus trojan.bitcoinmineur

par Solow »

Avatar de l’utilisateur
angelique
Messages : 31497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté Par le Virus trojan.bitcoinmineur

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12062
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: infecté Par le Virus trojan.bitcoinmineur

par Parisien_entraide »

Malekal ou Angélique te répondront mais tu n'as pas le log de MalwareBytes ?

A priori c'est le fait de

Trojan:MSIL/AgentTesla.DDV!MTB

Il récupère notamment les identifiants/mots de passe enregistrés, dont les comptes de jeux STEAM, ORIGINE, a une fonctione de keylogger (pour enregistrer les frappes clavier, récupères les informations bancaires, etc

Trojan:Win32/Wacatac.H!ml
Trojan:Win32/Redline.TX!MTB



Même sauce et pire (partie REDLINE )

viewtopic.php?t=71178




FF Extension: (Pas de nom) - C:\Program Files\Mozilla Firefox\browser\features\{DBDE73E2-BC5F-41AD-9E14-0105D4813C2F}.xpi [2022-09-18] [non signé]

apparu le même jour où tu es allé sur un site russe https://kzclip.net pour télécharger [email protected]_fil1e_insta1ller(1).zip sans compter les jeux origin de type NBA_2K23.rar

Je passe outre la panoplie complète ADOBE en version 2020

En plus je vois tout un tas d'outils utilisés

Rkill, CCleaner, Spyhunter
Le VPN kaspesky c'était quoi le but ? Pour le uTorrent ?
et même Wondershare recoverit_setup_full4198.exe

Tu as eu d'autres problèmes avant ?

Ton fichier HOSTS présente d'intéressants blocages sur les sites d'anti virus
Fait intéressant est bloqué une solution de sécurité.. Ukrainienne (donc ton infection est signée)


Edit : Angélique est passée pendant que je tapotais , donc applique le fixlist
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

Re: infecté Par le Virus trojan.bitcoinmineur

par Solow »

