Trojan.BitcoinMiner : Driver_host.exe *32 lightcoin

Résolu
bison70 Messages postés 9 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour a tous,
je viens demander de l'aide après avoir remarqué un processus appelé driver_host.exe *32 qui utilise en permanence 90 a 100% de mon UC . Quand j'ouvres ce fichier j'ai une commande qui s'exécutes et qui me dis :
"Client will start 4 miner threads "
"Could not retrieve work from RPC server"
apres quelques lignes j'ai :
"No blocks are being hashed right now. This can happen if the application is starting up, you supplied incorrect parameters, or there is a communication error connecting to the RPC serveur"
Je suis allé voir sur le net et je n'ai rien trouvé directement sur le processus appelé driver_host.exe *32 par contre j'ai cru comprendre que cela servait a miner des LIGHTCOIN. En bref, je penses que ça a été installé a mon insu, l'antivirus rien ni fais je n'arrives pas a le supprimer ni a l'arrêté .
HEEEEEEELP
Merci d'avance .

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Surement un Trojan.Bitcoin :

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux envoyer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dx9.exe sur http://upload.malekal.com
    ou tu le zips et envoye par mail à spamhere-@wanadoo.fr

    et essaye ça :

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    2013-05-01 19:39 - 2013-05-01 19:39 - 10708868 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dx9.exe
    2015-04-01 16:11 - 2015-04-11 15:38 - 00294912 _____ () C:\Users\Moi\AppData\Local\Temp\afolder\driver_host.exe
    C:\Users\Moi\AppData\Local\Temp\afolder

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
    1. bison70 Messages postés 9 Statut Membre
       
      Yeeees c'est bon le virus a été éradiqué, merci encore de ton temps et de ton efficacité, au plaisir.
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    =)

    Voila, c'est terminé, tu peux supprimer les programmes utilisés.

    Quelques conseils :

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    1
  4. Nicolas, Messages postés 86 Statut Membre 3
     
    Ce sont des logiciel qui s'installe discrètement et leurs génère de l'argent

    Avez vous installer un logiciel dernièrement? avez vous fait une mise a jour (de Utorrent?) ?.

    Essayer : https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

    Ses un petit programmes gratuit qui analyse votre ordinateur et efface tout ce qui a de mauvais dans le navigateur, fichier caché,...
    Il suffit d'un petit redémarrage
    -------------------------------------------------------------------------------
    Il faut savoir que Utorrent a fait une mise a jour (BitCoins) qui utilise votre processeur et le fait ralentir.

    Le seul moyen est de passer par le registre
    0
    1. bison70 Messages postés 9 Statut Membre
       
      J'ai bien utorrent mais la version 2.2.1 assez peu récente du coup. J'ai exécuté adwcleaner il ma trouvé plein de trucs a supprimer mais malheureusement pas ce problème la, merci en tout cas .
      0
    2. Nicolas, Messages postés 86 Statut Membre 3
       
      Il y a pas de souci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Si tu peux envoyer C:\Program Files (x86)\WebScript\nttdev.exe sur http://upload.malekal.com
    ou en zippant par mail à spamhere-@wanadoo.fr

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKLM-x32\...\Run: [Adobe] => C:\Program Files (x86)\WebScript\nttdev.exe [5283840 2013-01-27] (WindowsTTLNetwork)
    CHR HKLM-x32\...\Chrome\Extension: [onedflimjholpihbamaaamjoedamglbg] - C:\ProgramData\Zoomex\onedflimjholpihbamaaamjoedamglbg.crx [Not Found]
    2015-03-16 11:52 - 2013-04-30 17:26 - 00000000 ____D () C:\ProgramData\BBrowsee22ssavve
    2015-03-22 15:15 - 2013-02-14 14:27 - 00000000 ____D () C:\Program Files (x86)\WebScript

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur
    0
    1. bison70 Messages postés 9 Statut Membre
       
      Désolé je n'ai pas pu envoyer nttdev.exe ni sur http://upload.malekal.com ni sur l'adresse mail, il été identifié en tant que virus.
      J'ai effectué le fix et ce programme a été supprimer, mais mon problème avec le processus driver_host n'a pas bougé.
      Le programme se trouve dans C:\Users\Moi\AppData\Local\Temp\afolder\driver_host si ça peut aider.
      Merci pour ton temps.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    C:\Users\Moi\AppData\Local\Temp\afolder\

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Scan Malwarebytes (temps : environ 40min de scan):
    ==================================================
    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour puis lance un examen.

    A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
    Redémarre l'ordinateur si besoin.
    Après redémarrage, relance Malwarebytes.
    Vas chercher le rapport dans l'onglet Historique.
    A gauche Journal des examens.
    Doube-clic sur l'examen dans la liste.
    Puis en bas Copier dans le presse papier
    Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
    Clic sur envoyer.
    Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

    0
    1. bison70 Messages postés 9 Statut Membre
       
      il a été mis comme supprimer au redémarrage mais il est toujours la
      0