Trojan.BitcoinMiner : Driver_host.exe *32 lightcoin
Résolu
bison70
Messages postés
9
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour a tous,
je viens demander de l'aide après avoir remarqué un processus appelé driver_host.exe *32 qui utilise en permanence 90 a 100% de mon UC . Quand j'ouvres ce fichier j'ai une commande qui s'exécutes et qui me dis :
"Client will start 4 miner threads "
"Could not retrieve work from RPC server"
apres quelques lignes j'ai :
"No blocks are being hashed right now. This can happen if the application is starting up, you supplied incorrect parameters, or there is a communication error connecting to the RPC serveur"
Je suis allé voir sur le net et je n'ai rien trouvé directement sur le processus appelé driver_host.exe *32 par contre j'ai cru comprendre que cela servait a miner des LIGHTCOIN. En bref, je penses que ça a été installé a mon insu, l'antivirus rien ni fais je n'arrives pas a le supprimer ni a l'arrêté .
HEEEEEEELP
Merci d'avance .
je viens demander de l'aide après avoir remarqué un processus appelé driver_host.exe *32 qui utilise en permanence 90 a 100% de mon UC . Quand j'ouvres ce fichier j'ai une commande qui s'exécutes et qui me dis :
"Client will start 4 miner threads "
"Could not retrieve work from RPC server"
apres quelques lignes j'ai :
"No blocks are being hashed right now. This can happen if the application is starting up, you supplied incorrect parameters, or there is a communication error connecting to the RPC serveur"
Je suis allé voir sur le net et je n'ai rien trouvé directement sur le processus appelé driver_host.exe *32 par contre j'ai cru comprendre que cela servait a miner des LIGHTCOIN. En bref, je penses que ça a été installé a mon insu, l'antivirus rien ni fais je n'arrives pas a le supprimer ni a l'arrêté .
HEEEEEEELP
Merci d'avance .
6 réponses
Salut,
Surement un Trojan.Bitcoin :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Surement un Trojan.Bitcoin :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu peux envoyer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dx9.exe sur http://upload.malekal.com
ou tu le zips et envoye par mail à spamhere-@wanadoo.fr
et essaye ça :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2013-05-01 19:39 - 2013-05-01 19:39 - 10708868 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dx9.exe
2015-04-01 16:11 - 2015-04-11 15:38 - 00294912 _____ () C:\Users\Moi\AppData\Local\Temp\afolder\driver_host.exe
C:\Users\Moi\AppData\Local\Temp\afolder
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ou tu le zips et envoye par mail à spamhere-@wanadoo.fr
et essaye ça :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2013-05-01 19:39 - 2013-05-01 19:39 - 10708868 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dx9.exe
2015-04-01 16:11 - 2015-04-11 15:38 - 00294912 _____ () C:\Users\Moi\AppData\Local\Temp\afolder\driver_host.exe
C:\Users\Moi\AppData\Local\Temp\afolder
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
=)
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Ce sont des logiciel qui s'installe discrètement et leurs génère de l'argent
Avez vous installer un logiciel dernièrement? avez vous fait une mise a jour (de Utorrent?) ?.
Essayer : https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/
Ses un petit programmes gratuit qui analyse votre ordinateur et efface tout ce qui a de mauvais dans le navigateur, fichier caché,...
Il suffit d'un petit redémarrage
-------------------------------------------------------------------------------
Il faut savoir que Utorrent a fait une mise a jour (BitCoins) qui utilise votre processeur et le fait ralentir.
Le seul moyen est de passer par le registre
Avez vous installer un logiciel dernièrement? avez vous fait une mise a jour (de Utorrent?) ?.
Essayer : https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/
Ses un petit programmes gratuit qui analyse votre ordinateur et efface tout ce qui a de mauvais dans le navigateur, fichier caché,...
Il suffit d'un petit redémarrage
-------------------------------------------------------------------------------
Il faut savoir que Utorrent a fait une mise a jour (BitCoins) qui utilise votre processeur et le fait ralentir.
Le seul moyen est de passer par le registre
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Si tu peux envoyer C:\Program Files (x86)\WebScript\nttdev.exe sur http://upload.malekal.com
ou en zippant par mail à spamhere-@wanadoo.fr
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [Adobe] => C:\Program Files (x86)\WebScript\nttdev.exe [5283840 2013-01-27] (WindowsTTLNetwork)
CHR HKLM-x32\...\Chrome\Extension: [onedflimjholpihbamaaamjoedamglbg] - C:\ProgramData\Zoomex\onedflimjholpihbamaaamjoedamglbg.crx [Not Found]
2015-03-16 11:52 - 2013-04-30 17:26 - 00000000 ____D () C:\ProgramData\BBrowsee22ssavve
2015-03-22 15:15 - 2013-02-14 14:27 - 00000000 ____D () C:\Program Files (x86)\WebScript
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
ou en zippant par mail à spamhere-@wanadoo.fr
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [Adobe] => C:\Program Files (x86)\WebScript\nttdev.exe [5283840 2013-01-27] (WindowsTTLNetwork)
CHR HKLM-x32\...\Chrome\Extension: [onedflimjholpihbamaaamjoedamglbg] - C:\ProgramData\Zoomex\onedflimjholpihbamaaamjoedamglbg.crx [Not Found]
2015-03-16 11:52 - 2013-04-30 17:26 - 00000000 ____D () C:\ProgramData\BBrowsee22ssavve
2015-03-22 15:15 - 2013-02-14 14:27 - 00000000 ____D () C:\Program Files (x86)\WebScript
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Désolé je n'ai pas pu envoyer nttdev.exe ni sur http://upload.malekal.com ni sur l'adresse mail, il été identifié en tant que virus.
J'ai effectué le fix et ce programme a été supprimer, mais mon problème avec le processus driver_host n'a pas bougé.
Le programme se trouve dans C:\Users\Moi\AppData\Local\Temp\afolder\driver_host si ça peut aider.
Merci pour ton temps.
J'ai effectué le fix et ce programme a été supprimer, mais mon problème avec le processus driver_host n'a pas bougé.
Le programme se trouve dans C:\Users\Moi\AppData\Local\Temp\afolder\driver_host si ça peut aider.
Merci pour ton temps.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
C:\Users\Moi\AppData\Local\Temp\afolder\
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
C:\Users\Moi\AppData\Local\Temp\afolder\
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Le fix n'a pas marché mais antimalware a bien repéré le programme comme étant un trojan:bitcoinminer
Voici le rapport : https://pjjoint.malekal.com/files.php?id=20150412_v12j12b15h15s13
Voici le rapport : https://pjjoint.malekal.com/files.php?id=20150412_v12j12b15h15s13
https://pjjoint.malekal.com/files.php?id=20150411_o12y7b9r7s10
https://pjjoint.malekal.com/files.php?id=20150411_l11j12b13y11m14
https://pjjoint.malekal.com/files.php?id=20150411_h11s5r11p12b8