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-08-2022
Exécuté par Megaport (28-09-2022 14:40:03) Run:1
Exécuté depuis C:\Users\Megaport\Desktop
Profils chargés: Megaport
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Megaport\AppData\Local\MEGAsync\ShellExtX64.dll -> Pas de fichier
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {36E60B8C-FB8F-4436-8276-1F9954755ED3} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Pas de fichier)
Task: {3DCBA81D-63CA-4524-A396-D4B5FF13DC9C} - System32\Tasks\Opera scheduled assistant Autoupdate 1618169191 => C:\Users\Megaport\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Megaport\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {3E5D1928-9331-4938-BE38-68B7C74A1254} - System32\Tasks\PCHealthCheck => C:\Program Files\PCHeaIthCheck\PCHealthCheck.exe [5837825 2022-09-28] () [Fichier non signé]
Task: {C2BFA631-765C-4871-87C2-4C8EF29645FC} - System32\Tasks\Opera scheduled Autoupdate 1618169187 => C:\Users\Megaport\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
FF Notifications: Mozilla\Firefox\Profiles\40cf1qdx.default-release-1576686773463 -> hxxps://www.ldlc.com; hxxps://m.shein.com; hxxps://mail.google.com; hxxps://twitter.com; hxxps://mail-notification.info; hxxps://zarabotok-online.xyz; hxxps://supertopfreegames.com; hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://mnthor.xyz
S1 rzhvqhjd; \??\C:\WINDOWS\system32\drivers\rzhvqhjd.sys [X]
2022-09-28 01:02 - 2022-09-28 01:01 - 000917504 _____ C:\ProgramData\77321698856262319951804599
2022-09-28 01:02 - 2022-09-28 01:01 - 000917504 _____ C:\ProgramData\32576838717176717955723985
2022-09-28 01:02 - 2022-09-28 01:01 - 000360448 _____ C:\ProgramData\63438077623056631056345339
2022-09-28 01:02 - 2022-09-28 01:00 - 000098304 _____ C:\ProgramData\43165394922103315397198657
2022-09-28 01:02 - 2022-09-28 01:00 - 000098304 _____ C:\ProgramData\29712285779686651151305744
2022-09-28 01:02 - 2022-09-28 00:45 - 000073728 _____ C:\ProgramData\15358947269743841497372716
2022-09-28 01:02 - 2022-09-24 20:56 - 000001132 _____ C:\ProgramData\64804498630872132982132481
2022-09-28 01:02 - 2022-09-24 20:56 - 000000260 _____ C:\ProgramData\75186817813440060730309985
2022-09-28 01:02 - 2022-09-22 21:19 - 000000388 _____ C:\ProgramData\29249548602869538194851866
2022-09-28 01:02 - 2022-09-22 17:58 - 000020480 _____ C:\ProgramData\05543118843306477585689992
2022-09-28 01:02 - 2022-09-22 16:57 - 000143360 _____ C:\ProgramData\46469452140282705850404025
2022-09-28 01:02 - 2022-09-22 16:57 - 000135168 _____ C:\ProgramData\71014280278395389648482649
2022-09-28 01:02 - 2022-09-22 16:57 - 000135168 _____ C:\ProgramData\57841150025858633411671439
2022-09-28 01:02 - 2022-06-05 13:32 - 000057344 _____ C:\ProgramData\32378948971311959272680516
2022-09-28 00:55 - 2022-09-28 00:55 - 000000016 _____ C:\ProgramData\mntemp
2022-09-19 23:27 - 2022-09-19 23:27 - 006745264 _____ (EnigmaSoft Limited) C:\Users\Megaport\Downloads\SpyHunter-Installer.exe
2022-09-19 23:27 - 2022-09-19 23:27 - 006745264 _____ (EnigmaSoft Limited) C:\Users\Megaport\Downloads\SpyHunter-Installer(1).exe
2022-09-18 22:53 - 2022-09-18 22:53 - 015324144 _____ C:\Users\Megaport\Downloads\Installer(1).rar
2022-09-18 22:52 - 2022-09-18 23:22 - 002042296 _____ (Mozilla Foundation) C:\Users\Megaport\AppData\LocalLow\nss3.dll
2022-09-18 22:52 - 2022-09-18 23:22 - 001099223 _____ (SQLite Development Team) C:\Users\Megaport\AppData\LocalLow\sqlite3.dll
2022-09-18 22:52 - 2022-09-18 19:12 - 000026581 _____ C:\Users\Megaport\AppData\LocalLow\8rX3z9j7o5Xy
2022-09-18 22:51 - 2022-09-19 12:48 - 000000000 ____D C:\Program Files (x86)\uLogUUhFubfpC
2022-09-18 22:51 - 2022-09-19 12:48 - 000000000 ____D C:\Program Files (x86)\uBuvEpCqvdERCmdHFeR
2022-09-18 22:51 - 2022-09-19 12:48 - 000000000 ____D C:\Program Files (x86)\sQIjJrnHDXqU2
2022-09-18 22:51 - 2022-09-19 12:48 - 000000000 ____D C:\Program Files (x86)\nonSZPasU
2022-09-18 22:51 - 2022-09-19 12:48 - 000000000 ____D C:\Program Files (x86)\ErYnAExfsZUn
2022-09-18 22:51 - 2022-09-18 19:12 - 000026581 _____ C:\Users\Megaport\AppData\LocalLow\S3I26N51yWRX
2022-09-18 22:50 - 2022-09-28 02:03 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\YZ8t8b30VE
2022-09-18 22:50 - 2022-09-18 23:37 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\D905C678A92BB697
2022-09-18 22:50 - 2022-09-18 23:22 - 000684984 _____ (Mozilla Foundation) C:\Users\Megaport\AppData\LocalLow\freebl3.dll
2022-09-18 22:50 - 2022-09-18 23:22 - 000627128 _____ (Mozilla Foundation) C:\Users\Megaport\AppData\LocalLow\mozglue.dll
2022-09-18 22:50 - 2022-09-18 23:22 - 000254392 _____ (Mozilla Foundation) C:\Users\Megaport\AppData\LocalLow\softokn3.dll
2022-09-18 22:50 - 2022-09-18 22:50 - 019803072 _____ C:\Users\Megaport\Downloads\[email protected]_fil1e_insta1ller.zip
2022-09-18 22:50 - 2022-09-18 22:50 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\NCH Software
2022-09-18 22:50 - 2022-09-18 22:50 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\075lfoAcL
2022-09-18 22:50 - 2022-09-18 19:12 - 000026581 _____ C:\Users\Megaport\AppData\LocalLow\5LM52o5MjJgS
2022-09-18 22:49 - 2022-09-19 23:29 - 000000000 ____D C:\ProgramData\DiskOptimizer
2022-09-18 22:49 - 2022-09-18 23:37 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\FvKRW8B7
2022-09-18 22:49 - 2022-09-18 22:52 - 000000000 ____D C:\Program Files (x86)\Loppy Disk Master
2022-09-18 22:49 - 2022-09-18 22:50 - 000000000 ___HD C:\ProgramData\DNTException
2022-09-18 22:49 - 2022-09-18 22:50 - 000000000 ____D C:\Program Files (x86)\Proxy2Service
2022-09-18 22:49 - 2022-09-18 22:49 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy2Service
2022-09-18 22:49 - 2022-09-18 22:49 - 000000000 ____D C:\Program Files (x86)\Exfl L. Ronil
2022-09-18 22:47 - 2022-09-18 22:50 - 000000000 ____D C:\Users\Megaport\AppData\LocalLow\uTorrent
2022-09-18 22:46 - 2022-09-18 22:46 - 001447178 _____ (Igor Pavlov) C:\Users\Megaport\Downloads\7z1900-x64.exe
2022-09-18 22:43 - 2022-09-18 22:43 - 015324144 _____ C:\Users\Megaport\Downloads\Installer.rar
