Sujet Précédent Sujet Suivant

Virus "cvhost" qui mine du bitcoin sur mon pc HELP !

Fermé
Dylan - Modifié le 3 janv. 2018 à 20:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 7 janv. 2018 à 13:07
Bonjour,

J'ai un virus sur mon ordi au nom de "cvhost" Ce virus se situe dans le system32 et il mine du bitcoin sur mon ordi, comment je sais ça? parce que j'ai ouvert l'emplacement du virus et trouver un fichier .txt en donnant des infos à propos de "pool" et d'adresse bitcoin, j'ai déjà essayé de supprimer le fichier mais il revient toujours, a chaque 1 heure / 2. Comment je peux m'en débarrasser ?

et non c'est pas svhost
A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
3 janv. 2018 à 20:27
Salut,

Fais une analyse FRST :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Dylan
3 janv. 2018 à 22:51
MDP : cvhost

https://pjjoint.malekal.com/files.php?id=FRST_20180103_g15c11q14i13h13
https://pjjoint.malekal.com/files.php?id=20180103_l14r7t11i13d14
https://pjjoint.malekal.com/files.php?id=20180103_t13g14k5z14z12
0
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
3 janv. 2018 à 22:59
Pas infecté.
0
Dylan
3 janv. 2018 à 23:23
J'ai supprimer quelqun fichier il y a 2 heures environ, peut etre que c'étais la source du virus, depuis je n'ai plus eu de probleme, a voir
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > Dylan
3 janv. 2018 à 23:26
Pour moi c'est bon en tout cas =)
0
Dylan
Modifié le 3 janv. 2018 à 23:42
Non sa vient just de recommencer, cette fois si je le supprime pas, comment je peux pour le envoyer?

Ici le .txt qui est dans le dossier du virus

"cpu_threads_conf" :
[
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 0 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 1 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 2 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 3 },
],
"use_slow_memory" : "warn",
"nicehash_nonce" : false,
"aes_override" : null,
"use_tls" : false,
"tls_secure_algo" : true,
"tls_fingerprint" : "",
"pool_address" : "pool.supportxmr.com:80",
"wallet_address" : "43jRngiH5giMCM9Co4fKxsbsM2uA2kDqGSzi7PX2wzYRdmAo63zz7gYcVc477iWDjr26bTSHeSSuoGVFb1MrmMzTNm6DcK9",
"pool_password" : "DESKTOP-VLSK944",
"call_timeout" : 10,
"retry_time" : 10,
"giveup_limit" : 0,
"verbose_level" : 3,
"h_print_time" : 60,
"daemon_mode" : false,
"output_file" : "",
"httpd_port" : 0,
"prefer_ipv4" : true,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié le 6 janv. 2018 à 14:46
il se trouve dans quel dossier ce fichier ?
Tu peux refaire un scan FRST et donner les rapports ?
Tu peux aussi donner une capture d'écran de Process Explorer ?
0
Dylan
3 janv. 2018 à 23:52
Pour le screenshot je suis pas sur de comprendre, mais j'ai pris un image du dossier : https://gyazo.com/1933c1ad9ef2d84c6b870f5deab5a43c

Meme MDP pour le scan FRST
https://pjjoint.malekal.com/files.php?id=FRST_20180103_g11h5k15c15y12
https://pjjoint.malekal.com/files.php?id=20180103_k5b14k8i5l12
https://pjjoint.malekal.com/files.php?id=20180103_s8d13c11i13x7
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
4 janv. 2018 à 00:01
on le voit sur FRST... du coup t'as dû faire qq chose qui l'a réinstallé.
Après t'as téléchargé plein de trucs, dont j'ai l'impression des logiciels crackés ...



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:() 
2018-01-03 17:38 - 2018-01-03 17:38 - 000000000 ____D C:\WINDOWS\system32\winrs
2018-01-02 12:58 - 2018-01-02 12:58 - 005189808 _____ (Enigma Software Group USA, LLC.) C:\Users\Dydy2\Downloads\SpyHunter-Installer.exe
2018-01-02 12:54 - 2018-01-02 12:55 - 000000000 ____D C:\Users\Dydy2\Documents\RegRun2
 Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

0
Dylan
Modifié le 5 janv. 2018 à 00:14
Bon j'ai fini le scan, il a pris longtemps, ducoup je l'ai laisser durant la nuit, mais ce pu**** de virus c'est encore allumé... alors je sais pas combien de temps qu'il a bouffer bcq de mon cpu :/ bref j'ai 3 disques ducoup l'analyse a durer quelque heure

MDP : nod32
https://pjjoint.malekal.com/files.php?id=20180104_g6l7t14j11m6

Il y a beaucoup de cheat / hack, il y a aussi mon frere qui utilise l'ordi et il télécharge toujours de la m*** ...
0
Dylan_999 Messages postés 12 Date d'inscription jeudi 4 janvier 2018 Statut Membre Dernière intervention 7 janvier 2018
4 janv. 2018 à 11:39
bon je me suis créer un compte car j'ai l'impréssiont que mes messages ne s'envoyais plus, bref durant le scan nod32 qui a durer assez longtemps car j'ai 3 disque dur, le virus c'est encore allumé..

ici le scan, beaucoup de cheats

https://pjjoint.malekal.com/files.php?id=20180104_g6l7t14j11m6
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > Dylan_999 Messages postés 12 Date d'inscription jeudi 4 janvier 2018 Statut Membre Dernière intervention 7 janvier 2018
Modifié le 6 janv. 2018 à 14:52
30 cracks détectés avec des trojans ...

En plus, tu en avais un autre Trojan BitCoin sur une précédente installation de Windows :
C:\Windows.old\Users\Dydy2\AppData\Roaming\nhm2\bin\xmr-stak-cpu\xmr-stak-cpu.exe a variant of Win64/BitCoinMiner.CF potentially unsafe application cleaned by deleting
0
Dylan_999 Messages postés 12 Date d'inscription jeudi 4 janvier 2018 Statut Membre Dernière intervention 7 janvier 2018
4 janv. 2018 à 11:57
Ah oui tres possible, j'ai récemment mis un ancien disque dur d'un mon ancien pc quand j'étais jeune, bref j'ai tout supprimer les menace, je vais voir si il se relance.
0
Dylan_999 Messages postés 12 Date d'inscription jeudi 4 janvier 2018 Statut Membre Dernière intervention 7 janvier 2018 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
4 janv. 2018 à 13:50
nop sa recommence
0