Charge u à 100% - Riskware.BitcoinMiner

Résolu
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   - 22 juin 2014 à 10:27
Bonjour,
Depuis aujourd'hui la charge de mon U est à 100% même en idle. Lorsque j'ouvre process explorer pour débusquer le fautif, la charge retombe aussitôt avant d'avoir eu le temps de repérer l'em....deur...une bonne âme serait elle disponible pour m'aider à éjecter cet intrus ?
PS: j'ai déjà é un coup d'adwclener et de malwarebytes sans résultat.
Merci d'avance.


15 réponses

Réponse 1 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
up...
0
Réponse 2 / 15
Utilisateur anonyme
 
Bonjour . Peut être voir ce post ---> https://forums.commentcamarche.telechargertorrent.org/forum/affich-21800853-charge-du-u-a-100 . Cordialement
0
Réponse 3 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
Salut,

Quel processus prend 100% de la U ?
0
Réponse 4 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
Salut

justement c'est là le problème ! Quand j'ouvre Process Explorer la charge redescend aussitôt à une valeur normale, le processus fautif n'est donc plus présent dans la liste ! Me fais je bien comprendre ? C'est pas évident à expliquer...
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
comment tu sais que la U est à 100% ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
billythemountain
 
C'est core temp qui me le dit.
0
Réponse 6 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
Renomme le fichier process explorer, voir si ça change quelque chose.

~~



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://commentcamarche.telechargertorrent.org/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'istrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLSPROFILE%\Application Data\*.
%ALLSPROFILE%\Application Data\*.exe /s
%ALLSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjt.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjt qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjt ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJT DANS UN NOUVEAU MESSAGE



0
Réponse 7 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
Euh...bizarre, je viens de relancer mon PC après que ma fille l'ait stoppé et tout est normal ?!...enfin merci quand même, si ça se reproduit j'utiliserai ta méthode.
A+ et allez les Bleus !
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
ok :)
0
Réponse 8 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
Bon ben il est revenu...Je l'ai identifié en renommant processxp : connost.exe
Je vais entamer ta méthode. A+
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
si tu n'as pas fait d'erreur dans le nom, c'est probablement un malware.
Surement un client Bitcoin.
0
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
Et ta méthode plus haut est valable pour cette saleté ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
oui fais le scan OTL voir ce qui tourne.
0
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
voilà les liens:
https://pjt.malekal.com/files.php?id=20140621_v7e9t9w12j12
https://pjt.malekal.com/files.php?id=20140621_k8i14i13f15b10
0
Réponse 9 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:



:OTL
O4 - HKU\S-1-5-21-2614484683-449118184-3272913345-1000..\Run: [ATLauncher] C:\.Trash-100\ActivateDesktop.exe ()
[2014/06/18 10:38:20 | 000,000,000 | -H-D | C] -- C:\.Trash-100

* poste le rapport ici



Redémarre l'ordinateur


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

0
Réponse 10 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
========== OTL ==========
Registry value HKEY_S\S-1-5-21-2614484683-449118184-3272913345-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ATLauncher deleted successfully.
C:\.Trash-100\ActivateDesktop.exe moved successfully.
C:\.Trash-100\m_system folder moved successfully.
C:\.Trash-100\db folder moved successfully.
C:\.Trash-100 folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06212014_195508
0
Réponse 11 / 15
Billythemountain Messages postés 111 Date d'inscription   Statut Membre Dernière intervention   3
 
ça m'a l'air OK pour l'instant ! Merci de t'être occupé de mon cas !
J'ai essayé d'envoyer le fichier MovedFiles mais ça m'indique fichier invalide...
Je dois désactiver mon antivirus ?
0
Réponse 12 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
tu peux me l'envoyer par mail sur [email protected] stp.
0
Réponse 13 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
Merci reçu, c'est bien, sans surprise un client Bitcoin.
Les détections :
https://www.virustotal.com/gui/file/becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa

SHA256: becb44acb391fa33ba8b95fd6b2b780cddab7f25d6a6e54c4dcbfed6665ec1aa
Nom du fichier : connost.exe
Ratio de détection : 11 / 54
Date d'analyse : 2014-06-21 19:47:39 UTC (il y a 0 minute)

Antiy-AVL Trojan/Win32.TSGeneric 20140619
Avast Win64:Rootkit-gen [Rtk] 20140621
Baidu-International Hacktool.Win64.BitCoinMiner.bU 20140621
ESET-NOD32 a variant of Win64/BitCoinMiner.U 20140621
Malwarebytes Riskware.BitcoinMiner 20140621
McAfee Artemis!1F596BDE55B0 20140621
McAfee-GW-Edition Artemis!1F596BDE55B0 20140621
Qihoo-360 Win32/RootKit.Rootkit.7e5 20140621
Symantec Trojan.Gen.2 20140621
TrendMicro-HouseCall TROJ_GEN.R02KH05FK14 20140621
VIPRE Win32.Malware!Drop 20140621


Autre fichier :
https://www.virustotal.com/gui/file/a75ae7cd3cd3c7b5404b7f947961e364fbd82867d0f5419ab710132fc34df2ef

vais ballouder aux antivirus pour améliorer les détections, merci :)

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 14 / 15
billythemountain
 
C'est moi qui te remercies !
Je peux supprimer le dossier C:\_OTL ?
0
Réponse 15 / 15
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 675
 
oui :)
0