Help, trojan.BitcoinMiner.Generic [Résolu]

Signaler
-
 Nobody -
Bonjour,

Mon pc à un comportement qui correspond grandement à un comportement de pc infecté.
régulièrement le cpu se met à tourner à 100% sans qu'il y aiT de programmes particulier qui tourne. Si j'ouvre le gestionnaire de tache, immédiatement le travail du cpu redescend à 2-3%, et sur une fraction de seconde je peux voir que la fermeture d'un programme me prend 100% de mon cpu.

j'ai bien des clef de registre qui serait à priori vérolé, mais je n’ose les supprimer sans risquer de tout déglinguer.

Malwarebytes me trouve les clef de registre ci-dessous
Clé du registre: 3
  • Trojan.BitCoinMiner.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Microsoft\Windows\Google\GoogleUpdateTaskMachineHD, Aucune action de l'utilisateur, 3778, 698508, , , , , ,
  • Trojan.BitCoinMiner.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{B72BC4D7-87D1-410A-ACAB-5E1F022E6682}, Aucune action de l'utilisateur, 3778, 698508, , , , , ,
  • Trojan.BitCoinMiner.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{B72BC4D7-87D1-410A-ACAB-5E1F022E6682}, Aucune action de l'utilisateur, 3778, 698508, , , , , ,

Valeur du registre: 1
  • Trojan.BitCoinMiner.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{B72BC4D7-87D1-410A-ACAB-5E1F022E6682}|PATH, Aucune action de l'utilisateur, 3778, 698506, 1.0.30388, , ame, , ,

Fichier: 2
  • Trojan.BitCoinMiner.Generic, C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT\WINDOWS\GOOGLE\GoogleUpdateTaskMachineHD, Aucune action de l'utilisateur, 3778, 698508, 1.0.30388, , ame, , D95EB32F3CCBDC6700DA672570AD2912, 0E79802D1ADD3C48633D060BB62C0E4523D92188410A89626DE0E77A9F04C16E

Malware.AI.4294196127


Merci de votre aide pour m'aider à débusquer ces salles bestioles de mes petites puces ;)

3 réponses

Messages postés
27930
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 octobre 2020
10 556
Bonjour,
As-tu supprimé le trojan avec Malwarebytes ?

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
Non, malwarebyte étant payant (et pas donné) je ne l'ai pas fait. surtout que je suis même pas sur que cela suffis à régler mon pb. J'ai exécuté roguekiller entre temps.

Voici les 3 fichiers.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200925_b8e15y8i9f12
Addiction : https://pjjoint.malekal.com/files.php?id=20200925_9i10y9d6c10
Shortcut : https://pjjoint.malekal.com/files.php?id=20200925_x9c14f7t6p14
Messages postés
27930
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 octobre 2020
10 556
Après le scan de RogueKiller ton problème est-il toujours présent ?

Pour Malwarebytes il est gratuit il suffit de ne pas activer la version Premium voir cette page tu peux ainsi supprimer les infections trouvées avec Malwarebytes sans problème.

Tu télécharges et installes trop de logiciels non officiellement activés ainsi que des patchs vérolés, ce n'est donc pas étonnant que tu ais ce genre de problème, à l'avenir arrête ces bêtises, sinon un jour tu auras un très gros problème du genre cryptage de tous tes fichiers ou piratage de ton compte bancaire et là inutile de venir demander de l'aide car ce sera trop tard.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
Task: {B72BC4D7-87D1-410A-ACAB-5E1F022E6682} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineHD => C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-28-27\TG_1.3.19.34.exe (Accès refusé)
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise Google Chrome voir cette page

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

>
Messages postés
27930
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 octobre 2020

ci-joint les 3 fichiers après manip :
FIXlog : https://pjjoint.malekal.com/files.php?id=20200927_n8c7f5c135
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200927_i9u9t11k5r7
Addition : https://pjjoint.malekal.com/files.php?id=20200927_m7i11j7h13c13

à priori le problème est résolu ou presque. J'ai l'anti-virus qui bouffe pas mal de puissance (environ 30%) sur un certain laps de temps (virus ou analyse normal, je sais pas).
Messages postés
27930
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 octobre 2020
10 556 > Nobody
Pour le fixlog c'est OK, tu as fait deux fois la correction ce n'était pas nécessaire, tu n'as plus d'infection active sur ton pc.

Pour l'antivirus il n'arrête pas de t'alerter et donc d'analyser, car tu as téléchargé des programmes non officiels patchés comme par exemple "Solidworks" qui contient un patch vérolé.

C'est l'ISO :
SOLIDWORKS.2011.SP1.MULTILANGUAGE.WIN64.ISO-LZ0-wWw.Extreme-Down.Com.iso

Cet ISO se trouve sur le bureau dans le dossier programme à instaler je te conseille de ne pas l'installer si tu ne veux pas infecter de nouveau ton pc, supprime cet ISO Windows Defender se calmera.
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Patcher&threatid=2147659947&enterprise=0
Nom : HackTool:Win32/Patcher
ok. merci pour ton aide.