Trojan.Bitcoin - Processus louche Résolu/Fermé

Question

Bonjour,

depuis un certain temps, j'ai vu que mon PC se mettait à souffler beaucoup surtout en période d'inactivité. Il m'est parfois arrivé d'observer des "gels" lorsque Windows fonctionne, de sorte que toute application se bloque une par une jusqu'à ce que tout soit figé. Et que tout se débloque d'un coup, après 2 minutes.

J'ai beau désactiver tous les services arrière-plan, configurer les logiciels, etc. Il reste toujours quelque chose qui consomme un paquet, de sorte que je me retrouve avec un PC qui chauffe énormément alors qu'il n'est censé rien faire. Mon attention s'est récemment portée sur un fichier que j'ai trouvé dans le gestionnaire des tâches lorsque je l'ai laissé exprès ouvert.

Il s'agit d'un rundll32 qui se lance en arrière-plan, et qui consomme 10% du processeur lorsque le PC est inactif après un certain nombre de minutes. Dès que je bouge la souris, paf, il disparaît comme si de rien n'était. Je soupçonne un logiciel de minage de BitCoin invisible de siéger sur mon ordinateur, qui utilise mon ordinateur comme mineur pour engraisser un idiot sans scrupules.

J'ai beau scanner, je ne trouve rien, et même les startup entries ne me disent rien. Pensez-vous que c'est un rootkit ?

Dans l'attente d'une réponse
A+

phil2k · Answer

Bonjour 

https://www.commentcamarche.net/contents/929-rundll32-rundll32-exe

C'est un processus normal de windows. 

ca peut etre pour lancer une indexation , par exemple , qui travaille quand le pc est en idle , et s'arrete quand il y a de l'activité. 

Scannez avec malwarebytes, adwcleaner pour vous rassurer . 
Dans le doute , postez une demande dans le forum virus/securité.

phil2k · Answer

Basculé dans virus/sécurité , merci ..... 
Un spécialiste va s'occuper de vous ...

Malekal_morte- · Answer

Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

Rien d'anormal qui me saute aux yeux sur tes rapports.

Si c'est un Trojan.Bitcoin comme tu le penses, tu peux le chopper par les connexions réseaux, il a besoin de se connecter.

Donc soit avec Norton Internet Security, qui permet de lister les connexions qui est normalement censé bloquer des connexions anormales, mais s'ils utilisent rundll32.exe comme tu le soupçonnes, ça peut passer.
Donc vérifier.


Sinon avec Glasswire qui est pas mal, comme sur ce sujet : https://forum.malekal.com/viewtopic.php?t=51472&start=&hilit=glasswire#p396561

Mais bon Norton fait un peu pareil.

Si tu trouves le fichier en question, je veux bien que tu l'up sur http://upload.malekal.com pour l'envoyer aux antivirus.

-Shadow- · Answer

Up

C'est de pire en pire

J'étais à côté, dans ma chambre, oklm, et mon PC était posé sur un guéridon. Là j'entendais subitement mon PC ventiler à fond.

Evidemment, dès que j'ai repris le PC, c'est redevenu normal même si la coque est bien chaude. J'ai décidé de lancer le task manager et Speedfan, et curieux hasard, dès que je laissais le PC 5 minutes, il se remettait à ventiler.

J'ai lu dans le task manager: rundll consommait 90% du processeur, et ledit processeur était à 90°C. Puis quand je touche à quoi que ce soit, cet en**lé de processus disparaît, Pouf, comme ça.

ça devient insoutenable. Pourriez-vous me dire comment localiser un processus depuis une instance rundll32 ? Ca m'aiderait davantage :(

Ajout: Je programme un truc en VB qui va capturer le processus, et vérifier les arguments d'appel pour voir. À suivre...

Merci d'avance

-Shadow- · Answer

Salut

j'ai cherché un peu avec Process Explorer. Je le laisse ouvert et je reviens 5 minutes après. Lorsque le PC entre en inactivité, il y a quelques processus de routine, dont le service Defrag.

J'ai cru que ce cher rundll32 y était lié, du coup j'ai stoppé Defrag dans le planificateur de tâches, mais le rundll32 se déclenche toujours. O_o Sans aucun paramètre de lancement (!!!!). J'ai appuyé sur ESPACE pour bloquer le rafraîchissement, et obtenir les propriétés de l'instance rundll32, mais à cause des droits d'accès, je n'ai qu'une petite quantité d'informations. Je sais juste que c'est lancé par un démon (un service en arrière-plan).

Mais Process Explorer détecte aussi que dès qu'il y a un mouvement de souris (entendez par là qu'on quitte l'inactivité) Windows tente de démarrer le service de biométrie (??) que j'ai désactivé il y a belle-lurette. Sans doute pour que l'utilisateur puisse glisser son doigt (car ça permet de détecter les empreintes digitales) sur le scanneur pour débloquer la session. Mais vu que j'ai désactivé, ça ne sert plus à rien xD

Mais tout cela n'a pas l'air d'être lié... Serait-ce un rootkit de dernière génération, que j'ai? :D

-Shadow- · Answer

Re,
j'ai ENFIN trouvé la source du problème. Il s'agissait des services de défragmentation, et d'optimisation du .NET Framework qui s'exécutaient lorsque le PC était inactif... Ouf!
J'ai désactivé ces satanés processus et maintenant tout va bien.
J'ai trouvé ça grâce à ProcessHacker car il liste les évènements d'exécution; j'ai trouvé ça il y a 6 mois mais je tenais à en parler ici au cas où qqun aurait le même souci. :)
A+
Shadow

Trojan.Bitcoin - Processus louche

7 réponses

Discussions similaires