2022-09-18 22:43 - 2022-09-18 22:43 - 000000000 ____D C:\Users\Megaport\AppData\Local\Yandex
2022-09-19 23:56 - 2021-03-04 17:31 - 000000000 ____D C:\Users\Megaport\AppData\Roaming\IObit
Hosts:
StartPowershell:
sfc /scannow
EndPowershell:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Pending) => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{056D528D-CE28-4194-9BA3-BA2E9197FF8C} => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Synced) => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{05B38830-F4E9-4329-978B-1DD28605D202} => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Syncing) => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{0596C850-7BDD-4C9D-AFDF-873BE6890637} => supprimé(es) avec succès
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\MEGA (Context menu) => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{0229E5E7-09E9-45CF-9228-0228EC7D5F17} => supprimé(es) avec succès
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers\MEGA (Context menu) => supprimé(es) avec succès
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\MEGA (Context menu) => supprimé(es) avec succès
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\MEGA (Context menu) => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => impossible à supprimer, clé était peut-être protégé(e)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{36E60B8C-FB8F-4436-8276-1F9954755ED3}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36E60B8C-FB8F-4436-8276-1F9954755ED3}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3DCBA81D-63CA-4524-A396-D4B5FF13DC9C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3DCBA81D-63CA-4524-A396-D4B5FF13DC9C}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Opera scheduled assistant Autoupdate 1618169191 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled assistant Autoupdate 1618169191" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3E5D1928-9331-4938-BE38-68B7C74A1254}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3E5D1928-9331-4938-BE38-68B7C74A1254}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\PCHealthCheck => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCHealthCheck" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C2BFA631-765C-4871-87C2-4C8EF29645FC}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C2BFA631-765C-4871-87C2-4C8EF29645FC}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1618169187 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1618169187" => supprimé(es) avec succès
"FF Notifications:" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\rzhvqhjd => supprimé(es) avec succès
rzhvqhjd => service supprimé(es) avec succès
C:\ProgramData\77321698856262319951804599 => déplacé(es) avec succès
C:\ProgramData\32576838717176717955723985 => déplacé(es) avec succès
C:\ProgramData\63438077623056631056345339 => déplacé(es) avec succès
C:\ProgramData\43165394922103315397198657 => déplacé(es) avec succès
C:\ProgramData\29712285779686651151305744 => déplacé(es) avec succès
C:\ProgramData\15358947269743841497372716 => déplacé(es) avec succès
C:\ProgramData\64804498630872132982132481 => déplacé(es) avec succès
C:\ProgramData\75186817813440060730309985 => déplacé(es) avec succès
C:\ProgramData\29249548602869538194851866 => déplacé(es) avec succès
C:\ProgramData\05543118843306477585689992 => déplacé(es) avec succès
C:\ProgramData\46469452140282705850404025 => déplacé(es) avec succès
C:\ProgramData\71014280278395389648482649 => déplacé(es) avec succès
C:\ProgramData\57841150025858633411671439 => déplacé(es) avec succès
C:\ProgramData\32378948971311959272680516 => déplacé(es) avec succès
C:\ProgramData\mntemp => déplacé(es) avec succès
C:\Users\Megaport\Downloads\SpyHunter-Installer.exe => déplacé(es) avec succès
C:\Users\Megaport\Downloads\SpyHunter-Installer(1).exe => déplacé(es) avec succès
C:\Users\Megaport\Downloads\Installer(1).rar => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\nss3.dll => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\sqlite3.dll => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\8rX3z9j7o5Xy => déplacé(es) avec succès
C:\Program Files (x86)\uLogUUhFubfpC => déplacé(es) avec succès
C:\Program Files (x86)\uBuvEpCqvdERCmdHFeR => déplacé(es) avec succès
C:\Program Files (x86)\sQIjJrnHDXqU2 => déplacé(es) avec succès
C:\Program Files (x86)\nonSZPasU => déplacé(es) avec succès
C:\Program Files (x86)\ErYnAExfsZUn => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\S3I26N51yWRX => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\YZ8t8b30VE => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\D905C678A92BB697 => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\freebl3.dll => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\mozglue.dll => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\softokn3.dll => déplacé(es) avec succès
C:\Users\Megaport\Downloads\[email protected]_fil1e_insta1ller.zip => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\NCH Software => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\075lfoAcL => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\5LM52o5MjJgS => déplacé(es) avec succès
C:\ProgramData\DiskOptimizer => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\FvKRW8B7 => déplacé(es) avec succès
C:\Program Files (x86)\Loppy Disk Master => déplacé(es) avec succès
C:\ProgramData\DNTException => déplacé(es) avec succès
C:\Program Files (x86)\Proxy2Service => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy2Service => déplacé(es) avec succès
C:\Program Files (x86)\Exfl L. Ronil => déplacé(es) avec succès
C:\Users\Megaport\AppData\LocalLow\uTorrent => déplacé(es) avec succès
C:\Users\Megaport\Downloads\7z1900-x64.exe => déplacé(es) avec succès
C:\Users\Megaport\Downloads\Installer.rar => déplacé(es) avec succès
C:\Users\Megaport\AppData\Local\Yandex => déplacé(es) avec succès
C:\Users\Megaport\AppData\Roaming\IObit => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= Powershell: =========




