Désinfection Trojan core.ps1 (bitcoin miner)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

DuoBomber
Messages : 3
Inscription : 14 mars 2023 15:57

Désinfection Trojan core.ps1 (bitcoin miner)

par DuoBomber »

Bonjour,

Aujourd'hui mon ordinateur a commencé à ramer soudain, du coup j'ai redémarré et j'ai lancé ESET Scanner qui a identifié core.ps1 comme étant un trojan qui sert à miner du bitcoin et l'a éliminé.
Après avoir lu les forums ici j'ai découvert cependant que ce trojan ait le pouvoir de se réinstaller soi-même sans cesse via Powershell. J'ai vérifié avec FRST en suivant le tuto et il semblerait qu'il reste bien dans mon ordi une commande Powershell pour le réinstaller.
Est-ce que vous pourriez m'aider à éliminer définitivement toute trace du trojan de mon ordi s'il vous plaît ? Merci.

Voici le rapport FRST : https://pjjoint.malekal.com/files.php?i ... 5n10c10h12
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Désinfection Trojan core.ps1 (bitcoin miner)

par Malekal_morte »

Salut,

Manque le rapport Addition.txt


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {1CBE6F75-03CE-45E9-8AED-9FDA4CFEB5B7} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
Startup: C:\Users\larm2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PrintScreenSC.exe [2022-02-13] () [Fichier non signé]
C:\WINDOWS\core.ps1
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

~~

Tu devrais désinstaller COMODO, il est assez usine à gaz et un impact important sur la vitesse du système.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DuoBomber
Messages : 3
Inscription : 14 mars 2023 15:57

Re: Désinfection Trojan core.ps1 (bitcoin miner)

par DuoBomber »

Bonjour,

Voici les nouveaux rapports :

FRST.txt : https://pjjoint.malekal.com/files.php?i ... 4s7g8n14q7
Addition.txt : https://pjjoint.malekal.com/files.php?i ... q8y12v11p8
Fixlog.txt : https://pjjoint.malekal.com/files.php?i ... q13x119p13

Je n'ai pas fait la réinitialisation de Chrome parce que je n'ai pas envie de réinstaller toutes mes extensions (de ce que j'ai compris ça a déjà supprimé tous mes cookies de toute façon), mais le scan de Malwarebytes n'a rien trouvé.
(Je viens de voir que vous avez supprimé aussi mon script autohotkey que j'avais créé parce que je n'ai pas de touche impr. écran sur ce laptop... bref, tant pis)
Que conseillerez-vous à la place de Comodo ? La plupart des autres pare-feu que j'ai essayé me paraissaient trop intrusifs et j'aime bien la possibilité de décider moi-même si accorder ou non l'accès à internet à chaque programme.

(pardon j'avais oublié fixlog.txt !)
Dernière modification par DuoBomber le 14 mars 2023 16:58, modifié 1 fois.
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Désinfection Trojan core.ps1 (bitcoin miner)

par Malekal_morte »

Tu parles de ça pour Autohotkey ?
C:\Users\larm2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PrintScreenSC.exe
Car il est dans la quarantaine de FRST au pire.
Tu peux le remettre.

Pour Comodo rien, juste bien régler le pare-feu de Windows : Firewall Windows : les bon réglages
Après c'est toi qui vois.

Pour la détection Trojan BitCoin Miner, c'est MBAM qui le détectait ?
Si oui, c'est réglé donc vu qu'il ne détecte rien ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
DuoBomber
Messages : 3
Inscription : 14 mars 2023 15:57

Re: Désinfection Trojan core.ps1 (bitcoin miner)

par DuoBomber »

Je l'avais détecté avec ESET Online Scanner (j'ai MBAM sur mon ordi mais j'ai essayé autre chose car j'avais peur que ça aurait été plus difficile à détecter). Après la correction MBAM ne trouve rien, donc je suppose que c'est réglé, mais je vais revérifier ce soir ou demain histoire d'être sûr. Merci en tout cas pour la réponse rapide !
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Désinfection Trojan core.ps1 (bitcoin miner)

par Malekal_morte »

Oui prends le temps de revérifier.
Au pire ce sera détecté dans C:\FRST
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »