charge cpu à 100% - Riskware.BitcoinMiner Résolu/Fermé

Question

Bonjour, 
Depuis aujourd'hui la charge de mon CPU est à 100% même en idle. Lorsque j'ouvre process explorer pour débusquer le fautif, la charge retombe aussitôt avant d'avoir eu le temps de repérer l'em....deur...une bonne âme serait elle disponible pour m'aider à éjecter cet intrus ?
PS: j'ai déjà passé un coup d'adwclener et de malwarebytes sans résultat.
Merci d'avance.


Configuration: Windows 7 / Chrome 35.0.1916.153

Billythemountain · Answer

up...

Utilisateur anonyme · Answer

Bonjour . Peut être voir ce post ---> https://forums.commentcamarche.net/forum/affich-21800853-charge-du-cpu-a-100 . Cordialement

Malekal_morte- · Answer

Salut,

Quel processus prend 100% de la CPU ?

Billythemountain · Answer

Salut

justement c'est là le problème ! Quand j'ouvre Process Explorer la charge redescend aussitôt à une valeur normale, le processus fautif n'est donc plus présent dans la liste ! Me fais je bien comprendre ? C'est pas évident à expliquer...

billythemountain · Answer

C'est core temp qui me le dit.

Malekal_morte- · Answer

Renomme le fichier process explorer, voir si ça change quelque chose.

~~



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    


* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Billythemountain · Answer

Euh...bizarre, je viens de relancer mon PC après que ma fille l'ait stoppé et tout est normal ?!...enfin merci quand même, si ça se reproduit j'utiliserai ta méthode.
A+ et allez les Bleus !

Billythemountain · Answer

Bon ben il est revenu...Je l'ai identifié en renommant processxp : connost.exe
Je vais entamer ta méthode. A+

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  



:OTL
O4 - HKU\S-1-5-21-2614484683-449118184-3272913345-1000..\Run: [ATLauncher] C:\.Trash-100\ActivateDesktop.exe ()
[2014/06/18 10:38:20 | 000,000,000 | -H-D | C] -- C:\.Trash-100

* poste le rapport ici 



Redémarre l'ordinateur


~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Billythemountain · Answer

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2614484683-449118184-3272913345-1000\Software\Microsoft\Windows\CurrentVersion\Run\ATLauncher deleted successfully.
C:\.Trash-100\ActivateDesktop.exe moved successfully.
C:\.Trash-100\m_system folder moved successfully.
C:\.Trash-100\db folder moved successfully.
C:\.Trash-100 folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06212014_195508

Billythemountain · Answer

ça m'a l'air OK pour l'instant ! Merci de t'être occupé de mon cas !
J'ai essayé  d'envoyer le fichier MovedFiles mais ça m'indique fichier invalide...
Je dois désactiver mon antivirus ?

Malekal_morte- · Answer

tu peux me l'envoyer par mail sur spamhere-@wanadoo.fr stp.

Malekal_morte- · Answer

Merci reçu, c'est bien, sans surprise un client Bitcoin.
Les détections :
https://www.virustotal.com/gui/file/becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa

SHA256: 	becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa
Nom du fichier : 	connost.exe
Ratio de détection : 	11 / 54
Date d'analyse : 	2014-06-21 19:47:39 UTC (il y a 0 minute) 

Antiy-AVL 	Trojan/Win32.TSGeneric 	20140619
Avast 	Win64:Rootkit-gen [Rtk] 	20140621
Baidu-International 	Hacktool.Win64.BitCoinMiner.bU 	20140621
ESET-NOD32 	a variant of Win64/BitCoinMiner.U 	20140621
Malwarebytes 	Riskware.BitcoinMiner 	20140621
McAfee 	Artemis!1F596BDE55B0 	20140621
McAfee-GW-Edition 	Artemis!1F596BDE55B0 	20140621
Qihoo-360 	Win32/RootKit.Rootkit.7e5 	20140621
Symantec 	Trojan.Gen.2 	20140621
TrendMicro-HouseCall 	TROJ_GEN.R02KH05FK14 	20140621
VIPRE 	Win32.Malware!Drop 	20140621 


Autre fichier :
https://www.virustotal.com/gui/file/a75ae7cd3cd3c7b5404b7f947961e364fbd82867d0f5419ab710132fc34df2ef

vais ballouder aux antivirus pour améliorer les détections, merci :) 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

billythemountain · Answer

C'est moi qui te remercies !
Je peux supprimer le dossier C:\_OTL ?

Malekal_morte- · Answer

oui :)

Charge cpu à 100% - Riskware.BitcoinMiner

15 réponses