Menu

Virus "cvhost" qui mine du bitcoin sur mon pc HELP !

Dylan - 3 janv. 2018 à 13:52 - Dernière réponse : Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention
- 7 janv. 2018 à 13:07
Bonjour,

J'ai un virus sur mon ordi au nom de "cvhost" Ce virus se situe dans le system32 et il mine du bitcoin sur mon ordi, comment je sais ça? parce que j'ai ouvert l'emplacement du virus et trouver un fichier .txt en donnant des infos à propos de "pool" et d'adresse bitcoin, j'ai déjà essayé de supprimer le fichier mais il revient toujours, a chaque 1 heure / 2. Comment je peux m'en débarrasser ?

et non c'est pas svhost
Afficher la suite 

Votre réponse

29 réponses

Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention - 3 janv. 2018 à 20:27
0
Merci
Salut,

Fais une analyse FRST :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

MDP : cvhost

https://pjjoint.malekal.com/files.php?id=FRST_20180103_g15c11q14i13h13
https://pjjoint.malekal.com/files.php?id=20180103_l14r7t11i13d14
https://pjjoint.malekal.com/files.php?id=20180103_t13g14k5z14z12
Commenter la réponse de Malekal_morte-
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention - 3 janv. 2018 à 22:59
0
Merci
Pas infecté.
J'ai supprimer quelqun fichier il y a 2 heures environ, peut etre que c'étais la source du virus, depuis je n'ai plus eu de probleme, a voir
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention > Dylan - 3 janv. 2018 à 23:26
Pour moi c'est bon en tout cas =)
Non sa vient just de recommencer, cette fois si je le supprime pas, comment je peux pour le envoyer?

Ici le .txt qui est dans le dossier du virus

"cpu_threads_conf" :
[
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 0 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 1 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 2 },
{ "low_power_mode" : false, "no_prefetch" : true, "affine_to_cpu" : 3 },
],
"use_slow_memory" : "warn",
"nicehash_nonce" : false,
"aes_override" : null,
"use_tls" : false,
"tls_secure_algo" : true,
"tls_fingerprint" : "",
"pool_address" : "pool.supportxmr.com:80",
"wallet_address" : "43jRngiH5giMCM9Co4fKxsbsM2uA2kDqGSzi7PX2wzYRdmAo63zz7gYcVc477iWDjr26bTSHeSSuoGVFb1MrmMzTNm6DcK9",
"pool_password" : "DESKTOP-VLSK944",
"call_timeout" : 10,
"retry_time" : 10,
"giveup_limit" : 0,
"verbose_level" : 3,
"h_print_time" : 60,
"daemon_mode" : false,
"output_file" : "",
"httpd_port" : 0,
"prefer_ipv4" : true,
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention - 3 janv. 2018 à 23:48
il se trouve dans quel dossier ce fichier ?
Tu peux refaire un scan FRST et donner les rapports ?
Tu peux aussi donner une capture d'écran de Process Explorer ?
Pour le screenshot je suis pas sur de comprendre, mais j'ai pris un image du dossier : https://gyazo.com/1933c1ad9ef2d84c6b870f5deab5a43c

Meme MDP pour le scan FRST
https://pjjoint.malekal.com/files.php?id=FRST_20180103_g11h5k15c15y12
https://pjjoint.malekal.com/files.php?id=20180103_k5b14k8i5l12
https://pjjoint.malekal.com/files.php?id=20180103_s8d13c11i13x7
Commenter la réponse de Malekal_morte-
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention - 4 janv. 2018 à 00:01
0
Merci
on le voit sur FRST... du coup t'as dû faire qq chose qui l'a réinstallé.
Après t'as téléchargé plein de trucs, dont j'ai l'impression des logiciels crackés ...



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:()
2018-01-03 17:38 - 2018-01-03 17:38 - 000000000 ____D C:\WINDOWS\system32\winrs
2018-01-02 12:58 - 2018-01-02 12:58 - 005189808 _____ (Enigma Software Group USA, LLC.) C:\Users\Dydy2\Downloads\SpyHunter-Installer.exe
2018-01-02 12:54 - 2018-01-02 12:55 - 000000000 ____D C:\Users\Dydy2\Documents\RegRun2
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention > Dylan_999 12 Messages postés jeudi 4 janvier 2018Date d'inscription 7 janvier 2018 Dernière intervention - 6 janv. 2018 à 12:29
Prends bien le bas de la liste de Process Explorer aussi.
Dylan_999 12 Messages postés jeudi 4 janvier 2018Date d'inscription 7 janvier 2018 Dernière intervention - 6 janv. 2018 à 14:07
Bon pour le Process Explorer je sais pas si c'étais un program a télécharger mais voila la capture d'écran https://gyazo.com/977e876d013a349a9513dd8d1a26fce6
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention > Dylan_999 12 Messages postés jeudi 4 janvier 2018Date d'inscription 7 janvier 2018 Dernière intervention - 6 janv. 2018 à 14:54
ouaip il tourne.
Sur Process Explorer, tu peux faire un clic droit suspend dessus.
Ca va le mettre en pause et libérer la CPU.
Ou tu le kills et supprime le dossier C:\WINDOWS\system32\winrs

J'ai re-regardé les rapports FRST et rien d'anormal.
Donc comme ça par forum interposé, je vois pas ce qu'il le remet.
NOD32 ne trouve rien non plus.

Eventuellement, installe Kaspersky Free : https://www.malekal.com/kaspersky-free/
Des fois qu'il trouve quelque chose.

Sinon tu vas être obligé de réinitialiser Windows 10 : Comment réinitialiser Windows 10.

Ce serait bien d'arrêter les téléchargements de cracks.
Dylan_999 12 Messages postés jeudi 4 janvier 2018Date d'inscription 7 janvier 2018 Dernière intervention - 7 janv. 2018 à 13:05
Malekal_morte- 152526 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 juin 2018 Dernière intervention > Dylan_999 12 Messages postés jeudi 4 janvier 2018Date d'inscription 7 janvier 2018 Dernière intervention - 7 janv. 2018 à 13:07
au moins il le détecte.
il restait encore un crack \o/
Commenter la réponse de Malekal_morte-