Win64/CoinMiner : CPU à 100% Miner en vue

Résolu
Jo34 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai un problème depuis quelques jours, j'ai mon cpu à 100%.
J'ai isolé un processus svchost.exe mais n'ayant pas de services associés (moniteur de ressources)
Ce fichier apparaît dans le répertoire Temp (bizarre car le vrai svchost.exe est dans un rép système normalement...).
Diagnostiques effectués :
scan avec Clamwin antivirus : fichiers infectés avec trojan (jusque là rien d'anormal vu mon mode d'acquisition de certains softs et games)
cependant deux fichiers m'alertent plus que de normal car concernant deux derniers téléchargement effectués, et auparavant les autres trojans étaient présents et pas de cpu à 100%.
scan avec MBAM : il me détecte le fichier svchost.exe du répertoire TEMP, mais je le met en quarantine et le delete via MBAM, mais il revient à chaque démarrage.
scan avec ADW Cleaner : il ne me détecte aucune erreur (en mode normal ou sans échec).
Petit tour dans le répertoire TEMP où je trouve mes fichiers, mais où je trouve aussi tout un tas de fichiers logs avec ce genre d'informations à l'intérieur :
19:47:59:547 26c
19:47:59:547 26c ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
19:47:59:547 26c º Claymore CryptoNote GPU Miner v9.2 Beta º
19:47:59:547 26c ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
19:47:59:749 26c AMD platform not found

et des logs de connexion à un serveur pool.cryptmonero.com:1001

D'où ma suspicion de miner !!

Ma question est simple, comment me débarrasser définitivement de ce miner sans avoir à formater si possible.
J'ai tenté toutes les désinfections possibles en mode sans échec avec les outils évoqués ci-dessus.Pour le moment ma seule solution est de suspendre le processus svchost.exe dans le moniteur de ressource afin de faire redescendre le cpu du pc ( je kiffe pas trop entendre mon ventilo à fond :)

Merci d'avance aux réponses éclairées, je suis pas un newbie :)

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Jo34
     
    Dois je lancer le scan en réactivant le processus svchost.exe que j'ai suspendu ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui.
      0
  3. Jo34
     
    http://pjjoint.malekal.com/files.php?id=20150409_q6j12b9p6q6
    Addition.txt
    http://pjjoint.malekal.com/files.php?id=20150409_j12z8c7o13s7
    FRST.txt
    http://pjjoint.malekal.com/files.php?id=20150409_h7p14t10k9u10
    Shortcut.txt

    Bonne réception
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
    C:\Windows\Temp\svchost.exe
    C:\ProgramData\Origin\update.vbe
    EmptyTemp:

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
    Enregistre le rapport et donne le ici.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Jo34
     
    rapport fixlog de FRST :
    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
    Ran by XXX at 2015-04-09 22:21:06 Run:1
    Running from C:\Users\XXX\Desktop
    Loaded Profiles: XXX (Available profiles: XXX)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    Task: {407319A9-D34E-4B3F-A421-8EFEF7009CEC} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-17] () <==== ATTENTION
    C:\Windows\Temp\svchost.exe
    C:\ProgramData\Origin\update.vbe
    EmptyTemp:

    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{407319A9-D34E-4B3F-A421-8EFEF7009CEC}" => Key deleted successfully.
    C:\Windows\System32\Tasks\Origin => Moved successfully.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Origin" => Key deleted successfully.
    C:\Windows\Temp\svchost.exe => Moved successfully.
    C:\ProgramData\Origin\update.vbe => Moved successfully.
    EmptyTemp: => Removed 150 MB temporary data.

    The system needed a reboot.

    End of Fixlog 22:21:13

    0
  7. Jo34
     
    Rapport ESET Scan Online :
    C:\AdwCleaner\Quarantine\C\ProgramData\eionnannjkiillcpfclkpglehkapifmi\vdZazd3.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Administrateur\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\DJOH\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\HomeGroupUser$\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\content.js.vir JS/Adware.MultiPlug.B application cleaned by deleting - quarantined
    C:\AdwCleaner\Quarantine\C\Users\Invité\AppData\Local\torch\User Data\Default\Extensions\jiegclocidbjobokemmgafckbnhmlkoa\3.7\lx5Enq0WP4.js.vir JS/Kryptik.ATB trojan cleaned by deleting - quarantined
    C:\FRST\Quarantine\C\ProgramData\Origin\update.vbe.xBAD VBS/Kryptik.DC trojan cleaned by deleting - quarantined
    C:\FRST\Quarantine\C\Windows\Temp\svchost.exe.xBAD Win64/CoinMiner.J trojan cleaned by deleting - quarantined
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    y a du mieux ?
    0
  9. Jo34
     
    Carrément CPU avec activité normale depuis !!
    Un grand merci pour l'efficacité, la rapidité de résolution ;)
    merci Malekal_morte :)
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    =)

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0