Win64/CoinMiner : CPU à 100% Miner en vue [Résolu/Fermé]

- - Dernière réponse : Malekal_morte-
Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
- 10 avril 2015 à 09:26
Bonjour,
J'ai un problème depuis quelques jours, j'ai mon cpu à 100%.
J'ai isolé un processus svchost.exe mais n'ayant pas de services associés (moniteur de ressources)
Ce fichier apparaît dans le répertoire Temp (bizarre car le vrai svchost.exe est dans un rép système normalement...).
Diagnostiques effectués :
scan avec Clamwin antivirus : fichiers infectés avec trojan (jusque là rien d'anormal vu mon mode d'acquisition de certains softs et games)
cependant deux fichiers m'alertent plus que de normal car concernant deux derniers téléchargement effectués, et auparavant les autres trojans étaient présents et pas de cpu à 100%.
scan avec MBAM : il me détecte le fichier svchost.exe du répertoire TEMP, mais je le met en quarantine et le delete via MBAM, mais il revient à chaque démarrage.
scan avec ADW Cleaner : il ne me détecte aucune erreur (en mode normal ou sans échec).
Petit tour dans le répertoire TEMP où je trouve mes fichiers, mais où je trouve aussi tout un tas de fichiers logs avec ce genre d'informations à l'intérieur :
19:47:59:547 26c
19:47:59:547 26c ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
19:47:59:547 26c º Claymore CryptoNote GPU Miner v9.2 Beta º
19:47:59:547 26c ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
19:47:59:749 26c AMD platform not found

et des logs de connexion à un serveur pool.cryptmonero.com:1001

D'où ma suspicion de miner !!

Ma question est simple, comment me débarrasser définitivement de ce miner sans avoir à formater si possible.
J'ai tenté toutes les désinfections possibles en mode sans échec avec les outils évoqués ci-dessus.Pour le moment ma seule solution est de suspendre le processus svchost.exe dans le moniteur de ressource afin de faire redescendre le cpu du pc ( je kiffe pas trop entendre mon ventilo à fond :)

Merci d'avance aux réponses éclairées, je suis pas un newbie :)

Afficher la suite 

9 réponses

Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
18049
0
Merci
Salut,


Suis ce tutoriel FRST: http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Merci
Dois je lancer le scan en réactivant le processus svchost.exe que j'ai suspendu ?
Malekal_morte-
Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
18049 -
oui.
0
Merci
http://pjjoint.malekal.com/files.php?id=20150409_q6j12b9p6q6
Addition.txt
http://pjjoint.malekal.com/files.php?id=20150409_j12z8c7o13s7
FRST.txt
http://pjjoint.malekal.com/files.php?id=20150409_h7p14t10k9u10
Shortcut.txt

Bonne réception
Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
18049
0
Merci
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
C:\Windows\Temp\svchost.exe
C:\ProgramData\Origin\update.vbe
EmptyTemp:

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais un scan en ligne NOD32 : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32
Enregistre le rapport et donne le ici.


0
Merci
rapport fixlog de FRST :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by XXX at 2015-04-09 22:21:06 Run:1
Running from C:\Users\XXX\Desktop
Loaded Profiles: XXX (Available profiles: XXX)
Boot Mode: Normal
==============================================

Content of fixlist:

Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
C:\Windows\Temp\svchost.exe
C:\ProgramData\Origin\update.vbe
EmptyTemp:


"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
C:\Windows\System32\Tasks\Origin => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Origin" => Key deleted successfully.
C:\Windows\Temp\svchost.exe => Moved successfully.
C:\ProgramData\Origin\update.vbe => Moved successfully.
EmptyTemp: => Removed 150 MB temporary data.


The system needed a reboot.

End of Fixlog 22:21:13

0
Merci
Rapport ESET Scan Online :
C:\AdwCleaner\Quarantine\C\ProgramData\eionnannjkiillcpfclkpglehkapifmi\vdZazd3.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\FRST\Quarantine\C\ProgramData\Origin\update.vbe.xBAD VBS/Kryptik.DC trojan cleaned by deleting - quarantined
C:\FRST\Quarantine\C\Windows\Temp\svchost.exe.xBAD Win64/CoinMiner.J trojan cleaned by deleting - quarantined
Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
18049
0
Merci
y a du mieux ?
0
Merci
Carrément CPU avec activité normale depuis !!
Un grand merci pour l'efficacité, la rapidité de résolution ;)
merci Malekal_morte :)
Messages postés
171956
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 novembre 2019
18049