Trojan et Trojan.Miner
Résolu
dkool2
Messages postés
112
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour, depuis maintenant quelque jour il y a winsvchost.exe qui ce lance que j'arrête pas de désactiver car il utilise a 60% mon processeur et 2,1go de ram.. je ne connait pas sont utiliter. après chaque redémarrage il se relance même si je supprime sont dossier...
si vous pouvez m'aidez à le supprimer ou bloquer.
Merci de vos réponse.
Cordialement.
Dkool2
si vous pouvez m'aidez à le supprimer ou bloquer.
Merci de vos réponse.
Cordialement.
Dkool2
A voir également:
- Trojan bitcoin miner
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Trojan sms-par google ✓ - Forum Virus
- Csrss.exe trojan - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
6 réponses
Salut,
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
dkool2
Messages postés
112
Date d'inscription
Statut
Membre
Dernière intervention
20
Scan OTL en cours.
Malwarebyte :
https://pjjoint.malekal.com/files.php?read=20131122_n11b7m8v10i10
OTL :
https://pjjoint.malekal.com/files.php?read=20131122_n11i12z8v7b10
Extras :
pas reçu.
https://pjjoint.malekal.com/files.php?read=20131122_n11b7m8v10i10
OTL :
https://pjjoint.malekal.com/files.php?read=20131122_n11i12z8v7b10
Extras :
pas reçu.
ouaip infecté.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\Run: [AdobeUpdate] C:\Users\Blade\AppData\Roaming\Adobex32x\invis.vbs ()
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\RunOnce: [Disk Management Snap-in] C:\Users\Blade\AppData\Roaming\Microsoft\Windows\fixmapi.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\RunOnce: [MFC Managed Interfaces Library] C:\Users\Blade\Videos\mfcmifc.exe ()
[2013/11/22 10:43:43 | 000,000,000 | ---D | C] -- C:\Users\Blade\AppData\Roaming\Adobex32x
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\Run: [AdobeUpdate] C:\Users\Blade\AppData\Roaming\Adobex32x\invis.vbs ()
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\RunOnce: [Disk Management Snap-in] C:\Users\Blade\AppData\Roaming\Microsoft\Windows\fixmapi.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1913052505-2814832052-1018136078-1000..\RunOnce: [MFC Managed Interfaces Library] C:\Users\Blade\Videos\mfcmifc.exe ()
[2013/11/22 10:43:43 | 000,000,000 | ---D | C] -- C:\Users\Blade\AppData\Roaming\Adobex32x
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Pas terrible la détection du Miner ...
https://www.virustotal.com/gui/file/430d0e2ae0a0bd3d8caa69f678fc9a1ff38e6e183f86a06ef6afafd8205115d3
SHA256: 430d0e2ae0a0bd3d8caa69f678fc9a1ff38e6e183f86a06ef6afafd8205115d3
Nom du fichier : winsvchost.exe
Ratio de détection : 2 / 47
Date d'analyse : 2013-11-22 11:35:57 UTC (il y a 0 minute)
Refais un scan OTL et donne le rapport.
https://www.virustotal.com/gui/file/430d0e2ae0a0bd3d8caa69f678fc9a1ff38e6e183f86a06ef6afafd8205115d3
SHA256: 430d0e2ae0a0bd3d8caa69f678fc9a1ff38e6e183f86a06ef6afafd8205115d3
Nom du fichier : winsvchost.exe
Ratio de détection : 2 / 47
Date d'analyse : 2013-11-22 11:35:57 UTC (il y a 0 minute)
Refais un scan OTL et donne le rapport.
Tout s'est recréé, semble-t-il.
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Supprime :
C:\Users\Blade\Videos\mfcmifc.exe
C:\Users\Blade\Videos\napsnap.exe
C:\Users\Blade\AppData\Roaming\Adobex32x
C:\Users\Blade\AppData\Roaming\Microsoft\Windows\fixmapi.exe
C:\Users\Blade\AppData\Roaming\Microsoft\Windows\mountvol.exe
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Supprime :
C:\Users\Blade\Videos\mfcmifc.exe
C:\Users\Blade\Videos\napsnap.exe
C:\Users\Blade\AppData\Roaming\Adobex32x
C:\Users\Blade\AppData\Roaming\Microsoft\Windows\fixmapi.exe
C:\Users\Blade\AppData\Roaming\Microsoft\Windows\mountvol.exe
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Change tes mots de passe WEB (Mail, Facebook etc).
Pour supprimer les clefs qui restent :
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
Pour supprimer les clefs qui restent :
- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes :
O4 - HKCU\..\Run: [AdobeUpdate] wscript C:\Users\Blade\AppData\Roaming\Adobex32x\invis.vbs C:\Users\Blade\AppData\Roaming\Adobex32x\bat.bat
==> clic sur fix checked
voila, change bien tes mots de passe :)
O4 - HKCU\..\Run: [AdobeUpdate] wscript C:\Users\Blade\AppData\Roaming\Adobex32x\invis.vbs C:\Users\Blade\AppData\Roaming\Adobex32x\bat.bat
==> clic sur fix checked
voila, change bien tes mots de passe :)