D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .



L a v Ú r i f i c a t i o n e s t Ó 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 2 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 2 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 3 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 3 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 4 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 4 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 5 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 5 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 6 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 6 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 7 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 7 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 8 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 8 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 9 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 9 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 1 % t e r m i n Ú e .




L a p r o t e c t i o n d e s r e s s o u r c e s W i n d o w s n a p a s r Ú u s s i Ó e f f e c t u e r l o p Ú r a t i o n d e m a n d Ú e .




========= Fin de Powershell: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1572864 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36621341 B
Java, Discord, Steam htmlcache => 1172364511 B
Windows/system/drivers => 16135305 B
Edge => 37389 B
Chrome => 706567150 B
Brave => 1680096 B
Firefox => 846059968 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 108582 B
LocalService => 138606 B
NetworkService => 256558 B
Megaport => 16370727074 B

RecycleBin => 0 B
EmptyTemp: => 17.8 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 28-09-2022 14:42:17)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès

==== Fin de Fixlog 14:42:17 ====
Avatar de l’utilisateur
angelique
Messages : 31497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté Par le Virus trojan.bitcoinmineur

par angelique »

Mieux ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

Re: infecté Par le Virus trojan.bitcoinmineur

par Solow »

Parisien_entraide a écrit : 28 sept. 2022 14:35 Malekal ou Angélique te répondront mais tu n'as pas le log de MalwareBytes ?

