Trojan.Bitcoin - Processus louche
Résolu
-Shadow-
Messages postés
2152
Date d'inscription
Statut
Membre
Dernière intervention
-
-Shadow- Messages postés 2152 Date d'inscription Statut Membre Dernière intervention -
-Shadow- Messages postés 2152 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
depuis un certain temps, j'ai vu que mon PC se mettait à souffler beaucoup surtout en période d'inactivité. Il m'est parfois arrivé d'observer des "gels" lorsque Windows fonctionne, de sorte que toute application se bloque une par une jusqu'à ce que tout soit figé. Et que tout se débloque d'un coup, après 2 minutes.
J'ai beau désactiver tous les services arrière-plan, configurer les logiciels, etc. Il reste toujours quelque chose qui consomme un paquet, de sorte que je me retrouve avec un PC qui chauffe énormément alors qu'il n'est censé rien faire. Mon attention s'est récemment portée sur un fichier que j'ai trouvé dans le gestionnaire des tâches lorsque je l'ai laissé exprès ouvert.
Il s'agit d'un rundll32 qui se lance en arrière-plan, et qui consomme 10% du processeur lorsque le PC est inactif après un certain nombre de minutes. Dès que je bouge la souris, paf, il disparaît comme si de rien n'était. Je soupçonne un logiciel de minage de BitCoin invisible de siéger sur mon ordinateur, qui utilise mon ordinateur comme mineur pour engraisser un idiot sans scrupules.
J'ai beau scanner, je ne trouve rien, et même les startup entries ne me disent rien. Pensez-vous que c'est un rootkit ?
Dans l'attente d'une réponse
A+
depuis un certain temps, j'ai vu que mon PC se mettait à souffler beaucoup surtout en période d'inactivité. Il m'est parfois arrivé d'observer des "gels" lorsque Windows fonctionne, de sorte que toute application se bloque une par une jusqu'à ce que tout soit figé. Et que tout se débloque d'un coup, après 2 minutes.
J'ai beau désactiver tous les services arrière-plan, configurer les logiciels, etc. Il reste toujours quelque chose qui consomme un paquet, de sorte que je me retrouve avec un PC qui chauffe énormément alors qu'il n'est censé rien faire. Mon attention s'est récemment portée sur un fichier que j'ai trouvé dans le gestionnaire des tâches lorsque je l'ai laissé exprès ouvert.
Il s'agit d'un rundll32 qui se lance en arrière-plan, et qui consomme 10% du processeur lorsque le PC est inactif après un certain nombre de minutes. Dès que je bouge la souris, paf, il disparaît comme si de rien n'était. Je soupçonne un logiciel de minage de BitCoin invisible de siéger sur mon ordinateur, qui utilise mon ordinateur comme mineur pour engraisser un idiot sans scrupules.
J'ai beau scanner, je ne trouve rien, et même les startup entries ne me disent rien. Pensez-vous que c'est un rootkit ?
Dans l'attente d'une réponse
A+
A voir également:
- Trojan.Bitcoin - Processus louche
- Processus vmmem ✓ - Forum Virus
- Echec de l'initialisation du processus de connexion interactive - Forum Windows 7
- Processus d'execution client serveur - Forum Windows 10
- Processus hote windows rundll32 - Forum Virus
- Quest ce que Processus hôte windows(Rundll32) ✓ - Forum Logiciels
7 réponses
Bonjour
https://www.commentcamarche.net/contents/929-rundll32-rundll32-exe
C'est un processus normal de windows.
ca peut etre pour lancer une indexation , par exemple , qui travaille quand le pc est en idle , et s'arrete quand il y a de l'activité.
Scannez avec malwarebytes, adwcleaner pour vous rassurer .
Dans le doute , postez une demande dans le forum virus/securité.
https://www.commentcamarche.net/contents/929-rundll32-rundll32-exe
C'est un processus normal de windows.
ca peut etre pour lancer une indexation , par exemple , qui travaille quand le pc est en idle , et s'arrete quand il y a de l'activité.
Scannez avec malwarebytes, adwcleaner pour vous rassurer .
Dans le doute , postez une demande dans le forum virus/securité.
-Shadow-
Messages postés
2152
Date d'inscription
Statut
Membre
Dernière intervention
270
J'avais pensé à ça... Merci de ta réponse
Salut,
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Rien d'anormal qui me saute aux yeux sur tes rapports.
Si c'est un Trojan.Bitcoin comme tu le penses, tu peux le chopper par les connexions réseaux, il a besoin de se connecter.
Donc soit avec Norton Internet Security, qui permet de lister les connexions qui est normalement censé bloquer des connexions anormales, mais s'ils utilisent rundll32.exe comme tu le soupçonnes, ça peut passer.
Donc vérifier.
Sinon avec Glasswire qui est pas mal, comme sur ce sujet : https://forum.malekal.com/viewtopic.php?t=51472&start=&hilit=glasswire#p396561
Mais bon Norton fait un peu pareil.
Si tu trouves le fichier en question, je veux bien que tu l'up sur http://upload.malekal.com pour l'envoyer aux antivirus.
Si c'est un Trojan.Bitcoin comme tu le penses, tu peux le chopper par les connexions réseaux, il a besoin de se connecter.
Donc soit avec Norton Internet Security, qui permet de lister les connexions qui est normalement censé bloquer des connexions anormales, mais s'ils utilisent rundll32.exe comme tu le soupçonnes, ça peut passer.
Donc vérifier.
Sinon avec Glasswire qui est pas mal, comme sur ce sujet : https://forum.malekal.com/viewtopic.php?t=51472&start=&hilit=glasswire#p396561
Mais bon Norton fait un peu pareil.
Si tu trouves le fichier en question, je veux bien que tu l'up sur http://upload.malekal.com pour l'envoyer aux antivirus.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Up
C'est de pire en pire
J'étais à côté, dans ma chambre, oklm, et mon PC était posé sur un guéridon. Là j'entendais subitement mon PC ventiler à fond.
Evidemment, dès que j'ai repris le PC, c'est redevenu normal même si la coque est bien chaude. J'ai décidé de lancer le task manager et Speedfan, et curieux hasard, dès que je laissais le PC 5 minutes, il se remettait à ventiler.
J'ai lu dans le task manager: rundll consommait 90% du processeur, et ledit processeur était à 90°C. Puis quand je touche à quoi que ce soit, cet en**lé de processus disparaît, Pouf, comme ça.
ça devient insoutenable. Pourriez-vous me dire comment localiser un processus depuis une instance rundll32 ? Ca m'aiderait davantage :(
Ajout: Je programme un truc en VB qui va capturer le processus, et vérifier les arguments d'appel pour voir. À suivre...
Merci d'avance
C'est de pire en pire
J'étais à côté, dans ma chambre, oklm, et mon PC était posé sur un guéridon. Là j'entendais subitement mon PC ventiler à fond.
Evidemment, dès que j'ai repris le PC, c'est redevenu normal même si la coque est bien chaude. J'ai décidé de lancer le task manager et Speedfan, et curieux hasard, dès que je laissais le PC 5 minutes, il se remettait à ventiler.
J'ai lu dans le task manager: rundll consommait 90% du processeur, et ledit processeur était à 90°C. Puis quand je touche à quoi que ce soit, cet en**lé de processus disparaît, Pouf, comme ça.
ça devient insoutenable. Pourriez-vous me dire comment localiser un processus depuis une instance rundll32 ? Ca m'aiderait davantage :(
Ajout: Je programme un truc en VB qui va capturer le processus, et vérifier les arguments d'appel pour voir. À suivre...
Merci d'avance
Salut
j'ai cherché un peu avec Process Explorer. Je le laisse ouvert et je reviens 5 minutes après. Lorsque le PC entre en inactivité, il y a quelques processus de routine, dont le service Defrag.
J'ai cru que ce cher rundll32 y était lié, du coup j'ai stoppé Defrag dans le planificateur de tâches, mais le rundll32 se déclenche toujours. O_o Sans aucun paramètre de lancement (!!!!). J'ai appuyé sur ESPACE pour bloquer le rafraîchissement, et obtenir les propriétés de l'instance rundll32, mais à cause des droits d'accès, je n'ai qu'une petite quantité d'informations. Je sais juste que c'est lancé par un démon (un service en arrière-plan).
Mais Process Explorer détecte aussi que dès qu'il y a un mouvement de souris (entendez par là qu'on quitte l'inactivité) Windows tente de démarrer le service de biométrie (??) que j'ai désactivé il y a belle-lurette. Sans doute pour que l'utilisateur puisse glisser son doigt (car ça permet de détecter les empreintes digitales) sur le scanneur pour débloquer la session. Mais vu que j'ai désactivé, ça ne sert plus à rien xD
Mais tout cela n'a pas l'air d'être lié... Serait-ce un rootkit de dernière génération, que j'ai? :D
j'ai cherché un peu avec Process Explorer. Je le laisse ouvert et je reviens 5 minutes après. Lorsque le PC entre en inactivité, il y a quelques processus de routine, dont le service Defrag.
J'ai cru que ce cher rundll32 y était lié, du coup j'ai stoppé Defrag dans le planificateur de tâches, mais le rundll32 se déclenche toujours. O_o Sans aucun paramètre de lancement (!!!!). J'ai appuyé sur ESPACE pour bloquer le rafraîchissement, et obtenir les propriétés de l'instance rundll32, mais à cause des droits d'accès, je n'ai qu'une petite quantité d'informations. Je sais juste que c'est lancé par un démon (un service en arrière-plan).
Mais Process Explorer détecte aussi que dès qu'il y a un mouvement de souris (entendez par là qu'on quitte l'inactivité) Windows tente de démarrer le service de biométrie (??) que j'ai désactivé il y a belle-lurette. Sans doute pour que l'utilisateur puisse glisser son doigt (car ça permet de détecter les empreintes digitales) sur le scanneur pour débloquer la session. Mais vu que j'ai désactivé, ça ne sert plus à rien xD
Mais tout cela n'a pas l'air d'être lié... Serait-ce un rootkit de dernière génération, que j'ai? :D
Certes, mais ça m'ennuie. Des fois je laisse l'appareil ouvert, et il me réveille la nuit... Sans compter que le proc chauffe énormément.
Ca ne me laisse pas l'esprit tranquille de garder ça comme ça. Du coup, je cherche une solution, car l'ordinateur chauffe plus en inactif que lorsque je joue à un jeu 3D... Un gros paradoxe...
Ca ne me laisse pas l'esprit tranquille de garder ça comme ça. Du coup, je cherche une solution, car l'ordinateur chauffe plus en inactif que lorsque je joue à un jeu 3D... Un gros paradoxe...
Re,
j'ai ENFIN trouvé la source du problème. Il s'agissait des services de défragmentation, et d'optimisation du .NET Framework qui s'exécutaient lorsque le PC était inactif... Ouf!
J'ai désactivé ces satanés processus et maintenant tout va bien.
J'ai trouvé ça grâce à ProcessHacker car il liste les évènements d'exécution; j'ai trouvé ça il y a 6 mois mais je tenais à en parler ici au cas où qqun aurait le même souci. :)
A+
Shadow
j'ai ENFIN trouvé la source du problème. Il s'agissait des services de défragmentation, et d'optimisation du .NET Framework qui s'exécutaient lorsque le PC était inactif... Ouf!
J'ai désactivé ces satanés processus et maintenant tout va bien.
J'ai trouvé ça grâce à ProcessHacker car il liste les évènements d'exécution; j'ai trouvé ça il y a 6 mois mais je tenais à en parler ici au cas où qqun aurait le même souci. :)
A+
Shadow
