Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par ChevalierIllisible »

Bonsoir,
Tout d'abord, je me dois de rendre hommage à malekal et à toute la communauté car j'ai par le passé pu découvrir des outils et lire des threads m'ayant permis de désinfecter efficacement mon pc et à l'occasion ceux de proches.

Pour la toute première fois, je sollicite votre aide car je rencontre un problème rémanent exigeant un peu plus que ce que j'ai pu faire.

Il y a environ un mois, j'ai constaté la survenue de microfreeze durant l'ensemble de mes sessions de jeu en ligne (fps).
J'ai donc cherché à comprendre, en contactant les devs, etc... Pour me rendre compte (en passant à l'étape recherche de virus, trojan, malwares) que cela était dû à la présence d'un BitCoinMiner. En investiguant sur le net (et sur mon ordi), j'ai réussi à repérer 3 fichiers qui ne cessaient de revenir dans le répertoire de Windows, à savoir core.ps1, link.zip et core.bin et un svchost.exe en prime.
J'ai pu en venir à bout à force de suppression et de désinfection avec différents outils tels AdwCleaner, Hitman Pro, Malwarebytes Anti-Malware (MBAM). J'ai également installé OSArmor UI et tout ça a "fait le job".
Seulement je ne suis pas passer par l'étape des "fix" (il y a loooooongtemps, je maîtrisais à peu hijackthis mais je n'ai pas envie de faire n'imp') avec ZHP et autres.

Bref, depuis à peu près 3 semaines, calme plat, plus de freeze, rien. J'ai passé plusieurs jours avec OSArmor activé puis bon, je l'ai coupé, car relou de gérer les exclusions (il me bloquait certains "faux positifs" et c'était relou, bref...).

Sauf qu'hier j'ai constaté qu'il y avait des ralentissement sur mon pc. Je me suis rendu dans C:// Windows et BIM, v'là t'y pas que les compères sont là, de retour : link.zip, core.bin, svchost.exe daubé (mais il manque core.ps1).
Je suis donc reparti avec des analyses et nettoyages mais après redémarrage (pas forcément le premier redémarrage), certains reviennent...

Je rencontre un phénomène identique sinon similaire à celui exposé dans ce thread (viewtopic.php?t=70407) et d'ailleurs comme alber, son auteur, j'ai aussi des fichiers comme ewmjdrdx.ejw et tutti quanti apparaissant au même endroit (ProgramData).
Seulement, il me faut un "remède personnalisé" pour en venir à bout !

Bref, je crois que j'ai VRAIMENT besoin d'aide.

Pour commencer, je viens de passer un coup de ZHP DIAG à l'instant après l'utilisation de HitManPro qui a repéré et supprimé le malware (svhost.exe)

Je vous mets le rapport en pj, j'espère que quelqu'un saura m'indiquer la marche à suivre.

Par avance, merci !
Ch.iLL
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner persistante

par ChevalierIllisible »

Malekal_morte
Messages : 115655
Inscription : 10 sept. 2005 13:57

Re: Infection RiskWare.BitcoinMinner persistante

par Malekal_morte »

Salut,

Pas de malware.
La détection Riskware.BitcoinMinner porte sur quel fichier ?

Pour les lenteurs du PC, fais du ménage.

1) Vas dans les paramètres de Windows 10/11
Applications
Désinstalle :
CCleaner (inutile)
DAEMON Tools Lite (inutile, on peut monter un ISO par un clic droit / monter)
CyberGhost (les VPN sont inutiles pour sécuriser un PC de bureau, sauf besoin particulier, ça ne sert à rien : Pourquoi et quand utiliser un VPN
Macrium Reflect Free Edition (il tourne en fond, tu en as besoin ?)

2) Désactive/Supprime du démarrage :
[RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [9181696 2016-12-09] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
[Discord] => C:\ProgramData\SquirrelMachineInstalls\Discord.exe [83251992 2022-11-07] (Discord Inc. -> Discord Inc.)
[CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [38789456 2022-10-20] (PIRIFORM SOFTWARE LIMITED -> Piriform Software Ltd)
[Universal Control] => [X]
[CyberGhost] => C:\Program Files\CyberGhost 8\Dashboard.exe [1368784 2022-10-18] (CyberGhost S.R.L. -> CyberGhost S.R.L.)
Voir : comment supprimer un programme au démarrage de Windows

3) Si tu surfs avec Google Chrome :
Réparer Google Chrome (premier paragraphe)

Suis le paragraphe Limiter_les_impacts_des_sites_WEB de la page Comment accélérer Google Chrome
Installe uBlock et et un des logiciels pour suspendre les onglets.


Si tu surfs avec Mozilla Firefox :
Réparer Mozilla Firefox (Suivre le premier paragraphe)
Installe uBlock et Auto Tab Discard en extension.
Voir la page suivante pour toutes les bonnes pratiques à suivre : Accélérer Mozilla Firefox

4) Vérifie la température de l'ordinateur.
Des surchauffes du PC entraînent des baisses de performances.
Utilise le PC normalement, lance des vidés Youtube, surf sur internet et vois à combien les températures CPU et GPU montent.
Si les températures montent au delà de 60 degrés, quand tu fais rien de particulier, Il faut nettoyer l'intérieur du PC et retirer les poussières.
Suis ce tutoriel : comment nettoyer l'intérieur de son PC et le dépoussiérer.
Lis bien les avertissements.
Si la température ne baisse pas, il faut remettre de la pâte thermique sur le processus.
Tu peux alors suivre ce tutoriel : comment choisir et appliquer de la pâte thermique sur son processeur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner persistante

par ChevalierIllisible »

Bonjour,
Merci pour ton retour et de tes conseils que je vais m'empresser d'appliquer.
Concernant les détections du Riskware.BitcoinMinner, elles portaient sur LINK.ZIP et SVHOST.EXE, détectés à plusieurs reprises par Malwarebytes (rapport en pj). Du côté de HitmanPro, hier, il a trouvé et mis en quarantaine SVHOST.EXE (voir rapport en pj aussi) en reliant le processus aux trois fichiers évoqués dans ma publication. On lit en effet dans le rapport Malware
C:\WINDOWS\svhost.exe -> Deleted
Size . . . . . . . : 8 278 016 bytes
Age . . . . . . . : 0.0 days (2022-11-19 20:12:11)
Entropy . . . . . : 7.0
SHA-256 . . . . . : 3A1FA39B47697402DF3EAA56B0E765ADDEB83F244AEB80EE0BCD434AE98BA5C3
> Bitdefender . . . : Gen:Variant.Application.Miner.43
> SurfRight . . . . : Generic PUA OB (PUA)
Fuzzy . . . . . . : 112.0
Forensic Cluster
-8.3s C:\Windows\link.zip
-0.0s C:\Windows\core.bin
-0.0s C:\Windows\core.ps1
0.0s C:\Windows\svhost.exe
0.3s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store\AEFF202BDC2A9D70A2F1C5CF3EB70BDC
0.3s C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Resource\{88A9F661-0FEA-4360-AFC7-63EAF7900244}


Date/Time: 08/11/2022 20:12:00
Process: [10732]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Process Size: 442 KB (452 608 bytes)
Process MD5 Hash: 04029E121A0CFA5991749937DD22A1D9
Parent: [1408]C:\Windows\System32\svchost.exe
Parent Process Size: 54,02 KB (55 320 bytes)
Rule: BlockPowerShellMalformedCommands
Rule Name: Block encoded and malformed PowerShell commands
Command Line: powershell -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\APO\AppData\Roaming\Winsoft\core.ps1
Signer: <NULL>
Parent Signer: Microsoft Windows Publisher
User/Domain: APO/APO-PC
System File: True
Parent System File: True
Integrity Level: High
Parent Integrity Level: System


Date/Time: 08/11/2022 14:12:51
Process: [11052]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Process Size: 442 KB (452 608 bytes)
Process MD5 Hash: 04029E121A0CFA5991749937DD22A1D9
Parent: [1408]C:\Windows\System32\svchost.exe
Parent Process Size: 54,02 KB (55 320 bytes)
Rule: BlockPowerShellMalformedCommands
Rule Name: Block encoded and malformed PowerShell commands
Command Line: powershell -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\APO\AppData\Roaming\Winsoft\core.ps1
Signer: <NULL>
Parent Signer: Microsoft Windows Publisher
User/Domain: APO/APO-PC
System File: True
Parent System File: True
Integrity Level: High
Parent Integrity Level: System
;

Quant à OSArmor, c'est core.ps1 qu'il a bloqué à plusieurs reprises (voir rapport en pj itou).

Je pensais être venu à bout de l'infection autour de 9 octobre mais hier en fouillant, comme je l'explique plus haut, j'ai retrouvé les 3 larrons dans mon dossier windows (link.zip, core.ps1,core.bin), qui ne cessaient de réapparaître après suppression et HitManPro m'a confirmé qu'il y avait encore quelque chose, comme le montre le rapport (Gen:Variant.Application.Miner.43).

Il y a aussi ces nwckvbae.sbg et autres oianbuax.xrl qui ne cessent de réapparaître dans ProgramData...
C'est safe ça ?

Bonne journée !
Ch.Ill
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
angelique
Messages : 32251
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection RiskWare.BitcoinMinner persistante

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par ChevalierIllisible »

Bonjour angélique et merci pour ton coup de main.

J'ai suivi tes instructions et lancé la correction (et rebooté).

Voici le contenu du fichier fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 18-11-2022
Exécuté par APO (20-11-2022 17:00:02) Run:1
Exécuté depuis C:\Users\APO\Desktop
Profils chargés: APO
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {04613B00-1EED-4869-9AAE-53606ED84CC2} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (Pas de fichier)
Task: {05F428D3-90DF-44C8-9DFC-829073A44CBF} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (Pas de fichier)
Task: {0E5DE4AF-F9F1-42B8-9CC6-65D091E4CAA1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (Pas de fichier)
Task: {1480F70A-C4A7-477B-8C41-7243DCEBAB79} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (Pas de fichier)
Task: {16CCA7A9-0F87-42FB-966C-8C574C269165} - \Microsoft\Windows\Setup\EOSNotify2 -> Pas de fichier <==== ATTENTION
Task: {1F65D5FA-34A6-4509-96F6-9B201003DEA1} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\APO\AppData\Roaming\Winsoft\core.ps1
Task: {294E0F10-32CF-4412-BA8C-747C77B8039A} - System32\Tasks\WiseCleaner\WDCSkipUAC => C:\Program Files (x86)\Wise\Wise Disk Cleaner\WiseDiskCleaner.exe $UAC (Pas de fichier)
Task: {2F515FBC-DD90-4555-BA8C-F255E8BC4343} - System32\Tasks\{1AC3E729-BB76-4173-B9D7-7A767B324CA4} => C:\Windows\system32\pcalua.exe -a C:\VIRTUA~1\UNWISE.EXE -c C:\VIRTUA~1\INSTALL.LOG
Task: {2F58CAF7-A3F2-45CC-A73F-7BE8324ED07A} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe $(Arg0) (Pas de fichier)
Task: {9CF76B79-AB1E-48C5-A21B-2A340E6677E6} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (Pas de fichier)
Task: {A00CB435-37ED-48C8-B0DE-0E3AAC768266} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (Pas de fichier)
Task: {A26EB008-263C-4F21-A89D-1D72A4F75FDB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe /RestartRecording (Pas de fichier)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
2022-11-19 22:41 - 2022-11-19 22:49 - 000000012 _____ C:\ProgramData\oianbuax.xrl
2022-11-19 22:41 - 2022-11-19 22:49 - 000000012 _____ C:\ProgramData\nwckvbae.sbg
2022-11-19 22:41 - 2022-11-19 22:41 - 000390214 _____ C:\Users\APO\Downloads\ZHPDiag19112022.txt
2022-11-19 22:29 - 2022-11-19 22:29 - 000390214 _____ C:\Users\APO\Desktop\ZHPDiag19112022.txt
C:\Users\APO\AppData\Roaming\Winsoft
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{04613B00-1EED-4869-9AAE-53606ED84CC2}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{04613B00-1EED-4869-9AAE-53606ED84CC2}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\PeriodicScanRetry" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{05F428D3-90DF-44C8-9DFC-829073A44CBF}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{05F428D3-90DF-44C8-9DFC-829073A44CBF}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\ehDRMInit" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0E5DE4AF-F9F1-42B8-9CC6-65D091E4CAA1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E5DE4AF-F9F1-42B8-9CC6-65D091E4CAA1}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\PBDADiscoveryW2" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1480F70A-C4A7-477B-8C41-7243DCEBAB79}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1480F70A-C4A7-477B-8C41-7243DCEBAB79}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\DispatchRecoveryTasks" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{16CCA7A9-0F87-42FB-966C-8C574C269165}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{16CCA7A9-0F87-42FB-966C-8C574C269165}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify2" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MSI Task Host - Detect_Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MSI Task Host - Detect_Monitor" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{294E0F10-32CF-4412-BA8C-747C77B8039A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{294E0F10-32CF-4412-BA8C-747C77B8039A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\WiseCleaner\WDCSkipUAC => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WiseCleaner\WDCSkipUAC" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2F515FBC-DD90-4555-BA8C-F255E8BC4343}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F515FBC-DD90-4555-BA8C-F255E8BC4343}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{1AC3E729-BB76-4173-B9D7-7A767B324CA4} => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{1AC3E729-BB76-4173-B9D7-7A767B324CA4}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2F58CAF7-A3F2-45CC-A73F-7BE8324ED07A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F58CAF7-A3F2-45CC-A73F-7BE8324ED07A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\mcupdate => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\mcupdate" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9CF76B79-AB1E-48C5-A21B-2A340E6677E6}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9CF76B79-AB1E-48C5-A21B-2A340E6677E6}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\SqlLiteRecoveryTask" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A00CB435-37ED-48C8-B0DE-0E3AAC768266}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A00CB435-37ED-48C8-B0DE-0E3AAC768266}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\RegisterSearch" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A26EB008-263C-4F21-A89D-1D72A4F75FDB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A26EB008-263C-4F21-A89D-1D72A4F75FDB}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center\RecordingRestart" => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 => supprimé(es) avec succès
C:\ProgramData\oianbuax.xrl => déplacé(es) avec succès
C:\ProgramData\nwckvbae.sbg => déplacé(es) avec succès
C:\Users\APO\Downloads\ZHPDiag19112022.txt => déplacé(es) avec succès
"C:\Users\APO\Desktop\ZHPDiag19112022.txt" => non trouvé(e)
"C:\Users\APO\AppData\Roaming\Winsoft" => non trouvé(e)