A priori c'est le fait de

Trojan:MSIL/AgentTesla.DDV!MTB

Il récupère notamment les identifiants/mots de passe enregistrés, dont les comptes de jeux STEAM, ORIGINE, a une fonctione de keylogger (pour enregistrer les frappes clavier, récupères les informations bancaires, etc

Trojan:Win32/Wacatac.H!ml
Trojan:Win32/Redline.TX!MTB



Même sauce et pire (partie REDLINE )

viewtopic.php?t=71178




FF Extension: (Pas de nom) - C:\Program Files\Mozilla Firefox\browser\features\{DBDE73E2-BC5F-41AD-9E14-0105D4813C2F}.xpi [2022-09-18] [non signé]

apparu le même jour où tu es allé sur un site russe https://kzclip.net pour télécharger [email protected]_fil1e_insta1ller(1).zip sans compter les jeux origin de type NBA_2K23.rar

Je passe outre la panoplie complète ADOBE en version 2020

En plus je vois tout un tas d'outils utilisés

Rkill, CCleaner, Spyhunter
Le VPN kaspesky c'était quoi le but ? Pour le uTorrent ?
et même Wondershare recoverit_setup_full4198.exe

Tu as eu d'autres problèmes avant ?

Ton fichier HOSTS présente d'intéressants blocages sur les sites d'anti virus
Fait intéressant est bloqué une solution de sécurité.. Ukrainienne (donc ton infection est signée)


Edit : Angélique est passée pendant que je tapotais , donc applique le fixlist

Il est vrais que j'ai été très naïf par rapports au site inconnues par le passé..
-pour les outils que je dispose comme rkill, ccleaner etc mon aider par le passé donc je les ai gardés.
-le vpn kaspesky j'avais que crue l'avoir désinstallée..
-et le Wondershare recoverit_setup_full4198.exe a normalement été désinstallés, cela ma permis de récupérer des fichiers supprimées auparavant de ma corbeille.

je pense sincèrement que tous cela est due a mes passages sur des sites inconnues ou téléchargement de cracks.. d'où je ne referais plus l'erreurs.
Dernière modification par Solow le 28 sept. 2022 15:12, modifié 1 fois.
Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

Re: infecté Par le Virus trojan.bitcoinmineur

par Solow »

angelique a écrit : 28 sept. 2022 14:59Mieux ?
beaucoup mieux aux niveau des perfs mon pc ne s'excite plus.
malgré que le antimalware service executable de windows me pompe encore ma ram en permance
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
angelique
Messages : 31497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté Par le Virus trojan.bitcoinmineur

par angelique »

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12062
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: infecté Par le Virus trojan.bitcoinmineur

par Parisien_entraide »

Outre ce qu'indique Angélique pour le nettoyage


Vu les trojans il te faut


Réinitialiser les navigateurs WEB que tu utilises concerné(s) :
et changer TOUS les mots de passe que tu utilises pour les sites, les comptes de jeux, banque etc

Je conseille du reste l'usage d'un gestionnaire de mots de passe mais pas l'extension sur Chrome ou Chromium comme Edge uniquement sur Firefox, puisque le malware "Luca stealer" est capable quand même de voler les mots de passe (sauf Firefox)
https://www.malekal.com/les-meilleurs-g ... e-dossier/ (KeepassXC est très bien)

Idem pour activer l'authentification à deux niveaux si proposée
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Solow
Messages : 6
Inscription : 28 sept. 2022 11:56

Re: infecté Par le Virus trojan.bitcoinmineur

par Solow »

Parisien_entraide a écrit : 28 sept. 2022 15:15 Outre ce qu'indique Angélique pour le nettoyage


Vu les trojans il te faut


Réinitialiser les navigateurs WEB que tu utilises concerné(s) :
et changer TOUS les mots de passe que tu utilises pour les sites, les comptes de jeux, banque etc

Je conseille du reste l'usage d'un gestionnaire de mots de passe mais pas l'extension sur Chrome ou Chromium comme Edge uniquement sur Firefox, puisque le malware "Luca stealer" est capable quand même de voler les mots de passe (sauf Firefox)
https://www.malekal.com/les-meilleurs-g ... e-dossier/ (KeepassXC est très bien)

Idem pour activer l'authentification à deux niveaux si proposée
je veillerais à se que tous cela soit effectuer, merci pour votre précieuse aide !
Avatar de l’utilisateur
Parisien_entraide
Messages : 12062
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: infecté Par le Virus trojan.bitcoinmineur

par Parisien_entraide »

Ben c'est surtout le comportement qu'il faut changer, (ce n'est pas une leçon de morale mais de la prévention) sinon vu que les malwares deviennent de plus en plus sophistiqués si tu as lu lien sur REDLINE et son possible successeur, cela ne pourra que se reproduire avec en plus un ransomware pour tout crypter
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »