Charge cpu à 100% - Riskware.BitcoinMiner [Résolu/Fermé]

Signaler
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
-
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
-
Bonjour,
Depuis aujourd'hui la charge de mon CPU est à 100% même en idle. Lorsque j'ouvre process explorer pour débusquer le fautif, la charge retombe aussitôt avant d'avoir eu le temps de repérer l'em....deur...une bonne âme serait elle disponible pour m'aider à éjecter cet intrus ?
PS: j'ai déjà passé un coup d'adwclener et de malwarebytes sans résultat.
Merci d'avance.


15 réponses

Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
up...

Bonjour . Peut être voir ce post ---> https://forums.commentcamarche.net/forum/affich-21800853-charge-du-cpu-a-100 . Cordialement
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
Salut,

Quel processus prend 100% de la CPU ?
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
Salut

justement c'est là le problème ! Quand j'ouvre Process Explorer la charge redescend aussitôt à une valeur normale, le processus fautif n'est donc plus présent dans la liste ! Me fais je bien comprendre ? C'est pas évident à expliquer...
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
comment tu sais que la CPU est à 100% ?

C'est core temp qui me le dit.
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
Renomme le fichier process explorer, voir si ça change quelque chose.

~~



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
Euh...bizarre, je viens de relancer mon PC après que ma fille l'ait stoppé et tout est normal ?!...enfin merci quand même, si ça se reproduit j'utiliserai ta méthode.
A+ et allez les Bleus !
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
ok :)
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
Bon ben il est revenu...Je l'ai identifié en renommant processxp : connost.exe
Je vais entamer ta méthode. A+
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
si tu n'as pas fait d'erreur dans le nom, c'est probablement un malware.
Surement un client Bitcoin.
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
Et ta méthode plus haut est valable pour cette saleté ?
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
oui fais le scan OTL voir ce qui tourne.
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:



:OTL
O4 - HKU\S-1-5-21-2614484683-449118184-3272913345-1000..\Run: [ATLauncher] C:\.Trash-100\ActivateDesktop.exe ()
[2014/06/18 10:38:20 | 000,000,000 | -H-D | C] -- C:\.Trash-100

* poste le rapport ici



Redémarre l'ordinateur


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2614484683-449118184-3272913345-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ATLauncher deleted successfully.
C:\.Trash-100\ActivateDesktop.exe moved successfully.
C:\.Trash-100\m_system folder moved successfully.
C:\.Trash-100\db folder moved successfully.
C:\.Trash-100 folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06212014_195508
Messages postés
111
Date d'inscription
jeudi 14 décembre 2006
Statut
Membre
Dernière intervention
8 février 2020
3
ça m'a l'air OK pour l'instant ! Merci de t'être occupé de mon cas !
J'ai essayé d'envoyer le fichier MovedFiles mais ça m'indique fichier invalide...
Je dois désactiver mon antivirus ?
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
tu peux me l'envoyer par mail sur spamhere-@wanadoo.fr stp.
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
Merci reçu, c'est bien, sans surprise un client Bitcoin.
Les détections :
https://www.virustotal.com/gui/file/becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa

SHA256: becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa
Nom du fichier : connost.exe
Ratio de détection : 11 / 54
Date d'analyse : 2014-06-21 19:47:39 UTC (il y a 0 minute)

Antiy-AVL Trojan/Win32.TSGeneric 20140619
Avast Win64:Rootkit-gen [Rtk] 20140621
Baidu-International Hacktool.Win64.BitCoinMiner.bU 20140621
ESET-NOD32 a variant of Win64/BitCoinMiner.U 20140621
Malwarebytes Riskware.BitcoinMiner 20140621
McAfee Artemis!1F596BDE55B0 20140621
McAfee-GW-Edition Artemis!1F596BDE55B0 20140621
Qihoo-360 Win32/RootKit.Rootkit.7e5 20140621
Symantec Trojan.Gen.2 20140621
TrendMicro-HouseCall TROJ_GEN.R02KH05FK14 20140621
VIPRE Win32.Malware!Drop 20140621



Autre fichier :
https://www.virustotal.com/gui/file/a75ae7cd3cd3c7b5404b7f947961e364fbd82867d0f5419ab710132fc34df2ef

vais ballouder aux antivirus pour améliorer les détections, merci :)

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

C'est moi qui te remercies !
Je peux supprimer le dossier C:\_OTL ?
Messages postés
180107
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 septembre 2020
22 170
oui :)