Sujet Précédent Sujet Suivant

Win64/CoinMiner : CPU à 100% Miner en vue

Résolu/Fermé
Jo34 - 9 avril 2015 à 20:08
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 avril 2015 à 09:26
Bonjour,
J'ai un problème depuis quelques jours, j'ai mon cpu à 100%.
J'ai isolé un processus svchost.exe mais n'ayant pas de services associés (moniteur de ressources)
Ce fichier apparaît dans le répertoire Temp (bizarre car le vrai svchost.exe est dans un rép système normalement...).
Diagnostiques effectués :
scan avec Clamwin antivirus : fichiers infectés avec trojan (jusque là rien d'anormal vu mon mode d'acquisition de certains softs et games)
cependant deux fichiers m'alertent plus que de normal car concernant deux derniers téléchargement effectués, et auparavant les autres trojans étaient présents et pas de cpu à 100%.
scan avec MBAM : il me détecte le fichier svchost.exe du répertoire TEMP, mais je le met en quarantine et le delete via MBAM, mais il revient à chaque démarrage.
scan avec ADW Cleaner : il ne me détecte aucune erreur (en mode normal ou sans échec).
Petit tour dans le répertoire TEMP où je trouve mes fichiers, mais où je trouve aussi tout un tas de fichiers logs avec ce genre d'informations à l'intérieur :
19:47:59:547 26c
19:47:59:547 26c ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
19:47:59:547 26c º Claymore CryptoNote GPU Miner v9.2 Beta º
19:47:59:547 26c ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
19:47:59:749 26c AMD platform not found

et des logs de connexion à un serveur pool.cryptmonero.com:1001

D'où ma suspicion de miner !!

Ma question est simple, comment me débarrasser définitivement de ce miner sans avoir à formater si possible.
J'ai tenté toutes les désinfections possibles en mode sans échec avec les outils évoqués ci-dessus.Pour le moment ma seule solution est de suspendre le processus svchost.exe dans le moniteur de ressource afin de faire redescendre le cpu du pc ( je kiffe pas trop entendre mon ventilo à fond :)

Merci d'avance aux réponses éclairées, je suis pas un newbie :)

9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
9 avril 2015 à 20:09
Salut,


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Réponse 2 / 9
Jo34
9 avril 2015 à 20:20
Dois je lancer le scan en réactivant le processus svchost.exe que j'ai suspendu ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
9 avril 2015 à 20:28
oui.
0
Réponse 3 / 9
Jo34
9 avril 2015 à 20:28
http://pjjoint.malekal.com/files.php?id=20150409_q6j12b9p6q6
Addition.txt
http://pjjoint.malekal.com/files.php?id=20150409_j12z8c7o13s7
FRST.txt
http://pjjoint.malekal.com/files.php?id=20150409_h7p14t10k9u10
Shortcut.txt

Bonne réception
0
Réponse 4 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
9 avril 2015 à 20:36
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
C:\Windows\Temp\svchost.exe
C:\ProgramData\Origin\update.vbe
EmptyTemp:

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Jo34
9 avril 2015 à 22:29
rapport fixlog de FRST :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by XXX at 2015-04-09 22:21:06 Run:1
Running from C:\Users\XXX\Desktop
Loaded Profiles: XXX (Available profiles: XXX)
Boot Mode: Normal
==============================================

Content of fixlist:

Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
C:\Windows\Temp\svchost.exe
C:\ProgramData\Origin\update.vbe
EmptyTemp:


"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
C:\Windows\System32\Tasks\Origin => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Origin" => Key deleted successfully.
C:\Windows\Temp\svchost.exe => Moved successfully.
C:\ProgramData\Origin\update.vbe => Moved successfully.
EmptyTemp: => Removed 150 MB temporary data.


The system needed a reboot.

End of Fixlog 22:21:13

0
Réponse 6 / 9
Jo34
10 avril 2015 à 08:06
Rapport ESET Scan Online :
C:\AdwCleaner\Quarantine\C\ProgramData\eionnannjkiillcpfclkpglehkapifmi\vdZazd3.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
C:\FRST\Quarantine\C\ProgramData\Origin\update.vbe.xBAD VBS/Kryptik.DC trojan cleaned by deleting - quarantined
C:\FRST\Quarantine\C\Windows\Temp\svchost.exe.xBAD Win64/CoinMiner.J trojan cleaned by deleting - quarantined
0
Réponse 7 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
10 avril 2015 à 08:41
y a du mieux ?
0
Réponse 8 / 9
Jo34
10 avril 2015 à 09:25
Carrément CPU avec activité normale depuis !!
Un grand merci pour l'efficacité, la rapidité de résolution ;)
merci Malekal_morte :)
0
Réponse 9 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
10 avril 2015 à 09:26
=)

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0

Discussions similaires

Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Trojan coinminer ! Pz
Ikaru_2565 -
bazfile -

8 réponses
Win32 PUP et Win64 PUP
Bleach0723 -
Utilisateur anonyme -

41 réponses
Win64:Evo-gen verification des liens
Cotton_Jaune88 -
Cotton_Jaune88 -

6 réponses