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Erreurÿ: Reconstruction du paramŠtre de compteur de performance impossible … partir du magasin de stockage systŠmeÿ; le code d'erreur est 2
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13874284 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 830442222 B
Windows/system/drivers => 13782204 B
Edge => 8704 B
Chrome => 322935854 B
Firefox => 7347126 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 33058 B
ProgramData => 33058 B
Public => 33058 B
systemprofile => 33058 B
systemprofile32 => 33490 B
LocalService => 66548 B
NetworkService => 107680 B
APO => 622612055 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:01:01 ====
Malekal_morte
Messages : 115655
Inscription : 10 sept. 2005 13:57

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par Malekal_morte »

ok reviens à la procédure donnée précédemment : viewtopic.php?p=531966#p531966
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par ChevalierIllisible »

Malekal_morte a écrit : 20 nov. 2022 17:10 ok reviens à la procédure donnée précédemment : viewtopic.php?p=531966#p531966
Ok ! Je m'occupe de tout ça ce soir.
Pour info, oianbuax.xrl et nwckvbae.sbg sont déjà de retour (ainsi que rtpeskt) dans ProgramData.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner persistante

par ChevalierIllisible »

Malekal_morte a écrit : 20 nov. 2022 10:27 Salut,

Pas de malware.
La détection Riskware.BitcoinMinner porte sur quel fichier ?

Pour les lenteurs du PC, fais du ménage.

1) Vas dans les paramètres de Windows 10/11
Applications
Désinstalle :
CCleaner (inutile)
DAEMON Tools Lite (inutile, on peut monter un ISO par un clic droit / monter)
CyberGhost (les VPN sont inutiles pour sécuriser un PC de bureau, sauf besoin particulier, ça ne sert à rien : Pourquoi et quand utiliser un VPN
Macrium Reflect Free Edition (il tourne en fond, tu en as besoin ?)
C'est fait.

Malekal_morte a écrit : 20 nov. 2022 10:27 2) Désactive/Supprime du démarrage :
[RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [9181696 2016-12-09] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
[Discord] => C:\ProgramData\SquirrelMachineInstalls\Discord.exe [83251992 2022-11-07] (Discord Inc. -> Discord Inc.)
[CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [38789456 2022-10-20] (PIRIFORM SOFTWARE LIMITED -> Piriform Software Ltd)
[Universal Control] => [X]
[CyberGhost] => C:\Program Files\CyberGhost 8\Dashboard.exe [1368784 2022-10-18] (CyberGhost S.R.L. -> CyberGhost S.R.L.)
Voir : comment supprimer un programme au démarrage de Windows
Ils étaient déjà désactivés (voir capture d'écran : https://pjjoint.malekal.com/files.php?i ... w8o7d13v14). Dois-je aller les désactiver ou les supprimer autrement ?
Malekal_morte a écrit : 20 nov. 2022 10:27 4) Vérifie la température de l'ordinateur.
Des surchauffes du PC entraînent des baisses de performances.
Utilise le PC normalement, lance des vidés Youtube, surf sur internet et vois à combien les températures CPU et GPU montent.
Si les températures montent au delà de 60 degrés, quand tu fais rien de particulier, Il faut nettoyer l'intérieur du PC et retirer les poussières.
Suis ce tutoriel : comment nettoyer l'intérieur de son PC et le dépoussiérer.
Lis bien les avertissements.
Si la température ne baisse pas, il faut remettre de la pâte thermique sur le processus.
Tu peux alors suivre ce tutoriel : comment choisir et appliquer de la pâte thermique sur son processeur
J'ai déjà procédé à ces mesures (et au nettoyage) lors de la survenue des freezes en jeu... jusqu'à me rendre compte que le souci venait de ce RiskWare.

Je m'occupe de nettoyer chrome ensuite. Je te remercie.
Bonne fin de journée.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner persistante

par ChevalierIllisible »

Malekal_morte a écrit : 20 nov. 2022 10:27
3) Si tu surfs avec Google Chrome :
Réparer Google Chrome (premier paragraphe)

Suis le paragraphe Limiter_les_impacts_des_sites_WEB de la page Comment accélérer Google Chrome
Installe uBlock et et un des logiciels pour suspendre les onglets.
Ça y est. J'ai procédé à la réparation de Chrome (réinitialisation) et à l'installation de l'extension uBlock (à la place de AdBlock que j'ai supprimé).
Malekal_morte
Messages : 115655
Inscription : 10 sept. 2005 13:57

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par Malekal_morte »

ok vois si le PC est plus rapide maintenant =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par ChevalierIllisible »

Malekal_morte a écrit : 20 nov. 2022 18:04 ok vois si le PC est plus rapide maintenant =)
Ah mais je n'avais pas de problème de rapidité, seulement des microfreeze en jeu (mais systématiques et toutes les 10-15s), phénomènes qui ont disparu lors de la première désinfection. Je ne me suis pas bien exprimé peut-être. ^^
J'ai constaté avant hier que le phénomène des micro-freezes revenaient après 2 semaines et demi d'accalmie (après les premières désinfections), je me suis donc rendu dans ProgramData pour constater le retour des fameux fichiers, ce qui m'a amené à passer un coup MBAB, d'AdwCleaner et de HitManPro confirmant le retour du RiskWare.
Je n'avais pas constaté de problème de rapidité ailleurs.
Dernière modification par ChevalierIllisible le 20 nov. 2022 19:30, modifié 1 fois.
Avatar de l’utilisateur
angelique
Messages : 32251
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par angelique »

Le script powershell en tâche planifié qui devait ramener les merdes :

Task: {1F65D5FA-34A6-4509-96F6-9B201003DEA1} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\APO\AppData\Roaming\Winsoft\core.ps1

➮ "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès

ont été supprimés.

N'hésite pas à repondre 2 nouveaux rapport frst.txt et addition.txt histoire de vérifier
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
ChevalierIllisible
Messages : 15
Inscription : 19 nov. 2022 22:11

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par ChevalierIllisible »

angelique a écrit : 20 nov. 2022 19:19 Le script powershell en tâche planifié qui devait ramener les merdes :

Task: {1F65D5FA-34A6-4509-96F6-9B201003DEA1} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\APO\AppData\Roaming\Winsoft\core.ps1

➮ "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F65D5FA-34A6-4509-96F6-9B201003DEA1}" => supprimé(es) avec succès

ont été supprimés.

N'hésite pas à repondre 2 nouveaux rapport frst.txt et addition.txt histoire de vérifier
Ah yes, voilà ! C'était à partir de là que le script se lançait et me remettait sans cesse ces satanées fichiers ?!
Je repasse un coup de FRST ce soir.

Merci !
Avatar de l’utilisateur
angelique
Messages : 32251
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection RiskWare.BitcoinMinner et LINK.ZIP/SVHOST.EXE persistante

par angelique »

Oui normalement, je l'espère, la lecture des nouveaux rapports nous réconfortera dans cet logique.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »